Netzwerk-Handbuch - Accellence Technologies GmbH
Netzwerk-Handbuch - Accellence Technologies GmbH
Netzwerk-Handbuch - Accellence Technologies GmbH
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Frank Christ, Jochen Nölle, Tim Urban <strong>Netzwerk</strong>-<strong>Handbuch</strong> 12.08.2008<br />
<strong>Netzwerk</strong>-<strong>Handbuch</strong><br />
Geeignete Übertragungstechnik für den Betrieb von EBÜS<br />
Dieses Dokument ist geistiges Eigentum der <strong>Accellence</strong> <strong>Technologies</strong> <strong>GmbH</strong><br />
und darf nur mit unserer ausdrücklichen Zustimmung verwendet, vervielfältigt oder weitergegeben werden<br />
Status: in Arbeit<br />
Frank Christ, Ralf Meißner, Tim Urban<br />
21.11.2007<br />
<strong>Netzwerk</strong><strong>Handbuch</strong>.doc Seite - 1 / 38 - Ver 0.5
Frank Christ, Jochen Nölle, Tim Urban <strong>Netzwerk</strong>-<strong>Handbuch</strong> 12.08.2008<br />
Inhalt<br />
1 Grundlagen.......................................................................................................... 3<br />
2 ISDN .............................................................................................................. 3<br />
3 RAS .............................................................................................................. 3<br />
4 Einrichten von ISDN-Verbindungen..................................................................... 4<br />
4.1 Interne/externe ISDN-Karte des Arbeitsplatzrechners.................................. 4<br />
4.2 ISDN-Gatewayrechner mit Remote-CAPI .................................................... 6<br />
4.3 ISDN-Router mit Remote-CAPI.................................................................... 7<br />
4.4 LAN-LAN Kopplung über ISDN-Router ...................................................... 16<br />
5 <strong>Netzwerk</strong>-Sicherheit .......................................................................................... 16<br />
6 Port-Forwarding und Port-Mapping ................................................................... 19<br />
7 Einrichtung eines lokalen Fetchmailsers............................................................. 21<br />
8 Installation/Konfiguration des FileZilla FTP-Servers……………………………… 30<br />
Syntaxhinweise<br />
(*) ist noch nicht implementiert!<br />
# muss noch bearbeitet werden<br />
v ist erledigt!<br />
Platzhalter, für den konkrete Werte eingesetzt werden müssen.<br />
� Verweis auf weitere Dokumente oder Textstellen<br />
<strong>Netzwerk</strong><strong>Handbuch</strong>.doc Seite - 2 / 38 - Ver 0.5
Frank Christ, Jochen Nölle, Tim Urban <strong>Netzwerk</strong>-<strong>Handbuch</strong> 12.08.2008<br />
1 Grundlagen<br />
EBÜS dient dazu, Bilder verschiedener digitaler Videoüberwachungssysteme in<br />
einheitlicher Weise abzurufen und auf einem gemeinsamen Videoarbeitsplatz (VA)<br />
darzustellen.<br />
Zur Übertragung digitaler Daten aller Art – also auch von Videobildern – hat sich das<br />
„Internet Protocol“ (IP) als Standard weltweit durchgesetzt. Daher verwendet auch<br />
EBÜS das Internet Protocol als Basis für die Datenübertragung.<br />
Im Internet Protocol wird jede am Datennetz angeschlossene Komponente durch<br />
eine Zahl, die sogenannte IP-Adresse, gekennzeichnet. Durch Angabe dieser IP-<br />
Adresse kann jede Komponente eindeutig adressiert werden.<br />
# Begriff Bildquelle, Videoarbeitsplatz näher erläutern<br />
# Zeichnung <strong>Netzwerk</strong> mit Bildquellen, Videoarbeitsplätzen, ELR, ... ergänzen<br />
2 ISDN<br />
Sollen Bildquellen über ISDN aufgeschaltet werden, so muss an jedem EBÜS<br />
Arbeitsplatz eine CAPI-Schnittstelle incl. Modem-Emulationen je nach Bedarf der<br />
einzelnen Bildquellentypen verfügbar sein.<br />
Dies kann wahlweise realisiert werden über<br />
• lokal installierte ISDN-Karten (z.B. AVM FritzCard)<br />
• einen ISDN-Router<br />
• einen ISDN-Server mit Remote-CAPI-Funktionalität<br />
Es liegen gute Praxiserfahrungen damit vor, einen PC mit der ISDN-Karte AVM C4<br />
zusammen mit der NDI-Software (Network Distributed ISDN) der Firma AVM als<br />
ISDN-Server einzurichten. Welche anderen Lösungen möglicherweise ebenfalls<br />
geeignet sind, muss im Einzelfall vorab geprüft werden.<br />
Aktuell im Test: ISDN-Karte "Saphir" von hst mit ShareISDN und cfos.<br />
NDI nur für ausgehende Dienste verwenden, eingehende Anrufe sperren, weil<br />
eingehende Anrufe ausschließlich über ShareISDN/AlarmServer verarbeitet werden<br />
sollen!<br />
### Bintec-Router<br />
3 RAS<br />
Konfigurieren von DFÜ-Verbindungen in EBÜS...<br />
<strong>Netzwerk</strong><strong>Handbuch</strong>.doc Seite - 3 / 38 - Ver 0.5
Frank Christ, Jochen Nölle, Tim Urban <strong>Netzwerk</strong>-<strong>Handbuch</strong> 12.08.2008<br />
4 Einrichten von ISDN-Verbindungen<br />
Zahlreiche Bildquellen benötigen eine ISDN-Verbindung oder eine IP-Verbindung,<br />
die über eine ISDN-Wählleitung aufgebaut wird.<br />
Anwendungen, die eine direkte ISDN-Verbindung benötigen, setzen auf der CAPI-2.0<br />
Schnittstelle (Common-ISDN-API) oder auf einer Analog Modem Schnittstelle auf.<br />
Wird hingegen eine IP-<strong>Netzwerk</strong>verbindung benötigt – was bei den meisten Browserbasierten<br />
Anwendungen der Fall ist – benötigt der EBÜS-Arbeitsplatzrechner eine<br />
PPP-Verbindung zum Schutzobjekt. Diese Verbindung kann entweder durch einen<br />
ISDN-Router oder über einen NDIS-WAN-Treiber, mit dessen Hilfe PPP-<br />
Verbindungen über das Windows-DFÜ-<strong>Netzwerk</strong> aufgebaut werden können, realisiert<br />
werden.<br />
Hardwareseitig sind zur Einrichtung von ISDN-Verbindungen folgende<br />
Konfigurationsmöglichkeiten gegeben:<br />
1. Interne/externe ISDN-Karte des EBÜS-Arbeitsplatzrechners<br />
2. Interne/externe ISDN-Karte eines zentralen ISDN-Gatewayrechners<br />
mit Remote-CAPI-Funktionalität (auch als Virtual-CAPI bzw. VCAPI bezeichnet)<br />
auf dem EBÜS-Arbeitsplatzrechner<br />
3. Verwendung eines externen ISDN-Routers mit Remote-CAPI-Funktionalität<br />
(auch als Virtual-CAPI bzw. VCAPI bezeichnet)<br />
4.1 Interne/externe ISDN-Karte des Arbeitsplatzrechners<br />
Enthält der EBÜS-Arbeitsplatzrechner eine ISDN-Karte, wird üblicherweise eine<br />
Treibersoftware vom Hersteller mitgeliefert, die eine CAPI-Schnittstelle für<br />
Anwendungen bereitstellt. Die Anwendungen können nach Installation dieser<br />
Treibersoftware direkt ISDN-Verbindungen aufbauen.<br />
Dabei enthält die Anwendung üblicherweise eine Auswahl von Protokollen, über die<br />
eine ISDN-Verbindung aufgebaut werden kann. Diese Protokolle werden von der<br />
ISDN-Karte zur Verfügung gestellt und als Information über die CAPI an die<br />
Anwendung weitergereicht, die dann eine entsprechende Protokollauswahl im<br />
Konfigurationsmenü bereitstellt.<br />
Anwendungen, die eine IP-Verbindung benötigen, können ebenfalls eingesetzt<br />
werden, sofern die Treibersoftware für die ISDN-Karte einen NDIS-WAN-Treiber<br />
enthält. In diesem Fall kann mit Hilfe des Windows-DFÜ-<strong>Netzwerk</strong>s eine<br />
<strong>Netzwerk</strong>verbindung zu dem <strong>Netzwerk</strong> der Bildquelle aufgebaut werden.<br />
<strong>Netzwerk</strong><strong>Handbuch</strong>.doc Seite - 4 / 38 - Ver 0.5
Frank Christ, Jochen Nölle, Tim Urban <strong>Netzwerk</strong>-<strong>Handbuch</strong> 12.08.2008<br />
Anschließend wird zur Darstellung der Bildquelle im Web-Browser die IP-Adresse der<br />
Bildquelle eingegeben.<br />
Arbeitsplatz-PC<br />
mit ISDN-Karte<br />
(intern)<br />
Schutzobjekte<br />
Arbeitsplatz-PC<br />
mit ISDN-Karte<br />
(intern)<br />
öffentliches<br />
Telefonnetz<br />
Telefonanlage<br />
S0-Bus (intern)<br />
Telefon Telefon Telefon<br />
Abbildung 4-1: Wachzentralenkonfiguration Arbeitsplatz-PCs mit internen ISDN-Karten<br />
Folgende Varianten sind von <strong>Accellence</strong> bereits erfolgreich getestet worden:<br />
ISDN-Karten:<br />
� AVM-Fritz!-Card PCI<br />
Bildempfangssoftware:<br />
� Inform (NDIS-WAN)<br />
� VCS Provilite (ISDN)<br />
� Heitel CamDisc (ISDN)<br />
� DResearch Teleobserver (ISDN)<br />
<strong>Netzwerk</strong><strong>Handbuch</strong>.doc Seite - 5 / 38 - Ver 0.5
Frank Christ, Jochen Nölle, Tim Urban <strong>Netzwerk</strong>-<strong>Handbuch</strong> 12.08.2008<br />
4.2 ISDN-Gatewayrechner mit Remote-CAPI<br />
Sollen mehrere in einem LAN vernetzte Rechner auf eine ISDN-Schnittstelle gemeinsam<br />
zugreifen können, empfiehlt sich der Einsatz einer Remote-CAPI-Lösung.<br />
Eine Remote-CAPI Software stellt die ISDN-CAPI des ISDN-Gatewayrechners<br />
anderen PCs im LAN zur Verfügung und ermöglicht eine transparente Weiterleitung<br />
der Daten. Eine NDIS-WAN-Schnittstelle für IP-Verbindungen ist meist nicht verfügbar,<br />
so dass eine TCP/IP-<strong>Netzwerk</strong>verbindung der Softwareanwendungen nicht<br />
möglich ist. Die Anwendungssoftware muss in diesen Anwendungsfällen direkt die<br />
ISDN-CAPI-Schnittstelle unterstützen.<br />
PC mit<br />
Remote-CAPI-Client<br />
PC mit<br />
Remote-CAPI-Client<br />
Ethernet-LAN<br />
PC mit<br />
Remote-CAPI-Client<br />
PC mit<br />
Remote-CAPI-Client<br />
Schutzobjekte<br />
ISDN-PC mit<br />
Remote CAPI-Server<br />
öffentliches<br />
Telefonnetz<br />
Telefonanlage<br />
S0-Bus (intern)<br />
Telefon Telefon Telefon<br />
Abbildung 4-2: Wachzentralenkonfiguration ISDN-PC mit Remote-CAPI-Server<br />
Folgende Varianten sind von <strong>Accellence</strong> bereits erfolgreich getestet worden:<br />
ISDN-Karten:<br />
� AVM-Fritz!-Card PCI (auf dem ISDN-Gatewayrechner) http://www.avm.de<br />
Remote-CAPI<br />
� Share-ISDN (auf dem ISDN-Gatewayrechner und dem EBÜS-Arbeitsplatz-PC)<br />
Active Elements <strong>GmbH</strong>, http://www.share-isdn.de<br />
Bildempfangssoftware:<br />
� VCS Provilite (ISDN)<br />
� Heitel CamDisc (ISDN)<br />
� DResearch Teleobserver (ISDN)<br />
<strong>Netzwerk</strong><strong>Handbuch</strong>.doc Seite - 6 / 38 - Ver 0.5
Frank Christ, Jochen Nölle, Tim Urban <strong>Netzwerk</strong>-<strong>Handbuch</strong> 12.08.2008<br />
4.2.1 Anwendungsbeispiel Share-ISDN:<br />
Zunächst werden ISDN-Kartentreiber und Anwendungssoftware sowie der Share-<br />
ISDN-Server-Software auf dem ISDN-Gatewayrechner installiert.<br />
Die Share-ISDN-Clientsoftware und die Bildempfangssoftware wird auf dem EBÜS-<br />
Arbeitsplatzrechner installiert. Auf diesem Rechner darf keine andere Software<br />
installiert sein, die ebenfalls eine CAPI enthält.<br />
Die Share-ISDN-Clientsoftware benötigt die IP-Adresse des zugehörigen ISDN-<br />
Gateways (ISDN-Server). Anschließend kann in der Bildempfangssoftware die<br />
Einstellung des ISDN-Protokolls vorgenommen werden (z.B. X.75 oder V.110). Die<br />
verfügbare Protokollauswahl hängt von der Funktionalität der ISDN-Karte des ISDN-<br />
Gatewayrechners ab.<br />
Hinweis: Manche Anwendungen erlauben keinen CAPI-Zugriff einer zweiten Anwendung. Falls die<br />
gewünschten Protokolle, wie z.B. X.75, V.110 nicht in der Auswahlliste der Anwendungssoftware<br />
angezeigt werden, ist meist ein zweites Anwendungsprogramm aktiv, welches die CAPI blockiert.<br />
Beenden Sie in diesem Fall die Zweitapplikation und starten Sie Ihre Anwendung neu.<br />
Nun ist die Bildempfangssoftware in der Lage, ISDN-Verbindungen anhand der<br />
eingestellten Rufnummer aufzubauen. Die Remote-CAPI wird von der<br />
Anwendungssoftware automatisch erkannt und verwendet.<br />
4.3 ISDN-Router mit Remote-CAPI<br />
Sollen mehrere in einem LAN vernetzte Rechner auf eine rechnerunabhängige ISDN-<br />
Schnittstelle gemeinsam zugreifen können, empfiehlt sich der Einsatz einer Remote-<br />
CAPI-Lösung in Verbindung mit einem ISDN-Router.<br />
ISDN-Router können als Internet-Gateway für ein lokales Netz dienen und sind, je<br />
nach Produkt, zusätzlich in der Lage, allen Rechnern des lokalen Netzes ISDN-<br />
Wählverbindungen für Fax, Eurofiletransfer und andere Anwendungen zur Verfügung<br />
zu stellen. ISDN-Anwendungen verwenden für diesen Zweck eine Softwareschnittstelle,<br />
die als Common ISDN Application Programming Interface (CAPI) bezeichnet<br />
wird. Diese Schnittstelle vereinheitlicht herstellerübergreifend den Zugriff auf<br />
ISDN-Hardware innerhalb eines Rechners.<br />
Eine Remote-CAPI Software stellt die ISDN-CAPI des ISDN-Routers anderen PCs im<br />
LAN zur Verfügung und ermöglicht eine transparente Weiterleitung der Daten. Eine<br />
NDIS-WAN-Schnittstelle ist bei einigen Produkten Teil des Lieferumfangs.<br />
Die NDIS-WAN-Schnittstelle bietet Anwendungen die Möglichkeit, über TCP/IP-<br />
Protokolle über ein Wählnetz (ISDN) auf entfernte <strong>Netzwerk</strong>e zuzugreifen (LAN-LAN-<br />
Kopplung bzw. VPN-Verbindungen über das Internet).<br />
IP-Kameras innerhalb eines Schutzobjektes können auf diese Weise bei<br />
bestehender Einwählverbindung wie gewohnt – meist über die Browserschnittstelle –<br />
von der Wachzentrale aus angesprochen werden, nachdem eine Wählverbindung<br />
zwischen beiden Seiten aufgebaut worden ist.<br />
<strong>Netzwerk</strong><strong>Handbuch</strong>.doc Seite - 7 / 38 - Ver 0.5
Frank Christ, Jochen Nölle, Tim Urban <strong>Netzwerk</strong>-<strong>Handbuch</strong> 12.08.2008<br />
PC mit<br />
Remote-CAPI-Client<br />
PC mit<br />
Remote-CAPI-Client<br />
Ethernet-LAN<br />
PC mit<br />
Remote-CAPI-Client<br />
PC mit<br />
Remote-CAPI-Client<br />
Schutzobjekte<br />
ISDN-Router<br />
öffentliches<br />
Telefonnetz<br />
Telefonanlage<br />
S0-Bus (intern)<br />
Telefon Telefon Telefon<br />
Abbildung 4-3: Wachzentralenkonfiguration externer ISDN-Router mit Remote-CAPI-Server<br />
Folgende Varianten sind von <strong>Accellence</strong> bereits erfolgreich getestet worden:<br />
ISDN-Router:<br />
� LANCOM 821 ADSL/ISDN<br />
http://www.lancom.de<br />
Remote-CAPI<br />
� LANCAPI-Software inkl. NDIS-Treiber im Lieferumfang des LANCOM<br />
LANCOM 821 ADSL/ISDN enthalten<br />
Bildempfangssoftware:<br />
� VCS Provilite (ISDN)<br />
� Heitel CamDisc (ISDN)<br />
� DResearch Teleobserver (ISDN)<br />
<strong>Netzwerk</strong><strong>Handbuch</strong>.doc Seite - 8 / 38 - Ver 0.5
Frank Christ, Jochen Nölle, Tim Urban <strong>Netzwerk</strong>-<strong>Handbuch</strong> 12.08.2008<br />
4.3.1 Anwendungsbeispiel LANCOM-LANCAPI:<br />
Zur Verwendung der CAPI-Funktionalität auf PCs, die gemeinsam mit dem LANCOM<br />
821 ADSL/ISDN in einem LAN installiert sind, muss die mitgelieferte LANCAPI-<br />
Software installiert werden.<br />
Auf diesem Rechner darf keine andere Software installiert sein, die ebenfalls eine<br />
CAPI enthält.<br />
Router-Konfiguration<br />
Anschließend kann der Router entweder über Webbrowser oder über die installierte<br />
LANconfig-Software konfiguriert werden.<br />
Wichtig sind folgende Einstellungen, die am Router in der Kategorie „LANCAPI“<br />
vorgenommen werden müssen:<br />
� Die Rufnummer (MSN - Multiple Subscriber Number), auf die eine lokale<br />
ISDN-Software bei eingehenden Anrufen reagieren soll<br />
� Die Einstellung für die LANCAPI-Betriebsart (Nur für abgehende Rufe/Nur für<br />
ankommende Rufe/Für abgehende und ankommende Rufe<br />
� Max. Anz. Verbindungen (1/2/unbegrenzt)<br />
Abbildung 4-4: Router-Konfiguration der LANCAPI-Parameter mittels LANconfig-Software<br />
<strong>Netzwerk</strong><strong>Handbuch</strong>.doc Seite - 9 / 38 - Ver 0.5
Frank Christ, Jochen Nölle, Tim Urban <strong>Netzwerk</strong>-<strong>Handbuch</strong> 12.08.2008<br />
Client-Konfiguration<br />
Die LANCAPI-Clientsoftware benötigt die IP-Adresse des zugehörigen ISDN-<br />
Gateways (ISDN-Server). Voreingestellt ist die automatische Serversuche, so dass<br />
an dieser Stelle keine Einstellung notwendig ist. Alternativ kann die IP-Adresse des<br />
Routers manuell eingegeben werden.<br />
Abbildung 4-5: Client-Konfiguration der LANCAPI: Alternative automatische Suche/feste IP-<br />
Adresse<br />
Anschließend kann in der Bildempfangssoftware die Einstellung des ISDN-Protokolls<br />
vorgenommen werden (z.B. X.75 oder V.110). Die verfügbare Protokollauswahl<br />
hängt von der Funktionalität der ISDN-Karte des ISDN-Gatewayrechners ab.<br />
Hinweis: Manche Anwendungen erlauben keinen CAPI-Zugriff einer zweiten Anwendung. Falls die<br />
gewünschten Protokolle wie z.B. X.75, V.110 nicht in der Auswahlliste der Anwendungssoftware<br />
angezeigt werden, ist meist ein zweites Anwendungsprogramm aktiv, welche die CAPI blockiert.<br />
Beenden Sie in diesem Fall die Zweitapplikation und starten Sie Ihre Anwendung neu.<br />
Nutzung von ISDN-Verbindungen mit der LANCAPI<br />
Eine Anwendungssoftware, die direkt auf ISDN-Funktionen mit Hilfe der CAPI-<br />
Schnittstelle zugreift, kann nach Installation und Konfiguration der LANCAPI Verbindungen<br />
aufbauen. Die Anwendung verwendet automatisch die LANCAPI anstelle<br />
einer lokalen CAPI/ISDN-Kartenkombination. Auch eingehende Verbindungen, die<br />
sich auf die eingestellte MSN beziehen, werden automatisch signalisiert.<br />
<strong>Netzwerk</strong><strong>Handbuch</strong>.doc Seite - 10 / 38 - Ver 0.5
Frank Christ, Jochen Nölle, Tim Urban <strong>Netzwerk</strong>-<strong>Handbuch</strong> 12.08.2008<br />
Einrichtung von IP-Einwahlserver und –Client über die NDIS-WAN-Schnittstelle<br />
Serverseite: Mit Hilfe des „Assistent für neue Verbindungen“ (Windows XP:<br />
Startmenü � Einstellungen � <strong>Netzwerk</strong>verbindungen � Assistent für neue Verbindungen,<br />
Windows 2000: Startmenü � Einstellungen � <strong>Netzwerk</strong> und DFÜ-Verbindungen<br />
� Neue Verbindung erstellen) wird eine eingehende Verbindung eingestellt.<br />
Es wird eine „erweiterte Verbindung“ eingerichtet:<br />
(Dieser Dialog ist nur bei XP vorgeschaltet).<br />
Abbildung 4-6: Startdialog für neue Verbindungen (nur Windows XP)<br />
Auf der nächsten Einstellungsseite wird die Option „eingehende Verbindungen zulassen“<br />
bzw. bei Windows 2000 „Eingehende Verbindungen akzeptieren“ eingestellt.<br />
Abbildung 4-7: Eingehende Verbindungen akzeptieren - Windows 2000<br />
(Windows XP: Einstellung ähnlich)<br />
<strong>Netzwerk</strong><strong>Handbuch</strong>.doc Seite - 11 / 38 - Ver 0.5
Frank Christ, Jochen Nölle, Tim Urban <strong>Netzwerk</strong>-<strong>Handbuch</strong> 12.08.2008<br />
Im nächsten Schritt wird das Gerät für eingehende Verbindungen eingestellt.<br />
An dieser Stelle wird das Gerät LANCOM NDISWAN eingestellt:<br />
Abbildung 4-8: Gerät für eingehende Verbindungen - Windows 2000<br />
(Windows XP: Einstellung ähnlich)<br />
Je nach gewünschtem Verbindungstyp kann eine verschlüsselte VPN-Verbindung<br />
zugelassen werden. Andernfalls wird eine unverschlüsselte ISDN-Einwählverbindung<br />
erstellt:<br />
Abbildung 4-9: VPN-Einstellung für neue Verbindungen<br />
(Windows XP: Einstellung ähnlich)<br />
<strong>Netzwerk</strong><strong>Handbuch</strong>.doc Seite - 12 / 38 - Ver 0.5
Frank Christ, Jochen Nölle, Tim Urban <strong>Netzwerk</strong>-<strong>Handbuch</strong> 12.08.2008<br />
Im nächsten Schritt wird festgelegt, welche Benutzer sich einwählen dürfen. Diese<br />
müssen sich nach Einwahl mit Benutzernamen und Kennwort authentifizieren.<br />
Abbildung 4-10: Benutzer-Einstellung (Windows XP: Einstellung ähnlich)<br />
Bei der nachfolgenden Einstellung der <strong>Netzwerk</strong>protokolle sollte zumindest die<br />
Einstellung „Internetprotokoll TCP/IP“ aktiviert sein.<br />
Abbildung 4-11: Protokoll-Einstellung<br />
(Windows XP: Einstellung ähnlich)<br />
Im letzten Schritt wird mit „Fertigstellen“ die Einwählverbindung aktiviert.<br />
<strong>Netzwerk</strong><strong>Handbuch</strong>.doc Seite - 13 / 38 - Ver 0.5
Frank Christ, Jochen Nölle, Tim Urban <strong>Netzwerk</strong>-<strong>Handbuch</strong> 12.08.2008<br />
Clientseite: Mit Hilfe des „Assistent für neue Verbindungen“ (Windows XP:<br />
Startmenü � Einstellungen � <strong>Netzwerk</strong>verbindungen � Assistent für neue Verbindungen,<br />
Windows 2000: Startmenü � Einstellungen � <strong>Netzwerk</strong> und DFÜ-Verbindungen<br />
� Neue Verbindung erstellen) wird eine Verbindung eingestellt.<br />
Zuerst wird die Option „In ein privates <strong>Netzwerk</strong> einwählen“ gewählt.<br />
Abbildung 4-12: In ein privates <strong>Netzwerk</strong> einwählen - Windows 2000<br />
(Windows XP: Einstellung ähnlich)<br />
Anschließend wird das Gerät „ISDN Kanal – LANCOM NDISWAN“ aktiviert.<br />
Abbildung 4-13: Geräteeinstellung - Windows 2000<br />
(Windows XP: Einstellung ähnlich)<br />
<strong>Netzwerk</strong><strong>Handbuch</strong>.doc Seite - 14 / 38 - Ver 0.5
Frank Christ, Jochen Nölle, Tim Urban <strong>Netzwerk</strong>-<strong>Handbuch</strong> 12.08.2008<br />
Im nächsten Schritt wird die zu wählende Rufnummer konfiguriert.<br />
Abbildung 4-14: Rufnummer - Windows 2000<br />
(Windows XP: Einstellung ähnlich)<br />
Anschließend wird festgelegt, ob die Verbindung nur für den angemeldeten Benutzer<br />
oder für alle Benutzer des Rechners angelegt wird.<br />
Abbildung 4-15: Benutzereinstellung - Windows 2000<br />
(Windows XP: Einstellung ähnlich)<br />
Nach Fertigstellen der Einstellungen kann die Verbindung manuell über folgendes<br />
Menü aufgebaut werden:<br />
XP: Start � Einstellungen � <strong>Netzwerk</strong>verbindungen � „Name der Verbindung“<br />
2000: Start � Einstellungen � <strong>Netzwerk</strong> und DFÜ-Verbindungen � „Name der<br />
Verbindung“<br />
<strong>Netzwerk</strong><strong>Handbuch</strong>.doc Seite - 15 / 38 - Ver 0.5
Frank Christ, Jochen Nölle, Tim Urban <strong>Netzwerk</strong>-<strong>Handbuch</strong> 12.08.2008<br />
4.4 LAN-LAN Kopplung über ISDN-Router<br />
Eine LAN-LAN Kopplung kann direkt über ISDN oder über Internetprovider und VPN<br />
gelöst werden.<br />
Hinweis: Bei LANCOM Routern ist die VPN-Lösung ein Optionales Zusatzpaket, was<br />
zusätzlich erworben werden muss und auch nicht für alle Router zur Verfügung steht.<br />
Der LANCOM 821 unterstützt kein VPN. Hier wird z.B. ein LANCOM 1621 benötigt.<br />
Installation siehe Hanbuch Kapitel 5! (<strong>Handbuch</strong> LANCOM 821/1621)<br />
5 <strong>Netzwerk</strong>-Sicherheit<br />
Sollen Einwählverbindungen sowohl gegeneinander als auch gegen das Netz in der<br />
Wachzentrale abgeschottet werden, sind zusätzliche Sicherheitsmaßnahmen notwendig,<br />
die Rückwirkungen auf die Anforderungen an die <strong>Netzwerk</strong>topologie haben.<br />
Generell sind zwei Verfahren denkbar:<br />
� Steuerung des Datenflusses über Access-Control-Listen (ACLs)<br />
� Logische Trennung von Teilnetzen mit Hilfe von VLAN-Tagging (IEEE 802.1p)<br />
Abbildung 5-1: VLAN-Tagging nach IEEE802.1Q<br />
Das VLAN-Tagging ist ein Verfahren auf OSI-Layer-2. Hierbei werden Ethernet-<br />
Frames mit einem zusätzlichen VLAN-TAG versehen. Es enthält außerdem ein<br />
Prioritätenfeld nach IEEE802.1p für Layer-2-Priorisierung, falls gewünscht. Mit Hilfe<br />
der VLAN-IDs können innerhalb eines einzelnen Subnetzes logische Netzteile<br />
aufgeteilt werden, so dass sich die Teilnehmer unterschiedlicher VLANs nicht<br />
erreichen können. VLAN-Routing ermöglicht jedoch eine gesteuerte Weiterleitung<br />
von Datenpaketen.<br />
An dieser Stelle wird das Prinzip der Aufteilung des <strong>Netzwerk</strong>s in einzelne virtuelle<br />
LANs (VLANs) am Beispiel der CISCO 2600 SERIES MULTISERVICE PLATFORMS<br />
mit der Modellreihe 2600XM vorgestellt.<br />
Hierbei handelt es sich um einen Multiservice-Router für DSL-Anwendungen, der<br />
optional mit 4-fach oder 8-fach BRI-Schnittstellen (ISDN-S0-Schnittstellen)<br />
ausgestattet werden kann.<br />
<strong>Netzwerk</strong><strong>Handbuch</strong>.doc Seite - 16 / 38 - Ver 0.5
Frank Christ, Jochen Nölle, Tim Urban <strong>Netzwerk</strong>-<strong>Handbuch</strong> 12.08.2008<br />
Jeder S0-Schnittstelle kann eine VLAN-ID fest zugeordnet werden. Wird jedem S0-<br />
Port eine individuelle VLAN-ID zugeordnet, sind die Einwählverbindungen logisch<br />
voneinander getrennt.<br />
Die EBÜS-Bedienplätze und der FTP-AMS-Server bekommen eine weitere VLAN-ID.<br />
Der Router wird derart konfiguriert, dass über die Einwählverbindungen auf die<br />
Bedienplatzrechner und den FTP-AMS-Server zugegriffen werden kann, jedoch<br />
Verbindungen zwischen den Einwahlrechnern verhindert werden.<br />
Schutzobjekte<br />
öffentliches<br />
Telefonnetz<br />
Arbeitsplatz PC<br />
VLAN-ID 5<br />
Arbeitsplatz PC<br />
VLAN-ID 5<br />
Router<br />
ISDN-BRI-<br />
Interface<br />
(4 S0-Ports)<br />
Arbeitsplatz PC<br />
VLAN-ID 5<br />
Mapping S0-Ports<br />
zu VLANs:<br />
S0 1 : VLAN-ID 1<br />
S0 2 : VLAN-ID 2<br />
S0 3 : VLAN-ID 3<br />
S0 4 : VLAN-ID 4<br />
Arbeitsplatz PC<br />
VLAN-ID 5<br />
Routing zwischen<br />
VLAN-ID 15<br />
VLAN-ID 25<br />
VLAN-ID 35<br />
VLAN-ID 45<br />
Abbildung 5-2: Logische <strong>Netzwerk</strong>trennung von Einwählverbindungen<br />
durch VLAN-Zuweisung<br />
FTP-Server<br />
VLAN-ID 5<br />
Im Beispiel der Fehler! Verweisquelle konnte nicht gefunden werden. werden die<br />
VLAN-Ids 1 bis 4 für die einzelnen Einwählverbindungen der vier Einwahlports<br />
einzeln vergeben. Im zentralen Router werden die VLAN-IDs 1-4 für den Port<br />
vergeben, an dem der Einwahlrouter angeschlossen ist. Die VLAN-ID 5 wird für alle<br />
anderen Anschlüsse des internen Netzes der Wachzentrale eingestellt. Der Router<br />
wird so konfiguriert, dass er ein Routing zwischen den folgenden VLANs durchführt:<br />
VLAN 1 VLAN 5<br />
VLAN 2 VLAN 5<br />
VLAN 3 VLAN 5<br />
VLAN 4 VLAN 5<br />
Alternativ könnte auch bei Verwendung anderer Produkte ein Einwahlrouter pro<br />
Verbindung verwendet werden (in diesem Fall darf bei einem ISDN-Router nur eine<br />
Verbindung zur Zeit geöffnet sein). Der Router muss zumindest in der Lage sein, am<br />
<strong>Netzwerk</strong><strong>Handbuch</strong>.doc Seite - 17 / 38 - Ver 0.5
Frank Christ, Jochen Nölle, Tim Urban <strong>Netzwerk</strong>-<strong>Handbuch</strong> 12.08.2008<br />
Ethernetport eine VLAN-ID in die MAC-Frames einzufügen. Es ist jedoch nicht<br />
notwendig, dass jedem S0-Port eine individuelle VLAN-ID zugeordnet werden kann.<br />
Ein zentraler Switch mit Routing-Funktion würde nun entsprechend für jeden<br />
Einwahlrouter die VLAN-ID am jeweiligen Port abbilden und ebenfalls ein Routing wie<br />
im vorherigen Beispiel durchführen.<br />
Schutzobjekte<br />
öffentliches<br />
Telefonnetz<br />
Arbeitsplatz PC<br />
VLAN-ID 5<br />
Router<br />
Router<br />
Router<br />
Router<br />
Arbeitsplatz PC<br />
VLAN-ID 5<br />
VLAN-ID 4<br />
VLAN-ID 3<br />
VLAN-ID 2<br />
VLAN-ID 1<br />
Arbeitsplatz PC<br />
VLAN-ID 5<br />
Arbeitsplatz PC<br />
VLAN-ID 5<br />
Abbildung 5-3: Alternativszenario mit einzelnen Routern<br />
Routing zwischen<br />
VLAN-ID 15<br />
VLAN-ID 25<br />
VLAN-ID 35<br />
VLAN-ID 45<br />
FTP-Server<br />
VLAN-ID 5<br />
Weitere Informationen zu VLAN:<br />
� http://www.cisco.com/global/AT/pdfs/prospekte/Router_042003.pdf<br />
� Gute Kurzübersicht: http://outpost.h3q.com/docu/VLAN.pdf<br />
� Lancom Systems VLAN-Anleitung:<br />
http://www2.lancom.de/kb.nsf/0/615cef5c37cdddccc1256ed20031e337?Open<br />
Document<br />
Weitere Informationen zu den Cisco 2600 Series Multiservice Platforms<br />
� http://www.cisco.com/en/US/products/hw/routers/ps259/products_data_sheets<br />
_list.html<br />
� http://www.cisco.com/en/US/products/hw/routers/ps259/index.html<br />
<strong>Netzwerk</strong><strong>Handbuch</strong>.doc Seite - 18 / 38 - Ver 0.5
Frank Christ, Jochen Nölle, Tim Urban <strong>Netzwerk</strong>-<strong>Handbuch</strong> 12.08.2008<br />
6 Port-Forwarding und Port-Mapping<br />
Um auch von extern (Internet) auf eine Kamera oder einen Recorder zugreifen zu<br />
können, der im Intranet über seine IP-Adresse mittels http zu erreichen ist, muss der<br />
Router, über den der Anschluss an das Internet erfolgt, entsprechend konfiguriert<br />
werden.<br />
Da von außen nur die vom Provider zugeteilte externe IP-Adresse zur Verfügung<br />
steht und ein direkter Zugriff auf die Adressen im Intranet nicht möglich ist, muss die<br />
Selektion eines bestimmten Gerätes über den Port erfolgen. Der Router ermöglicht<br />
es nun, bestimmten (externen) Ports intern bestimmte IP-Adressen zuzuweisen.<br />
Beispiel: Eine intern angeschlossene Kamera mit Web-Interface auf der Intranet-<br />
Adresse 192.168.1.42 soll von extern über den Port 51000 angesprochen werden.<br />
Bei einem Lancom 821 Router z.B. müssen die entsprechenden Einstellungen im<br />
Konfigurationsbereich unter "Maskierung" vorgenommen werden. Dort ist bei<br />
"Inverses Maskieren" die "Service-Tabelle" auszuwählen.<br />
<strong>Netzwerk</strong><strong>Handbuch</strong>.doc Seite - 19 / 38 - Ver 0.5
Frank Christ, Jochen Nölle, Tim Urban <strong>Netzwerk</strong>-<strong>Handbuch</strong> 12.08.2008<br />
Wählt man anschließend "Hinzufügen", so erscheint folgender Eingabedialog:<br />
Als Anfangsport muss hier der gewünschte extern zu verwendende Port angegeben<br />
werden, im Beispiel also die 51000. Da nur ein Port pro Gerät verwendet wird, kann<br />
der End-Port auf 0 stehen bleiben. Dann wird die Intranet –Adresse und ggf. bei<br />
"Kommentar" der Name des Gerätes eingetragen. Wenn das Gerät intern auf dem<br />
üblichen http-Port 80 erreichbar ist, so ist bei "Map-Port" entsprechend die 80<br />
einzutragen. Nachdem mit dem "Setzen"-Button die Daten übernommen wurden, ist<br />
die Kamera oder der Recorder von extern unter der öffentlichen IP-Adresse in<br />
Kombination mit dem Port 51000 zu erreichen. Der Router leitet jede Anfrage von<br />
extern auf diesem Port an die interne IP-Adresse 192.168.200.42 weiter und er setzt<br />
dabei auch den Port auf 80 um. Diese Einstellungen sind für jedes weitere Gerät zu<br />
wiederholen. Der extern zu verwendende Port muss dabei natürlich eindeutig sein.<br />
<strong>Netzwerk</strong><strong>Handbuch</strong>.doc Seite - 20 / 38 - Ver 0.5
Frank Christ, Jochen Nölle, Tim Urban <strong>Netzwerk</strong>-<strong>Handbuch</strong> 12.08.2008<br />
7. Einrichtung eines lokalen Fetchmailservers<br />
Um die EBÜS Weiterleitung per Email an spezielle Belange wie „ smtp after pop usw“<br />
eines externen Mailservers anzupassen, empfehlen wir die Verwendung des<br />
Fetchmailers „Hamster“.<br />
Dieser steht unter http://www.tglsoft.de/freeware_hamster.html zum kostenlosen<br />
Download bereit.<br />
<strong>Netzwerk</strong><strong>Handbuch</strong>.doc Seite - 21 / 38 - Ver 0.5
Frank Christ, Jochen Nölle, Tim Urban <strong>Netzwerk</strong>-<strong>Handbuch</strong> 12.08.2008<br />
Der gesamte Inhalt der heruntergeladenen Datei muss nun in ein neu erstelltes<br />
Verzeichnis entpackt werden (hier wurde Winrar als Packprogramm verwendet, was<br />
unter www.winrar.de zum kostenlosen Download bereitsteht).<br />
Nach dem Entpacken kann der „Hamster“ mit der „Hamster.exe“ gestartet werden.<br />
<strong>Netzwerk</strong><strong>Handbuch</strong>.doc Seite - 22 / 38 - Ver 0.5
Frank Christ, Jochen Nölle, Tim Urban <strong>Netzwerk</strong>-<strong>Handbuch</strong> 12.08.2008<br />
Nach dem Start erscheinen Meldungen, dass neue Verzeichnisse angelegt werden.<br />
Nun öffnen Sie Einstellung->Benutzerverwaltung & Passworte...<br />
Anschließend klicken Sie auf „Neue Gruppe“ .<br />
<strong>Netzwerk</strong><strong>Handbuch</strong>.doc Seite - 23 / 38 - Ver 0.5
Frank Christ, Jochen Nölle, Tim Urban <strong>Netzwerk</strong>-<strong>Handbuch</strong> 12.08.2008<br />
Legen Sie nun den Namen der neu anzulegenden Benutzergruppe fest.<br />
Stellen Sie die Optionen unter Mail(POP3/IMAP+SMTP) wie folgt ein.<br />
<strong>Netzwerk</strong><strong>Handbuch</strong>.doc Seite - 24 / 38 - Ver 0.5
Frank Christ, Jochen Nölle, Tim Urban <strong>Netzwerk</strong>-<strong>Handbuch</strong> 12.08.2008<br />
Um in der angelegen Gruppe einen neuen Benutzer anzulegen, folgen Sie dem<br />
Button „Neuer Nutzer.<br />
(die Gruppe muss blau markiert sein)<br />
Legen sie den Benutzernamen fest und bestätigen sie ihn mit dem „OK“ Button<br />
<strong>Netzwerk</strong><strong>Handbuch</strong>.doc Seite - 25 / 38 - Ver 0.5
Frank Christ, Jochen Nölle, Tim Urban <strong>Netzwerk</strong>-<strong>Handbuch</strong> 12.08.2008<br />
Um für die Anmeldung des Benutzers am „Hamster“ ein Passwort festzulegen,<br />
klicken Sie auf „Ändern“.<br />
<strong>Netzwerk</strong><strong>Handbuch</strong>.doc Seite - 26 / 38 - Ver 0.5
Frank Christ, Jochen Nölle, Tim Urban <strong>Netzwerk</strong>-<strong>Handbuch</strong> 12.08.2008<br />
Das zu vergebende Passwort muss zweimal eingegeben werden und bestätigt<br />
werden.<br />
<strong>Netzwerk</strong><strong>Handbuch</strong>.doc Seite - 27 / 38 - Ver 0.5
Frank Christ, Jochen Nölle, Tim Urban <strong>Netzwerk</strong>-<strong>Handbuch</strong> 12.08.2008<br />
Die Mailadresse des Benutzers muss unter „Lokale E-Mail-Adressen“ vergeben<br />
werden.<br />
Stellen Sie die Optionen wie folgt ein und schließen diesen Vorgang mit „OK“ ab.<br />
<strong>Netzwerk</strong><strong>Handbuch</strong>.doc Seite - 28 / 38 - Ver 0.5
Frank Christ, Jochen Nölle, Tim Urban <strong>Netzwerk</strong>-<strong>Handbuch</strong> 12.08.2008<br />
Unter dem Menüpunkt Einstellung->Lokale Server muss für jeden Server<br />
(POP3+SMTP) die IP des Rechners eingestellt werden.<br />
Unter SMTP muss noch das Anmeldeverfahren „SMTP AUTH“ aktiviert werden.<br />
Nun kann unter Konfiguration>Weiterleitung>Weiterleitung per Email-><br />
Email Server konfigurieren und testen“ dieser Mailserver im EBÜS eingestellt<br />
werden.<br />
WICHTIG:<br />
Diese Emails können nur innerhalb des LANs abgerufen werden.<br />
Wenn Sie Emails an einen Externen Mailserver weitersenden wollen, so folgen Sie<br />
den Anleitungen unter<br />
http://hamster.volker-gringmuth.de/mailserv_script.htm<br />
um ein sehr flexibles Script zu schreiben, welches alle möglichen Belang eines<br />
Mailservers unterstützt.<br />
<strong>Netzwerk</strong><strong>Handbuch</strong>.doc Seite - 29 / 38 - Ver 0.5
Frank Christ, Jochen Nölle, Tim Urban <strong>Netzwerk</strong>-<strong>Handbuch</strong> 12.08.2008<br />
8. Installation/Konfiguration des FileZillaFTP-<br />
Servers<br />
Diese Anleitung stellt die Installation und Einrichtung des FileZilla FTP Servers* für<br />
den Upload von Alarmbildern für den EBÜS-Alarmserver dar.<br />
An besonders gekennzeichneten Stellen müssen Konfigurationsspezifische Werte<br />
verwendet werden.<br />
1. Auf der Homepage des FileZilla FTP Servers (http://filezilla-project.org/)<br />
den Link „Downloads“ anklicken.<br />
*=Dieser Anleitung bezieht sich auf das Official Release vom 12.August 2008. Bei<br />
der Verwendung anderer Versionen kann es zu Unterschieden in der Installation<br />
kommen.<br />
<strong>Netzwerk</strong><strong>Handbuch</strong>.doc Seite - 30 / 38 - Ver 0.5
Frank Christ, Jochen Nölle, Tim Urban <strong>Netzwerk</strong>-<strong>Handbuch</strong> 12.08.2008<br />
2. Laden Sie die ausführbare .exe herunter und starten Sie diese.<br />
3. Lesen Sie die Lizenzbestimmungen im Installationsfenster durch.<br />
Bei Einverständnis klicken Sie auf „I Agree“ um mit der Installation fortzufahren.<br />
<strong>Netzwerk</strong><strong>Handbuch</strong>.doc Seite - 31 / 38 - Ver 0.5
Frank Christ, Jochen Nölle, Tim Urban <strong>Netzwerk</strong>-<strong>Handbuch</strong> 12.08.2008<br />
4. Wählen Sie die zu installierenden Komponenten wie in der Abbildung aus und<br />
fahren mit “Next“ fort.<br />
5. Legen Sie den Installationspfad fest und fahren mit „Next“ mit der Installation fort.<br />
<strong>Netzwerk</strong><strong>Handbuch</strong>.doc Seite - 32 / 38 - Ver 0.5
Frank Christ, Jochen Nölle, Tim Urban <strong>Netzwerk</strong>-<strong>Handbuch</strong> 12.08.2008<br />
6. Um den FileZilla-Service zu konfigurieren muss ein Konfigurationsport vergeben<br />
und der Starttyp eingestellt werden. Fahren Sie anschließend mit „Next“ fort.<br />
7. Den Installationsfortschritt können Sie nun beobachten.<br />
<strong>Netzwerk</strong><strong>Handbuch</strong>.doc Seite - 33 / 38 - Ver 0.5
Frank Christ, Jochen Nölle, Tim Urban <strong>Netzwerk</strong>-<strong>Handbuch</strong> 12.08.2008<br />
8. Schließen Sie die Installation mit „Close“ ab.<br />
9. Nach erfolgreicher Installation wird wie vorher eingestellt automatisch das<br />
FileZilla-Interface gestartet. Stellen Sie den Port entsprechend wie in der<br />
Installation ein und verbinden sich mit Ihrem FileZilla-Service.<br />
<strong>Netzwerk</strong><strong>Handbuch</strong>.doc Seite - 34 / 38 - Ver 0.5
Frank Christ, Jochen Nölle, Tim Urban <strong>Netzwerk</strong>-<strong>Handbuch</strong> 12.08.2008<br />
10. Wenn die Verbindung aufgebaut wurde erscheint ein Konfigurationsprogramm.<br />
Klicken Sie nun auf das oben gekennzeichnete Symbol.<br />
11. Es erscheint die Benutzerverwaltung, in der sie die Schaltfläche „Add“ anwählen.<br />
<strong>Netzwerk</strong><strong>Handbuch</strong>.doc Seite - 35 / 38 - Ver 0.5
Frank Christ, Jochen Nölle, Tim Urban <strong>Netzwerk</strong>-<strong>Handbuch</strong> 12.08.2008<br />
12. Vergeben Sie hier einen Benutzernamen (EBÜS-Standard ist „amslogin“). Und<br />
betätigen diesen mit „OK“.<br />
13. Nachdem Sie die Checkbox „Password“ aktiviert haben tragen Sie Ihr selbst<br />
gewähltes Passwort in das Textfeld ein und klicken auf „Shared folders“.<br />
<strong>Netzwerk</strong><strong>Handbuch</strong>.doc Seite - 36 / 38 - Ver 0.5
Frank Christ, Jochen Nölle, Tim Urban <strong>Netzwerk</strong>-<strong>Handbuch</strong> 12.08.2008<br />
12. Klicken Sie auf „Add“ um das root-Verzeichnis Ihres Alarmservers zu<br />
konfigurieren.<br />
12. Falls das gewünschte Verzeichnis noch nicht vorhanden ist, so erstellen Sie<br />
dieses wie gewohnt<br />
<strong>Netzwerk</strong><strong>Handbuch</strong>.doc Seite - 37 / 38 - Ver 0.5
Frank Christ, Jochen Nölle, Tim Urban <strong>Netzwerk</strong>-<strong>Handbuch</strong> 12.08.2008<br />
12. Nach dem Sie die Rechte wie oben dargestellt vergeben haben klicken Sie auf<br />
„Set as home dir“(gewünschtes Verzeichnis muss blau markiert sein) und<br />
schließen die Konfiguration mit „Ok“ ab. Nun kann das gesamte<br />
Konfigurationsprogramm geschlossen werden, da der FileZilla als Service im<br />
Hintergrund weiterhin gestartet bleibt.<br />
<strong>Netzwerk</strong><strong>Handbuch</strong>.doc Seite - 38 / 38 - Ver 0.5