Netzwerk-Handbuch - Accellence Technologies GmbH

Frank Christ, Jochen Nölle, Tim Urban Netzwerk-Handbuch 12.08.2008 

Netzwerk-Handbuch 

Geeignete Übertragungstechnik für den Betrieb von EBÜS 

Dieses Dokument ist geistiges Eigentum der Accellence Technologies GmbH 

und darf nur mit unserer ausdrücklichen Zustimmung verwendet, vervielfältigt oder weitergegeben werden 

Status: in Arbeit 

Frank Christ, Ralf Meißner, Tim Urban 

21.11.2007 

NetzwerkHandbuch.doc Seite - 1 / 38 - Ver 0.5


Inhalt 

1 Grundlagen.......................................................................................................... 3 

2 ISDN .............................................................................................................. 3 

3 RAS .............................................................................................................. 3 

4 Einrichten von ISDN-Verbindungen..................................................................... 4 

4.1 Interne/externe ISDN-Karte des Arbeitsplatzrechners.................................. 4 

4.2 ISDN-Gatewayrechner mit Remote-CAPI .................................................... 6 

4.3 ISDN-Router mit Remote-CAPI.................................................................... 7 

4.4 LAN-LAN Kopplung über ISDN-Router ...................................................... 16 

5 Netzwerk-Sicherheit .......................................................................................... 16 

6 Port-Forwarding und Port-Mapping ................................................................... 19 

7 Einrichtung eines lokalen Fetchmailsers............................................................. 21 

8 Installation/Konfiguration des FileZilla FTP-Servers……………………………… 30 

Syntaxhinweise 

(*) ist noch nicht implementiert! 

# muss noch bearbeitet werden 

v ist erledigt! 

Platzhalter, für den konkrete Werte eingesetzt werden müssen. 

� Verweis auf weitere Dokumente oder Textstellen 



1 Grundlagen 

EBÜS dient dazu, Bilder verschiedener digitaler Videoüberwachungssysteme in 

einheitlicher Weise abzurufen und auf einem gemeinsamen Videoarbeitsplatz (VA) 

darzustellen. 

Zur Übertragung digitaler Daten aller Art – also auch von Videobildern – hat sich das 

„Internet Protocol“ (IP) als Standard weltweit durchgesetzt. Daher verwendet auch 

EBÜS das Internet Protocol als Basis für die Datenübertragung. 

Im Internet Protocol wird jede am Datennetz angeschlossene Komponente durch 

eine Zahl, die sogenannte IP-Adresse, gekennzeichnet. Durch Angabe dieser IP- 

Adresse kann jede Komponente eindeutig adressiert werden. 

# Begriff Bildquelle, Videoarbeitsplatz näher erläutern 

# Zeichnung Netzwerk mit Bildquellen, Videoarbeitsplätzen, ELR, ... ergänzen 

2 ISDN 

Sollen Bildquellen über ISDN aufgeschaltet werden, so muss an jedem EBÜS 

Arbeitsplatz eine CAPI-Schnittstelle incl. Modem-Emulationen je nach Bedarf der 

einzelnen Bildquellentypen verfügbar sein. 

Dies kann wahlweise realisiert werden über 

• lokal installierte ISDN-Karten (z.B. AVM FritzCard) 

• einen ISDN-Router 

• einen ISDN-Server mit Remote-CAPI-Funktionalität 

Es liegen gute Praxiserfahrungen damit vor, einen PC mit der ISDN-Karte AVM C4 

zusammen mit der NDI-Software (Network Distributed ISDN) der Firma AVM als 

ISDN-Server einzurichten. Welche anderen Lösungen möglicherweise ebenfalls 

geeignet sind, muss im Einzelfall vorab geprüft werden. 

Aktuell im Test: ISDN-Karte "Saphir" von hst mit ShareISDN und cfos. 

NDI nur für ausgehende Dienste verwenden, eingehende Anrufe sperren, weil 

eingehende Anrufe ausschließlich über ShareISDN/AlarmServer verarbeitet werden 

sollen! 

### Bintec-Router 

3 RAS 

Konfigurieren von DFÜ-Verbindungen in EBÜS... 



4 Einrichten von ISDN-Verbindungen 

Zahlreiche Bildquellen benötigen eine ISDN-Verbindung oder eine IP-Verbindung, 

die über eine ISDN-Wählleitung aufgebaut wird. 

Anwendungen, die eine direkte ISDN-Verbindung benötigen, setzen auf der CAPI-2.0 

Schnittstelle (Common-ISDN-API) oder auf einer Analog Modem Schnittstelle auf. 

Wird hingegen eine IP-Netzwerkverbindung benötigt – was bei den meisten Browserbasierten 

Anwendungen der Fall ist – benötigt der EBÜS-Arbeitsplatzrechner eine 

PPP-Verbindung zum Schutzobjekt. Diese Verbindung kann entweder durch einen 

ISDN-Router oder über einen NDIS-WAN-Treiber, mit dessen Hilfe PPP- 

Verbindungen über das Windows-DFÜ-Netzwerk aufgebaut werden können, realisiert 

werden. 

Hardwareseitig sind zur Einrichtung von ISDN-Verbindungen folgende 

Konfigurationsmöglichkeiten gegeben: 

1. Interne/externe ISDN-Karte des EBÜS-Arbeitsplatzrechners 

2. Interne/externe ISDN-Karte eines zentralen ISDN-Gatewayrechners 

mit Remote-CAPI-Funktionalität (auch als Virtual-CAPI bzw. VCAPI bezeichnet) 

auf dem EBÜS-Arbeitsplatzrechner 

3. Verwendung eines externen ISDN-Routers mit Remote-CAPI-Funktionalität 

(auch als Virtual-CAPI bzw. VCAPI bezeichnet) 

4.1 Interne/externe ISDN-Karte des Arbeitsplatzrechners 

Enthält der EBÜS-Arbeitsplatzrechner eine ISDN-Karte, wird üblicherweise eine 

Treibersoftware vom Hersteller mitgeliefert, die eine CAPI-Schnittstelle für 

Anwendungen bereitstellt. Die Anwendungen können nach Installation dieser 

Treibersoftware direkt ISDN-Verbindungen aufbauen. 

Dabei enthält die Anwendung üblicherweise eine Auswahl von Protokollen, über die 

eine ISDN-Verbindung aufgebaut werden kann. Diese Protokolle werden von der 

ISDN-Karte zur Verfügung gestellt und als Information über die CAPI an die 

Anwendung weitergereicht, die dann eine entsprechende Protokollauswahl im 

Konfigurationsmenü bereitstellt. 

Anwendungen, die eine IP-Verbindung benötigen, können ebenfalls eingesetzt 

werden, sofern die Treibersoftware für die ISDN-Karte einen NDIS-WAN-Treiber 

enthält. In diesem Fall kann mit Hilfe des Windows-DFÜ-Netzwerks eine 

Netzwerkverbindung zu dem Netzwerk der Bildquelle aufgebaut werden. 



Anschließend wird zur Darstellung der Bildquelle im Web-Browser die IP-Adresse der 

Bildquelle eingegeben. 

Arbeitsplatz-PC 

mit ISDN-Karte 

(intern) 

Schutzobjekte 

Arbeitsplatz-PC 

mit ISDN-Karte 

(intern) 

öffentliches 

Telefonnetz 

Telefonanlage 

S0-Bus (intern) 

Telefon Telefon Telefon 

Abbildung 4-1: Wachzentralenkonfiguration Arbeitsplatz-PCs mit internen ISDN-Karten 

Folgende Varianten sind von Accellence bereits erfolgreich getestet worden: 

ISDN-Karten: 

� AVM-Fritz!-Card PCI 

Bildempfangssoftware: 

� Inform (NDIS-WAN) 

� VCS Provilite (ISDN) 

� Heitel CamDisc (ISDN) 

� DResearch Teleobserver (ISDN) 



4.2 ISDN-Gatewayrechner mit Remote-CAPI 

Sollen mehrere in einem LAN vernetzte Rechner auf eine ISDN-Schnittstelle gemeinsam 

zugreifen können, empfiehlt sich der Einsatz einer Remote-CAPI-Lösung. 

Eine Remote-CAPI Software stellt die ISDN-CAPI des ISDN-Gatewayrechners 

anderen PCs im LAN zur Verfügung und ermöglicht eine transparente Weiterleitung 

der Daten. Eine NDIS-WAN-Schnittstelle für IP-Verbindungen ist meist nicht verfügbar, 

so dass eine TCP/IP-Netzwerkverbindung der Softwareanwendungen nicht 

möglich ist. Die Anwendungssoftware muss in diesen Anwendungsfällen direkt die 

ISDN-CAPI-Schnittstelle unterstützen. 

PC mit 

Remote-CAPI-Client 

PC mit 


Ethernet-LAN 

PC mit 


PC mit 


Schutzobjekte 

ISDN-PC mit 

Remote CAPI-Server 

öffentliches 

Telefonnetz 

Telefonanlage 



Abbildung 4-2: Wachzentralenkonfiguration ISDN-PC mit Remote-CAPI-Server 


ISDN-Karten: 

� AVM-Fritz!-Card PCI (auf dem ISDN-Gatewayrechner) http://www.avm.de 

Remote-CAPI 

� Share-ISDN (auf dem ISDN-Gatewayrechner und dem EBÜS-Arbeitsplatz-PC) 

Active Elements GmbH, http://www.share-isdn.de 







4.2.1 Anwendungsbeispiel Share-ISDN: 

Zunächst werden ISDN-Kartentreiber und Anwendungssoftware sowie der Share- 

ISDN-Server-Software auf dem ISDN-Gatewayrechner installiert. 

Die Share-ISDN-Clientsoftware und die Bildempfangssoftware wird auf dem EBÜS- 

Arbeitsplatzrechner installiert. Auf diesem Rechner darf keine andere Software 

installiert sein, die ebenfalls eine CAPI enthält. 

Die Share-ISDN-Clientsoftware benötigt die IP-Adresse des zugehörigen ISDN- 

Gateways (ISDN-Server). Anschließend kann in der Bildempfangssoftware die 

Einstellung des ISDN-Protokolls vorgenommen werden (z.B. X.75 oder V.110). Die 

verfügbare Protokollauswahl hängt von der Funktionalität der ISDN-Karte des ISDN- 

Gatewayrechners ab. 

Hinweis: Manche Anwendungen erlauben keinen CAPI-Zugriff einer zweiten Anwendung. Falls die 

gewünschten Protokolle, wie z.B. X.75, V.110 nicht in der Auswahlliste der Anwendungssoftware 

angezeigt werden, ist meist ein zweites Anwendungsprogramm aktiv, welches die CAPI blockiert. 

Beenden Sie in diesem Fall die Zweitapplikation und starten Sie Ihre Anwendung neu. 

Nun ist die Bildempfangssoftware in der Lage, ISDN-Verbindungen anhand der 

eingestellten Rufnummer aufzubauen. Die Remote-CAPI wird von der 

Anwendungssoftware automatisch erkannt und verwendet. 

4.3 ISDN-Router mit Remote-CAPI 

Sollen mehrere in einem LAN vernetzte Rechner auf eine rechnerunabhängige ISDN- 

Schnittstelle gemeinsam zugreifen können, empfiehlt sich der Einsatz einer Remote- 

CAPI-Lösung in Verbindung mit einem ISDN-Router. 

ISDN-Router können als Internet-Gateway für ein lokales Netz dienen und sind, je 

nach Produkt, zusätzlich in der Lage, allen Rechnern des lokalen Netzes ISDN- 

Wählverbindungen für Fax, Eurofiletransfer und andere Anwendungen zur Verfügung 

zu stellen. ISDN-Anwendungen verwenden für diesen Zweck eine Softwareschnittstelle, 

die als Common ISDN Application Programming Interface (CAPI) bezeichnet 

wird. Diese Schnittstelle vereinheitlicht herstellerübergreifend den Zugriff auf 

ISDN-Hardware innerhalb eines Rechners. 

Eine Remote-CAPI Software stellt die ISDN-CAPI des ISDN-Routers anderen PCs im 

LAN zur Verfügung und ermöglicht eine transparente Weiterleitung der Daten. Eine 

NDIS-WAN-Schnittstelle ist bei einigen Produkten Teil des Lieferumfangs. 

Die NDIS-WAN-Schnittstelle bietet Anwendungen die Möglichkeit, über TCP/IP- 

Protokolle über ein Wählnetz (ISDN) auf entfernte Netzwerke zuzugreifen (LAN-LAN- 

Kopplung bzw. VPN-Verbindungen über das Internet). 

IP-Kameras innerhalb eines Schutzobjektes können auf diese Weise bei 

bestehender Einwählverbindung wie gewohnt – meist über die Browserschnittstelle – 

von der Wachzentrale aus angesprochen werden, nachdem eine Wählverbindung 

zwischen beiden Seiten aufgebaut worden ist. 



PC mit 


PC mit 


Ethernet-LAN 

PC mit 


PC mit 


Schutzobjekte 

ISDN-Router 

öffentliches 

Telefonnetz 

Telefonanlage 



Abbildung 4-3: Wachzentralenkonfiguration externer ISDN-Router mit Remote-CAPI-Server 


ISDN-Router: 

� LANCOM 821 ADSL/ISDN 

http://www.lancom.de 

Remote-CAPI 

� LANCAPI-Software inkl. NDIS-Treiber im Lieferumfang des LANCOM 

LANCOM 821 ADSL/ISDN enthalten 







4.3.1 Anwendungsbeispiel LANCOM-LANCAPI: 

Zur Verwendung der CAPI-Funktionalität auf PCs, die gemeinsam mit dem LANCOM 

821 ADSL/ISDN in einem LAN installiert sind, muss die mitgelieferte LANCAPI- 

Software installiert werden. 

Auf diesem Rechner darf keine andere Software installiert sein, die ebenfalls eine 

CAPI enthält. 

Router-Konfiguration 

Anschließend kann der Router entweder über Webbrowser oder über die installierte 

LANconfig-Software konfiguriert werden. 

Wichtig sind folgende Einstellungen, die am Router in der Kategorie „LANCAPI“ 

vorgenommen werden müssen: 

� Die Rufnummer (MSN - Multiple Subscriber Number), auf die eine lokale 

ISDN-Software bei eingehenden Anrufen reagieren soll 

� Die Einstellung für die LANCAPI-Betriebsart (Nur für abgehende Rufe/Nur für 

ankommende Rufe/Für abgehende und ankommende Rufe 

� Max. Anz. Verbindungen (1/2/unbegrenzt) 

Abbildung 4-4: Router-Konfiguration der LANCAPI-Parameter mittels LANconfig-Software 



Client-Konfiguration 

Die LANCAPI-Clientsoftware benötigt die IP-Adresse des zugehörigen ISDN- 

Gateways (ISDN-Server). Voreingestellt ist die automatische Serversuche, so dass 

an dieser Stelle keine Einstellung notwendig ist. Alternativ kann die IP-Adresse des 

Routers manuell eingegeben werden. 

Abbildung 4-5: Client-Konfiguration der LANCAPI: Alternative automatische Suche/feste IP- 

Adresse 

Anschließend kann in der Bildempfangssoftware die Einstellung des ISDN-Protokolls 

vorgenommen werden (z.B. X.75 oder V.110). Die verfügbare Protokollauswahl 

hängt von der Funktionalität der ISDN-Karte des ISDN-Gatewayrechners ab. 

Hinweis: Manche Anwendungen erlauben keinen CAPI-Zugriff einer zweiten Anwendung. Falls die 

gewünschten Protokolle wie z.B. X.75, V.110 nicht in der Auswahlliste der Anwendungssoftware 

angezeigt werden, ist meist ein zweites Anwendungsprogramm aktiv, welche die CAPI blockiert. 

Beenden Sie in diesem Fall die Zweitapplikation und starten Sie Ihre Anwendung neu. 

Nutzung von ISDN-Verbindungen mit der LANCAPI 

Eine Anwendungssoftware, die direkt auf ISDN-Funktionen mit Hilfe der CAPI- 

Schnittstelle zugreift, kann nach Installation und Konfiguration der LANCAPI Verbindungen 

aufbauen. Die Anwendung verwendet automatisch die LANCAPI anstelle 

einer lokalen CAPI/ISDN-Kartenkombination. Auch eingehende Verbindungen, die 

sich auf die eingestellte MSN beziehen, werden automatisch signalisiert. 



Einrichtung von IP-Einwahlserver und –Client über die NDIS-WAN-Schnittstelle 

Serverseite: Mit Hilfe des „Assistent für neue Verbindungen“ (Windows XP: 

Startmenü � Einstellungen � Netzwerkverbindungen � Assistent für neue Verbindungen, 

Windows 2000: Startmenü � Einstellungen � Netzwerk und DFÜ-Verbindungen 

� Neue Verbindung erstellen) wird eine eingehende Verbindung eingestellt. 

Es wird eine „erweiterte Verbindung“ eingerichtet: 

(Dieser Dialog ist nur bei XP vorgeschaltet). 

Abbildung 4-6: Startdialog für neue Verbindungen (nur Windows XP) 

Auf der nächsten Einstellungsseite wird die Option „eingehende Verbindungen zulassen“ 

bzw. bei Windows 2000 „Eingehende Verbindungen akzeptieren“ eingestellt. 

Abbildung 4-7: Eingehende Verbindungen akzeptieren - Windows 2000 

(Windows XP: Einstellung ähnlich) 



Im nächsten Schritt wird das Gerät für eingehende Verbindungen eingestellt. 

An dieser Stelle wird das Gerät LANCOM NDISWAN eingestellt: 

Abbildung 4-8: Gerät für eingehende Verbindungen - Windows 2000 


Je nach gewünschtem Verbindungstyp kann eine verschlüsselte VPN-Verbindung 

zugelassen werden. Andernfalls wird eine unverschlüsselte ISDN-Einwählverbindung 

erstellt: 

Abbildung 4-9: VPN-Einstellung für neue Verbindungen 




Im nächsten Schritt wird festgelegt, welche Benutzer sich einwählen dürfen. Diese 

müssen sich nach Einwahl mit Benutzernamen und Kennwort authentifizieren. 

Abbildung 4-10: Benutzer-Einstellung (Windows XP: Einstellung ähnlich) 

Bei der nachfolgenden Einstellung der Netzwerkprotokolle sollte zumindest die 

Einstellung „Internetprotokoll TCP/IP“ aktiviert sein. 

Abbildung 4-11: Protokoll-Einstellung 


Im letzten Schritt wird mit „Fertigstellen“ die Einwählverbindung aktiviert. 



Clientseite: Mit Hilfe des „Assistent für neue Verbindungen“ (Windows XP: 

Startmenü � Einstellungen � Netzwerkverbindungen � Assistent für neue Verbindungen, 

Windows 2000: Startmenü � Einstellungen � Netzwerk und DFÜ-Verbindungen 

� Neue Verbindung erstellen) wird eine Verbindung eingestellt. 

Zuerst wird die Option „In ein privates Netzwerk einwählen“ gewählt. 

Abbildung 4-12: In ein privates Netzwerk einwählen - Windows 2000 


Anschließend wird das Gerät „ISDN Kanal – LANCOM NDISWAN“ aktiviert. 

Abbildung 4-13: Geräteeinstellung - Windows 2000 




Im nächsten Schritt wird die zu wählende Rufnummer konfiguriert. 

Abbildung 4-14: Rufnummer - Windows 2000 


Anschließend wird festgelegt, ob die Verbindung nur für den angemeldeten Benutzer 

oder für alle Benutzer des Rechners angelegt wird. 

Abbildung 4-15: Benutzereinstellung - Windows 2000 


Nach Fertigstellen der Einstellungen kann die Verbindung manuell über folgendes 

Menü aufgebaut werden: 

XP: Start � Einstellungen � Netzwerkverbindungen � „Name der Verbindung“ 

2000: Start � Einstellungen � Netzwerk und DFÜ-Verbindungen � „Name der 

Verbindung“ 



4.4 LAN-LAN Kopplung über ISDN-Router 

Eine LAN-LAN Kopplung kann direkt über ISDN oder über Internetprovider und VPN 

gelöst werden. 

Hinweis: Bei LANCOM Routern ist die VPN-Lösung ein Optionales Zusatzpaket, was 

zusätzlich erworben werden muss und auch nicht für alle Router zur Verfügung steht. 

Der LANCOM 821 unterstützt kein VPN. Hier wird z.B. ein LANCOM 1621 benötigt. 

Installation siehe Hanbuch Kapitel 5! (Handbuch LANCOM 821/1621) 

5 Netzwerk-Sicherheit 

Sollen Einwählverbindungen sowohl gegeneinander als auch gegen das Netz in der 

Wachzentrale abgeschottet werden, sind zusätzliche Sicherheitsmaßnahmen notwendig, 

die Rückwirkungen auf die Anforderungen an die Netzwerktopologie haben. 

Generell sind zwei Verfahren denkbar: 

� Steuerung des Datenflusses über Access-Control-Listen (ACLs) 

� Logische Trennung von Teilnetzen mit Hilfe von VLAN-Tagging (IEEE 802.1p) 

Abbildung 5-1: VLAN-Tagging nach IEEE802.1Q 

Das VLAN-Tagging ist ein Verfahren auf OSI-Layer-2. Hierbei werden Ethernet- 

Frames mit einem zusätzlichen VLAN-TAG versehen. Es enthält außerdem ein 

Prioritätenfeld nach IEEE802.1p für Layer-2-Priorisierung, falls gewünscht. Mit Hilfe 

der VLAN-IDs können innerhalb eines einzelnen Subnetzes logische Netzteile 

aufgeteilt werden, so dass sich die Teilnehmer unterschiedlicher VLANs nicht 

erreichen können. VLAN-Routing ermöglicht jedoch eine gesteuerte Weiterleitung 

von Datenpaketen. 

An dieser Stelle wird das Prinzip der Aufteilung des Netzwerks in einzelne virtuelle 

LANs (VLANs) am Beispiel der CISCO 2600 SERIES MULTISERVICE PLATFORMS 

mit der Modellreihe 2600XM vorgestellt. 

Hierbei handelt es sich um einen Multiservice-Router für DSL-Anwendungen, der 

optional mit 4-fach oder 8-fach BRI-Schnittstellen (ISDN-S0-Schnittstellen) 

ausgestattet werden kann. 



Jeder S0-Schnittstelle kann eine VLAN-ID fest zugeordnet werden. Wird jedem S0- 

Port eine individuelle VLAN-ID zugeordnet, sind die Einwählverbindungen logisch 

voneinander getrennt. 

Die EBÜS-Bedienplätze und der FTP-AMS-Server bekommen eine weitere VLAN-ID. 

Der Router wird derart konfiguriert, dass über die Einwählverbindungen auf die 

Bedienplatzrechner und den FTP-AMS-Server zugegriffen werden kann, jedoch 

Verbindungen zwischen den Einwahlrechnern verhindert werden. 

Schutzobjekte 

öffentliches 

Telefonnetz 

Arbeitsplatz PC 

VLAN-ID 5 


VLAN-ID 5 

Router 

ISDN-BRI- 

Interface 

(4 S0-Ports) 


VLAN-ID 5 

Mapping S0-Ports 

zu VLANs: 

S0 1 : VLAN-ID 1 





VLAN-ID 5 

Routing zwischen 

VLAN-ID 15 

VLAN-ID 25 

VLAN-ID 35 

VLAN-ID 45 

Abbildung 5-2: Logische Netzwerktrennung von Einwählverbindungen 

durch VLAN-Zuweisung 

FTP-Server 

VLAN-ID 5 

Im Beispiel der Fehler! Verweisquelle konnte nicht gefunden werden. werden die 

VLAN-Ids 1 bis 4 für die einzelnen Einwählverbindungen der vier Einwahlports 

einzeln vergeben. Im zentralen Router werden die VLAN-IDs 1-4 für den Port 

vergeben, an dem der Einwahlrouter angeschlossen ist. Die VLAN-ID 5 wird für alle 

anderen Anschlüsse des internen Netzes der Wachzentrale eingestellt. Der Router 

wird so konfiguriert, dass er ein Routing zwischen den folgenden VLANs durchführt: 

VLAN 1 VLAN 5 

VLAN 2 VLAN 5 

VLAN 3 VLAN 5 

VLAN 4 VLAN 5 

Alternativ könnte auch bei Verwendung anderer Produkte ein Einwahlrouter pro 

Verbindung verwendet werden (in diesem Fall darf bei einem ISDN-Router nur eine 

Verbindung zur Zeit geöffnet sein). Der Router muss zumindest in der Lage sein, am 



Ethernetport eine VLAN-ID in die MAC-Frames einzufügen. Es ist jedoch nicht 

notwendig, dass jedem S0-Port eine individuelle VLAN-ID zugeordnet werden kann. 

Ein zentraler Switch mit Routing-Funktion würde nun entsprechend für jeden 

Einwahlrouter die VLAN-ID am jeweiligen Port abbilden und ebenfalls ein Routing wie 

im vorherigen Beispiel durchführen. 

Schutzobjekte 

öffentliches 

Telefonnetz 


VLAN-ID 5 

Router 

Router 

Router 

Router 


VLAN-ID 5 

VLAN-ID 4 

VLAN-ID 3 

VLAN-ID 2 

VLAN-ID 1 


VLAN-ID 5 


VLAN-ID 5 

Abbildung 5-3: Alternativszenario mit einzelnen Routern 

Routing zwischen 

VLAN-ID 15 

VLAN-ID 25 

VLAN-ID 35 

VLAN-ID 45 

FTP-Server 

VLAN-ID 5 

Weitere Informationen zu VLAN: 

� http://www.cisco.com/global/AT/pdfs/prospekte/Router_042003.pdf 

� Gute Kurzübersicht: http://outpost.h3q.com/docu/VLAN.pdf 

� Lancom Systems VLAN-Anleitung: 

http://www2.lancom.de/kb.nsf/0/615cef5c37cdddccc1256ed20031e337?Open 

Document 

Weitere Informationen zu den Cisco 2600 Series Multiservice Platforms 

� http://www.cisco.com/en/US/products/hw/routers/ps259/products_data_sheets 

_list.html 

� http://www.cisco.com/en/US/products/hw/routers/ps259/index.html 



6 Port-Forwarding und Port-Mapping 

Um auch von extern (Internet) auf eine Kamera oder einen Recorder zugreifen zu 

können, der im Intranet über seine IP-Adresse mittels http zu erreichen ist, muss der 

Router, über den der Anschluss an das Internet erfolgt, entsprechend konfiguriert 

werden. 

Da von außen nur die vom Provider zugeteilte externe IP-Adresse zur Verfügung 

steht und ein direkter Zugriff auf die Adressen im Intranet nicht möglich ist, muss die 

Selektion eines bestimmten Gerätes über den Port erfolgen. Der Router ermöglicht 

es nun, bestimmten (externen) Ports intern bestimmte IP-Adressen zuzuweisen. 

Beispiel: Eine intern angeschlossene Kamera mit Web-Interface auf der Intranet- 

Adresse 192.168.1.42 soll von extern über den Port 51000 angesprochen werden. 

Bei einem Lancom 821 Router z.B. müssen die entsprechenden Einstellungen im 

Konfigurationsbereich unter "Maskierung" vorgenommen werden. Dort ist bei 

"Inverses Maskieren" die "Service-Tabelle" auszuwählen. 



Wählt man anschließend "Hinzufügen", so erscheint folgender Eingabedialog: 

Als Anfangsport muss hier der gewünschte extern zu verwendende Port angegeben 

werden, im Beispiel also die 51000. Da nur ein Port pro Gerät verwendet wird, kann 

der End-Port auf 0 stehen bleiben. Dann wird die Intranet –Adresse und ggf. bei 

"Kommentar" der Name des Gerätes eingetragen. Wenn das Gerät intern auf dem 

üblichen http-Port 80 erreichbar ist, so ist bei "Map-Port" entsprechend die 80 

einzutragen. Nachdem mit dem "Setzen"-Button die Daten übernommen wurden, ist 

die Kamera oder der Recorder von extern unter der öffentlichen IP-Adresse in 

Kombination mit dem Port 51000 zu erreichen. Der Router leitet jede Anfrage von 

extern auf diesem Port an die interne IP-Adresse 192.168.200.42 weiter und er setzt 

dabei auch den Port auf 80 um. Diese Einstellungen sind für jedes weitere Gerät zu 

wiederholen. Der extern zu verwendende Port muss dabei natürlich eindeutig sein. 



7. Einrichtung eines lokalen Fetchmailservers 

Um die EBÜS Weiterleitung per Email an spezielle Belange wie „ smtp after pop usw“ 

eines externen Mailservers anzupassen, empfehlen wir die Verwendung des 

Fetchmailers „Hamster“. 

Dieser steht unter http://www.tglsoft.de/freeware_hamster.html zum kostenlosen 

Download bereit. 



Der gesamte Inhalt der heruntergeladenen Datei muss nun in ein neu erstelltes 

Verzeichnis entpackt werden (hier wurde Winrar als Packprogramm verwendet, was 

unter www.winrar.de zum kostenlosen Download bereitsteht). 

Nach dem Entpacken kann der „Hamster“ mit der „Hamster.exe“ gestartet werden. 



Nach dem Start erscheinen Meldungen, dass neue Verzeichnisse angelegt werden. 

Nun öffnen Sie Einstellung->Benutzerverwaltung & Passworte... 

Anschließend klicken Sie auf „Neue Gruppe“ . 



Legen Sie nun den Namen der neu anzulegenden Benutzergruppe fest. 

Stellen Sie die Optionen unter Mail(POP3/IMAP+SMTP) wie folgt ein. 



Um in der angelegen Gruppe einen neuen Benutzer anzulegen, folgen Sie dem 

Button „Neuer Nutzer. 

(die Gruppe muss blau markiert sein) 

Legen sie den Benutzernamen fest und bestätigen sie ihn mit dem „OK“ Button 



Um für die Anmeldung des Benutzers am „Hamster“ ein Passwort festzulegen, 

klicken Sie auf „Ändern“. 



Das zu vergebende Passwort muss zweimal eingegeben werden und bestätigt 

werden. 



Die Mailadresse des Benutzers muss unter „Lokale E-Mail-Adressen“ vergeben 

werden. 

Stellen Sie die Optionen wie folgt ein und schließen diesen Vorgang mit „OK“ ab. 



Unter dem Menüpunkt Einstellung->Lokale Server muss für jeden Server 

(POP3+SMTP) die IP des Rechners eingestellt werden. 

Unter SMTP muss noch das Anmeldeverfahren „SMTP AUTH“ aktiviert werden. 

Nun kann unter Konfiguration>Weiterleitung>Weiterleitung per Email-> 

Email Server konfigurieren und testen“ dieser Mailserver im EBÜS eingestellt 

werden. 

WICHTIG: 

Diese Emails können nur innerhalb des LANs abgerufen werden. 

Wenn Sie Emails an einen Externen Mailserver weitersenden wollen, so folgen Sie 

den Anleitungen unter 

http://hamster.volker-gringmuth.de/mailserv_script.htm 

um ein sehr flexibles Script zu schreiben, welches alle möglichen Belang eines 

Mailservers unterstützt. 



8. Installation/Konfiguration des FileZillaFTP- 

Servers 

Diese Anleitung stellt die Installation und Einrichtung des FileZilla FTP Servers* für 

den Upload von Alarmbildern für den EBÜS-Alarmserver dar. 

An besonders gekennzeichneten Stellen müssen Konfigurationsspezifische Werte 

verwendet werden. 

1. Auf der Homepage des FileZilla FTP Servers (http://filezilla-project.org/) 

den Link „Downloads“ anklicken. 

*=Dieser Anleitung bezieht sich auf das Official Release vom 12.August 2008. Bei 

der Verwendung anderer Versionen kann es zu Unterschieden in der Installation 

kommen. 



2. Laden Sie die ausführbare .exe herunter und starten Sie diese. 

3. Lesen Sie die Lizenzbestimmungen im Installationsfenster durch. 

Bei Einverständnis klicken Sie auf „I Agree“ um mit der Installation fortzufahren. 



4. Wählen Sie die zu installierenden Komponenten wie in der Abbildung aus und 

fahren mit “Next“ fort. 

5. Legen Sie den Installationspfad fest und fahren mit „Next“ mit der Installation fort. 



6. Um den FileZilla-Service zu konfigurieren muss ein Konfigurationsport vergeben 

und der Starttyp eingestellt werden. Fahren Sie anschließend mit „Next“ fort. 

7. Den Installationsfortschritt können Sie nun beobachten. 



8. Schließen Sie die Installation mit „Close“ ab. 

9. Nach erfolgreicher Installation wird wie vorher eingestellt automatisch das 

FileZilla-Interface gestartet. Stellen Sie den Port entsprechend wie in der 

Installation ein und verbinden sich mit Ihrem FileZilla-Service. 



10. Wenn die Verbindung aufgebaut wurde erscheint ein Konfigurationsprogramm. 

Klicken Sie nun auf das oben gekennzeichnete Symbol. 

11. Es erscheint die Benutzerverwaltung, in der sie die Schaltfläche „Add“ anwählen. 



12. Vergeben Sie hier einen Benutzernamen (EBÜS-Standard ist „amslogin“). Und 

betätigen diesen mit „OK“. 

13. Nachdem Sie die Checkbox „Password“ aktiviert haben tragen Sie Ihr selbst 

gewähltes Passwort in das Textfeld ein und klicken auf „Shared folders“. 



12. Klicken Sie auf „Add“ um das root-Verzeichnis Ihres Alarmservers zu 

konfigurieren. 

12. Falls das gewünschte Verzeichnis noch nicht vorhanden ist, so erstellen Sie 

dieses wie gewohnt 



12. Nach dem Sie die Rechte wie oben dargestellt vergeben haben klicken Sie auf 

„Set as home dir“(gewünschtes Verzeichnis muss blau markiert sein) und 

schließen die Konfiguration mit „Ok“ ab. Nun kann das gesamte 

Konfigurationsprogramm geschlossen werden, da der FileZilla als Service im 

Hintergrund weiterhin gestartet bleibt.

Netzwerk-Handbuch - Accellence Technologies GmbH

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?