Benutzerhandbuch - lancom-systems.de · System-Einstellungen und das Mail-Setup für die Konfiguration des SMTP-Mailservers. Wenn Sie mit der Maus Wenn Sie mit der Maus über diese

connecting your business

BenutzerhandbuchLANCOM Large Scale Rollout & Management

Inhalt

Copyright...............................................................................................................................3

1 Einführung..........................................................................................................................41.1 Funktionsweise..........................................................................................................................................4

2 Passwörter im LSR und deren Nutzen................................................................................8

3 Das Interface (GUI).............................................................................................................93.1 Navigationsbereich....................................................................................................................................9

3.2 System-Schaltflächen...............................................................................................................................10

4 Systemkonfiguration........................................................................................................124.1 Grundeinstellungen Systemverwaltung....................................................................................................12

4.2 System Einstellungen...............................................................................................................................13

4.2.1 Geräteverwaltung über TACACS+.............................................................................................13

4.2.2 ADD Skripte für Rollout zulassen..............................................................................................13

4.2.3 Bearbeitung von Pool-Adressen zulassen.................................................................................13

4.3 Lizenzierung.............................................................................................................................................14

4.4 Mail-Konfiguration...................................................................................................................................15

4.5 Rollen- / User-Verwaltung........................................................................................................................15

4.6 DSC-Upload.............................................................................................................................................18

4.7 Projektverwaltung....................................................................................................................................18

5 LSR Management..............................................................................................................195.1 Systemverwaltung....................................................................................................................................19

5.2 Datenbankverwaltung..............................................................................................................................20

6 Anwendungsbeispiel........................................................................................................226.1 Ziel definieren..........................................................................................................................................22

6.2 Proof of Concept......................................................................................................................................22

6.3 Erstellung des Projektes im LSR................................................................................................................23

6.4 Erstellung von Gruppen und Variablen.....................................................................................................23

6.4.1 Basisgruppen...........................................................................................................................23

6.4.2 Benutzerdefinierte Gruppen.....................................................................................................24

6.4.3 CSV-Import von Geräten...........................................................................................................26

6.4.4 Zuweisung von Gruppen zu Geräten.........................................................................................27

6.4.5 Distributionsgruppe.................................................................................................................28

6.5 Rollout.....................................................................................................................................................28

6.5.1 Verfahren: Geräte-ID und TAN.................................................................................................28

6.5.2 Durchführung des Rollouts.......................................................................................................29

6.5.3 Abschluss des Rollouts.............................................................................................................32

6.5.4 Abnahmetest...........................................................................................................................32

6.6 Fazit.........................................................................................................................................................34

2

Benutzerhandbuch

Inhalt

Copyright

© 2015 LANCOM Systems GmbH, Würselen (Germany). Alle Rechte vorbehalten.

Alle Angaben in dieser Dokumentation sind nach sorgfältiger Prüfung zusammengestellt worden, gelten jedoch nichtals Zusicherung von Produkteigenschaften. LANCOM Systems haftet ausschließlich in dem Umfang, der in den Verkaufs-und Lieferbedingungen festgelegt ist. Weitergabe und Vervielfältigung der zu diesem Produkt gehörenden Dokumentationund Software und die Verwendung ihres Inhaltes sind nur mit schriftlicher Erlaubnis von LANCOM Systems gestattet.Änderungen, die dem technischen Fortschritt dienen, bleiben vorbehalten.

Windows®, Windows Vista™, Windows NT® und Microsoft® sind eingetragene Marken von Microsoft, Corp.

Das LANCOM Systems-Logo, LCOS und die Bezeichnung LANCOM sind eingetragene Marken der LANCOM SystemsGmbH. Alle übrigen verwendeten Namen und Bezeichnungen können Marken oder eingetragene Marken ihrer jeweiligenEigentümer sein.

LANCOM Systems behält sich vor, die genannten Daten ohne Ankündigung zu ändern und übernimmt keine Gewähr fürtechnische Ungenauigkeiten und/oder Auslassungen.

Produkte von LANCOM Systems enthalten Software, die vom "OpenSSL Project" für die Verwendung im "OpenSSL Toolkit"entwickelt wurde (www.openssl.org).

Produkte von LANCOM Systems enthalten kryptographische Software, die von Eric Young ([email protected]) geschriebenwurde.

Produkte von LANCOM Systems enthalten Software, die von der NetBSD Foundation, Inc. und ihren Mitarbeitern entwickeltwurde.

Produkte von LANCOM Systems enthalten das LZMA SDK, das von Igor Pavlov entwickelt wurde.

LANCOM Systems GmbH

Adenauerstr. 20/B2

52146 Würselen

Germany

www.lancom.de

3

Benutzerhandbuch

Copyright

http://www.openssl.org/

mailto:[email protected]

http://www.lancom.de

1 Einführung

Das LANCOM Large Scale Rollout & Management (LSR) ist eine Server-basierte Software, welche zum Konfigurations-Rolloutund Management von Netzwerkkomponenten dient. LSR ist darauf ausgelegt, mittlere bis sehr große Netzwerke mit 25bis hin zu mehreren tausend LANCOM Netzwerkkomponenten zentral auszurollen und zu verwalten.

Es ist in der Regel sehr aufwendig, mehrere Geräte gleichzeitig auszurollen oder ihre Konfiguration zu aktualisieren. LSRnimmt Ihnen diese Arbeit ab und spart so wertvolle Zeit.

1.1 Funktionsweise

LSR macht sich die zahlreichen identischen Einstellungen der eingesetzten Netzwerkkomponenten ebenso zu Nutze wieden Umstand, dass sich die spezifischen Gerätekonfigurationen innerhalb einzelner Projekte nur in Details unterscheiden.Diese Unterschiede können auch weiter genutzt werden, um eine Aufteilung in Gruppen zu ermöglichen. Eine einfacheschematische Darstellung der zugrunde liegenden Gruppenstruktur in der einfachsten Ausführung kann wie folgtdargestellt werden:

Hierbei wird als Basisgruppe die zugrunde liegende Konfiguration eines Gerätetyps und die eingesetzte Firmware-Versiongesehen. Die Aufteilung in Gruppen wird genutzt, um weitere identische Konfigurationsanteile für die Gerätezusammenzufassen, so dass nur noch einzelne Parameter pro Gerät angegeben werden müssen. Diese Struktur wird inden folgenden Anwendungsbeispielen genauer erläutert.

Anwendungsbeispiele

WLAN-Infrastruktur

In einer WLAN-Infrastruktur werden die einzelnen Access Points zu einem großen Teil identisch konfiguriert. Das erfordertbei einer manuellen Konfiguration aller Geräte einen vergleichsweise hohen Zeitaufwand für die Konfiguration jedeseinzelnen Gerätes, obwohl die Unterschiede zwischen den Geräten minimal sind. Anhand dieser Ausgangslage kann diegrundlegende Idee und Funktionsweise des LANCOM Large Scale Rollout & Management einfach gezeigt werden.

Zuerst ist es erforderlich, die variablen Anteile der Konfiguration festzustellen. Einige der Einstellungen sind für jedenAccess Point einzigartig, wie die IP-Adresse und die Gerätebezeichnung. Allerdings gibt es auch Parameter, die bei einemTeil der Access Points gleich sind, bei einem anderen Teil aber von einander abweichen, wie das Ausstrahlen einer SSID

4

Benutzerhandbuch

1 Einführung

für einen Gastzugang. Diese abweichenden Parameter werden genutzt, um die Access Points in Gruppen aufzuteilen.Schematisch kann eine entsprechende Aufteilung wie folgt aussehen:

Die schematische Darstellung vom Beginn wird zur Veranschaulichung mit Inhalten gefüllt. So wird zunächst das Projekt"WLAN-Infrastruktur" angelegt. Danach wird die Basisgruppe für die verwendeten Geräte und die genutzteFirmware-Version definiert, in diesem Beispiel "LANCOM L-822". In dieser Basisgruppe sind alle Parameter zunächst mitden Default-Werten abgelegt. Innerhalb der Basisgruppe erfolgt die Basiskonfiguration aller Geräte, so dass die identischenKonfigurationsparameter aller Geräte nur einmal festgelegt werden müssen.

5 Individuelle Unterschiede werden mit Variablen belegt, die später gesetzt werden.

Im nächsten Schritt werden Gruppen angelegt, in denen die für die jeweilige Gruppe fixen Parameter definiert werden(hier "Gruppe 1" und "Gruppe 2"). In der Gruppe 1 ("Public Spot") werden nun alle notwendigen Einstellungen für dieAusstrahlung des Gastzugangs vorgenommen. In der Gruppe 2 ("Lager") werden alle Einstellungen festgelegt, um dieim Lager genutzten Hand-Scanner im Netzwerk einzubinden.

Vor dem Rollout werden nun abschließend die einzelnen Geräte angelegt und den jeweiligen Gruppen zugeordnet. BeimAnlegen der Geräte werden den noch nicht definierten Variablen Werte zugeordnet, wie z. B. für die IP-Adresse und denGerätenamen. Für das Gerät 6 "AP-Kasse" wird eine SSID eingerichtet, welche nicht in den Gruppen abgebildet wurde.

Dieser letzte Schritt kann auch komfortabel über den Import einer CSV-Datei erfolgen, in der jeder Variable dieentsprechenden Werte zugeordnet sind.

Nach dieser Vorbereitung der Basis-, Gruppen- und Einzelgerätkonfigurationen erfolgt der Rollout. Die Access Pointsbeinhalten üblicherweise eine Vorkonfiguration, damit der Rollout-Prozess automatisch oder über einen Rollout-Assistentengestartet werden kann.

Änderungen in der Konfiguration der Basisgruppe, einer oder mehrerer Gruppen oder einzelner Geräte können zeitgesteuertausgerollt werden. Eine manuelle Konfiguration der einzelnen betroffenen Geräte ist nicht erforderlich. Das Hinzufügenvon neuen und entfernen von alten Geräten erfolgt genauso einfach und komfortabel.

Standortvernetzung mit Distributionsgruppen

Im Rahmen der Standortvernetzung gibt es weitere Herausforderungen. Hier sollen VPN-Router in den FilialenVPN-Verbindungen zu Central Site Gateways in der Zentrale aufbauen, um eine sichere Kommunikation zu ermöglichen.

5

Benutzerhandbuch

1 Einführung

Bis zu einem gewissen Grad kann die Abstrahierung wie bereits oben dargestellt erfolgen, woraus folgendes Schaubildfolgt:

Diese Darstellung berücksichtigt jedoch noch nicht die notwendigen Verknüpfungen (VPN-Einstellungen) zwischen denCentral Site Gateways in Basisgruppe 1 und den VPN-Routern in Basisgruppe 2. Für diesen Zweck stellt LSR sogenannteDistributionsgruppen zur Verfügung, die Ihnen eine Verknüpfung der VPN-Router mit den Central Site Gatewaysermöglichen.

Bei den Distributionsgruppen handelt es sich um einen besonderen Gruppentyp, mit dem pro VPN-Router der Gruppedie entsprechenden Einträge auf den zugeordneten Central Site Gateways vorgenommen werden.

Wird die schematische Darstellung mit Inhalten gefüllt, wird der Aufbau deutlicher. Im Projekt existieren zwei Basisgruppen,wovon eine die Grundkonfiguration und Firmware-Version für die Central Site Gateways "LANCOM 9100+ VPN" und dieandere die Grundkonfiguration und Firmware-Version für die VPN-Router "LANCOM 1781VA" enthält. Über dieDistributionsgruppe "VPN-Gruppe" wird die Verknüpfung zwischen den VPN-Routern und den Central Site Gateways

6

Benutzerhandbuch

1 Einführung

hergestellt. Werden nun Geräte vom Typ "VPN-Router" eingerichtet, werden automatisch die Konfigurationen der CentralSite Gateways ergänzt. Daraus ergibt sich eine Netzwerkstruktur, die sich vereinfacht wie folgt darstellen lässt:

Die farbigen Linien veranschaulichen die einzelnen VPN-Verbindungen und sollen die Doppelsternstruktur des Netzwerkesdeutlich machen.

Für den Rollout haben die Geräte üblicherweise eine Vorkonfiguration erhalten, damit der Rollout-Prozess automatischoder über einen Rollout-Assistenten gestartet werden kann.

Änderungen in der Konfiguration der Basisgruppen, der Distributionsgruppe oder einzelner Geräte können zeitgesteuertausgerollt werden. Eine manuelle Konfiguration der einzelnen betroffenen Geräte ist nicht erforderlich. Das Hinzufügenvon neuen und Entfernen von alten Geräten erfolgt genauso einfach und komfortabel.

7

Benutzerhandbuch

1 Einführung

2 Passwörter im LSR und deren Nutzen

Die hier aufgeführten Konten und Passwörter sind Teil der Voraussetzungen für eine LSR-Installation. Diese Zugangsdatenwerden nur im Hintergrund benötigt und sichern sensible Bereiche der Installation separiert ab. In der Regel benötigenAnwender und Administratoren diese Passwörter nicht, weil die Management-Aufgaben, auf die sich die Zugangsdatenbeziehen, im LSRmanagement enthalten sind.

root (Linux)

Administrator für das zugrunde liegende Linux-System.

5 Sollten Sie dieses Kennwort vergessen, ist eine Neuinstallation des Systems erforderlich!

root (MySQL)

Administrator für die von LSR genutzte MySQL-Datenbank.

asadmin (Glassfish)

Administrator von Glassfish, in dem LSR ausgeführt wird.

lsradmin (MySQL-Benutzer)

MySQL-Benutzer, den Glassfish für den Zugriff auf die LSR-Datenbank (lsrdb) benutzt.

Zugriff auf die LSR-Weboberfläche nach der Installation

Das Konto "admin" stellt den Administratorzugang für LSR und LSRmanagement dar. Dieser Benutzer hat innerhalb vonLSR die Möglichkeit, weitere Konten und Passwörter für LSR anzulegen und zu verwalten. Die gleichen Zugangsdatenverwenden Sie, um über LSRmanagement die zugrunde liegende Software-Infrastruktur zu verwalten.

admin (LSR und LSRmanagement)

Administrator für LSR und LSRmanagement. Das Default-Passwort für diesen Benutzer lautet "admin" undwird während des Installationsprozesses angelegt.

5 Bitte ändern Sie das Kennwort nach der ersten Anmeldung.

Während LSR als Konfigurationsplattform für Rollout-Prozesse und das Ausrollen von Konfigurationen dient, stellt dasLSRmanagement den Wartungszugang für LSR dar. Hier verwalten Sie systemspezifische Einstellungen, wie Systemupdatesoder die LSR-Datenbank. Weitere Informationen dazu finden Sie im Kapitel LSR Management.

8

Benutzerhandbuch

2 Passwörter im LSR und deren Nutzen

3 Das Interface (GUI)

Willkommen zu LANCOM Large Scale Rollout & Management

Verwenden Sie für den ersten Login als Benutzernamen "admin" und als Passwort ebenfalls "admin". Nach dem Loginbefinden Sie sich auf der Benutzeroberfläche von LSR.

5 Am unteren rechten Bildschirmrand werden Sie aufgefordert, dem System eine valide Lizenz hinzuzufügen.Weitere Informationen zur Lizenzierung erhalten Sie im Abschnitt Lizenzierung.

3.1 Navigationsbereich

Die Einstellungs- und Verwaltungselemente von LANCOM LSR sind in zwei Bereiche unterteilt:

Projekt-Navigation

Projektbezogene Einstellungen können Sie in der Projekt-Navigation vornehmen. Diese befindet sich am linken oberenRand des LSR-Hauptfensters.

5 Die einzelnen Menüfunktionen sind erst nach dem Anlegen eines neuen Projektes aktiv.

Über diese Schaltfläche wählen Sie ein Projekt aus und verwalten es.<bitte wählen>

Über diese Schaltfläche erhalten Sie eine Übersicht der eingebundenen und damit von LSR verwaltetenGeräte.

Geräte

Über diese Schaltfläche erhalten Sie eine Übersicht der Konfigurationsgruppen.Gruppen

Über diese Schaltfläche gelangen Sie zur Übersicht der angelegten Cron-Jobs, z. B. für zeitbasierteFirmware-Updates.

Scheduling

Über diese Schaltfläche gelangen Sie zur System- und Projektprotokollierung.Logging

5 Beachten Sie bitte, dass die Schaltflächen Geräte, Gruppen, Scheduling und Logging erst aktiv nutzbar sind,nachdem Sie ein Projekt ausgewählt haben.

9

Benutzerhandbuch


System-Menüs

Das System konfigurieren Sie über die System-Menüs oben rechts unter dem LANCOM Logo. Diese Menüs umfassensowohl die System- als auch die Benutzerverwaltung.

3.2 System-Schaltflächen

Die Menüs zur Systemkonfiguration und -verwaltung erreichen Sie über die System-Schaltflächen oben rechts unter demLANCOM Logo.

LSR Start

Durch Anklicken dieser Schaltfläche gelangen Sie zur LSR-Startseite.

Benutzerkonto: [user]

Diese Schaltfläche öffnet die Einstellungen des aktiven Benutzers. Hier haben Sie die Möglichkeit, Ihr Passwortzu ändern und eine gültige E-Mail-Adresse zur Passwortwiederherstellung anzugeben.

Systemverwaltung

Diese Schaltfläche führt Sie zur Benutzer-, Rollen- und Projektverwaltung. Ebenso finden Sie hier dieSystem-Einstellungen und das Mail-Setup für die Konfiguration des SMTP-Mailservers. Wenn Sie mit der Mausüber diese Schaltfläche fahren, öffnet sich folgendes Dropdown-Menü:

5 Eine detaillierte Beschreibung dieser Funktionen finden Sie im Abschnitt GrundeinstellungenSystemverwaltung.

10

Benutzerhandbuch


Logout

Mit dieser Schaltfläche melden Sie sich vom System ab.

11

Benutzerhandbuch


4 Systemkonfiguration

Über die Elemente der Systemverwaltung haben Sie Zugriff auf die grundlegenden Konfigurationen von LSR, die Sie fürIhre Projekte benötigen. Von hier aus verwalten Sie die Benutzerkonten und System-Einstellungen, definierenBenutzer-Rollen und erweitern das System um die Unterstützung neuer LCOS-Versionen.

4.1 Grundeinstellungen Systemverwaltung

Folgende Elemente stehen Ihnen im Bereich der Systemverwaltung zur Verfügung:

DSC-Upload

Verwalten Sie unterschiedliche LCOS-Versionen im LSR, indem Sie Describer-Dateien hochladen. WeitereInformationen finden Sie im Abschnitt DSC-Upload.

Benutzerverwaltung

Verwalten Sie Benutzer-Details wie Namen, Benutzerrollen, Passwörter und Projektzuordnungen. WeitereInformationen finden Sie im Abschnitt Rollen- / Userverwaltung.

Rollenverwaltung

Definieren Sie Benutzerrollen und legen Sie die Rechte angelegter Rollen fest. Weitere Informationen findenSie im Abschnitt Rollen- / Userverwaltung.

Projektverwaltung

Verwalten Sie angelegte Projekte. Weitere Informationen finden Sie im Abschnitt Projektverwaltung.

Mail-Setup

Um Statusmeldungen versenden zu können, konfigurieren Sie den Postausgangsserver (SMTP). WeitereInformationen finden Sie im Abschnitt Mail-Konfiguration.

System Einstellungen

Hinterlegen Sie ein TACACS+-Benutzerkonto, unter dem sich LSR bei Ihren TACACS+ abgesicherten Gerätenanmelden kann.

LSR Lizenzen

Fügen Sie LSR neue Lizenzen hinzu oder löschen Sie abgelaufene Lizenzen. Weitere Informationen finden Sieim Abschnitt Lizenzierung.

12

Benutzerhandbuch


4.2 System Einstellungen

Die LSR-Systemeinstellungen finden Sie unter Systemverwaltung > System Einstellungen.

Bestätigen Sie Änderungen in den Systemeinstellungen durch Klicken auf die Schaltfläche Speichern.

4.2.1 Geräteverwaltung über TACACS+Sie haben die Möglichkeit, ein auf einem TACACS+ Server für LSR angelegtes Nutzerkonto zu verwenden. Mit diesemBenutzernamen und dem zugehörigen Kennwort ist es LSR möglich, sich mittels SSH an den verwalteten Netzwerkgerätenanzumelden, um sie zu konfigurieren oder Abfragen durchzuführen.

5 Beachten Sie bitte, dass sich LSR über TACAS+ nur an Geräten anmelden kann, deren Identitätsprüfung desAdmin-Accounts ebenfalls über einen TACACS+ Server erfolgt.

Um die Geräteverwaltung über TACACS+ zu verwenden, aktivieren Sie die Checkbox Aktiv und geben Sie die benötigtenTACACS+ Benutzerinformationen ein.

4.2.2 ADD Skripte für Rollout zulassenLegen Sie fest, ob Sie ADD Skripte im Rollout-Prozess zulassen wollen. ADD Skripte ermöglichen die automatischeÜbertragung von Konfigurations-Skripten aus Distributionsgruppen an die VPN-Konzentratoren.

Um die Verwendung von ADD Skripten zuzulassen, aktivieren Sie die Checkbox "ADD Scripte Aktiv" im Abschnitt Rollout.

4.2.3 Bearbeitung von Pool-Adressen zulassen

5 Per Default ist die manuelle Bearbeitung von Pool-Adressen deaktiviert! Bitte aktivieren Sie dieseOption nur vorübergehend und nur für gezielte Änderungen!

Die Funktion IPPool / Subnet Pool Editing ermöglicht es dem Administrator, die automatisch vergebenen IP Adressenund Subnetze der Pool-Verwaltung anzupassen. Dies kann erforderlich sein, wenn z. B. Netzwerkgeräte eines Projektes,die nicht über LSR in Betrieb genommen wurden, nachträglich dem LSR hinzugefügt werden sollen.

13

Benutzerhandbuch


4.3 Lizenzierung

Um LSR nutzen zu können ist es erforderlich, eine Software-Lizenz einmalig zu registrieren. Die Seriennummer IhresLANCOM LSR finden Sie im System-Menü oben rechts unter Systemverwaltung > LSR Lizenzen.

Zur Aktivierung Ihrer Software öffnen Sie Ihren Webbrowser und geben Sie folgende URL ein:

lancom.de/service-support/registrierungen/software/large-scale-rollout-management/.

Geben Sie dazu die Seriennummer Ihres LANCOM LSR und die erworbene Lizenznummer ein. Nach erfolgter Registrierungerhalten Sie einen Aktivierungsschlüssel für Ihre Lizenz.

Um die Aktivierung Ihrer Software durchzuführen, öffnen Sie das System-Menü.

Klicken Sie im Dropdown-Menü auf die Schaltfläche LSR Lizenzen. Fügen Sie im folgenden Dialog unter Lizenzeingabeden Aktivierungsschlüssel ein, den Sie nach erfolgter Registrierung erhalten haben.

5 Beachten Sie bitte, dass der erhaltene Aktivierungsschlüssel ausschließlich auf dem mittels Seriennummerregistrierten LSR Server verwendet werden kann.

Klicken Sie anschließend auf die Schaltfläche Daten absenden. Bei korrekter Eingabe erscheint die verwendete Lizenzim Textfeld "Eingegebene Lizenzen" und der Status wechselt von „No Keys“ zu „VALID“. Darüber hinaus zeigt IhnenLSR die Anzahl der lizenzierten Geräte sowie die verbleibende Gültigkeitsdauer der Lizenz in Tagen an.

14

Benutzerhandbuch


http://www.lancom.de/service-support/registrierungen/software/large-scale-rollout-management/

4 Wenn Sie keine Lizenz eingerichtet haben, fordert Sie LSR beim Anlegen eines Projektes zur Aktivierung IhresProduktes auf.

4.4 Mail-Konfiguration

Konfigurieren Sie unter Systemverwaltung > Mail-Setup die SMTP-Absenderdaten für LSR.

LSR informiert den Administrator per E-Mail z. B. über den Status von Geräteabnahmen.

4.5 Rollen- / User-Verwaltung

Über die System-Schaltfläche Systemverwaltung haben Sie die Möglichkeit, Rollen und Benutzer zu verwalten. LegenSie neue Einträge an, löschen Sie bestehende Einträge oder ändern Sie sie.

4 Legen Sie zunächst Benutzerrollen an. So vermeiden Sie, dass jedem neu angelegten Benutzer die Rolle"Administrator" zugewiesen und somit Vollzugriff auf das System gewährt wird.

15

Benutzerhandbuch


Rollenverwaltung

Das Rollen-Management erreichen Sie über die Schaltfläche Systemverwaltung > Rollenverwaltung. Hier haben Siedie Möglichkeit, Benutzerrollen anzulegen, zu ändern oder zu löschen. Per Default ist die Benutzerrolle "Administrator"bereits angelegt. Diese Rolle kann nicht gelöscht werden.

Mit dem Anlegen von Benutzerrollen definieren Sie die Zugriffsrechte für die Benutzer von LSR. Die Zuweisung derentsprechenden Rechte erfolgt dabei im Dialog Rollen-Konfiguration, der sich nach einem Klick auf die SchaltflächeRolle anlegen öffnet.

Die Rechteverwaltung ist in mehrere Kategorien gegliedert:

Globale Parameter

In dieser Kategorie haben Sie die Möglichkeit, die folgenden Benutzerrechte für die Rolle festzulegen:

ZugriffsrechtParameter

Rollen anlegen, ändern oder löschen.Rollenmanagement

Importieren und verwalten von Gerätekonfigurationen.DSC-Upload

Hinzufügen oder löschen von LSR-Lizenzen.Lizenzverwaltung

Benutzer anlegen, ändern oder löschen.Benutzerverwaltung

Projekte anlegen, ändern oder löschen.Projektverwaltung

Variablen anlegen, ändern oder löschen.Variablenverwaltung

5 Hat ein Benutzer das Recht, Projekte anzulegen, werden von ihm angelegte Projekte automatischdiesem Benutzer zugeordnet. Weitere Benutzer werden durch Projektzuordnung in einem Projektautorisiert und können dort Funktionen durchführen, die ihnen die Rolle gestattet.

Externe Datenquellen

Bestimmen Sie, ob und in welchem Umfang die Benutzerrolle den Zugriff des LSR auf externe Datenquellenverwalten darf.

Externe Variablen

Zugriffsberechtigung auf externe Variablen.

Geräte

Zugriffsberechtigung für die Geräteverwaltung.

Gruppen

Zugriffsberechtigung für die Gruppenverwaltung

16

Benutzerhandbuch


Scheduling

Zugriffsberechtigung für die Schedulerverwaltung.

Geräteabnahme

Zugriffsberechtigung für den Abnahmeservice.

Verschiedenes

Zugriffsberechtigung für Log-Einträge.

Räumen Sie der neuen Rolle für die verfügbaren Kategorien vollen Zugriff ein, indem Sie die übergeordnete Checkboxder jeweiligen Kategorie aktivieren oder gewähren Sie einzelne Zugriffsrechte durch die Aktivierung einzelner Checkboxen.So haben Sie z. B. die Möglichkeit, einer Rolle das Recht zuzuweisen, Benutzer anzulegen. Ändern oder Löschen bereitsangelegter Benutzer darf die Rolle jedoch nicht.

Benutzerverwaltung

Über die Schaltfläche Systemverwaltung > Benutzerverwaltung gelangen Sie in die Benutzeradministration. Hierhaben Sie die Möglichkeit, Benutzer anzulegen, zu ändern oder zu löschen. Der Standard-Benutzer "admin" ist bereitsper Default angelegt. Dieser Benutzer kann nicht gelöscht werden.

Um einen neuen Benutzer anzulegen, klicken Sie auf die Schaltfläche Benutzer anlegen. Es öffnet sich der Dialog mitden Benutzer-Details:

Geben Sie alle benötigten Daten an und ordnen Sie dem Benutzer eine Benutzerrolle zu. Sofern Sie bereits Projekteangelegt haben, können Sie den neuen Benutzer im Abschnitt "Projektzuordnung" sofort den gewünschten Projektenzuordnen. Dieser Abschnitt erscheint nach der Zuweisung einer Benutzerrolle (außer "Administrator"). WeitereInformationen zum Anlegen von Projekten erhalten Sie im Kapitel Projektverwaltung.

Mit einem Klick auf das „Schraubenschlüssel“-Symbol haben Sie die Möglichkeit, die Passwortrichtlinien für eineautomatische Passwortvergabe zu definieren. Betätigen Sie die Schaltfläche „Passwort generieren“ (gebogener Pfeil),erzeugt LSR ein zufälliges Kennwort nach den vorgegebenen Richtlinien.

4 Sie haben die Möglichkeit, die Schaltfläche „Passwort generieren“ mehrmals zu betätigen, um jeweils ein neuesKennwort erzeugen zu lassen.

17

Benutzerhandbuch


4.6 DSC-Upload

Sie haben Sie die Möglichkeit, Describer-Dateien (DSC) in LSR zu importieren. Bei DSC-Dateien handelt es sich umbeschreibende Dateien, die mögliche Konfigurationen und Auswahlen der verschiedenen Gerätetypen analog zu LANconfigabbilden. Es ist erforderlich, für jeden genutzten Firmware-Stand eine eigene DSC hinzuzufügen.

5 Describer-Dateien erhalten Sie kostenlos.

Um eine DCS-Datei zu importieren, klicken Sie im System-Menü unter Systemverwaltung auf die SchaltflächeDSC-Upload.

Wählen Sie im folgenden Dialog eine DSC-Datei für den Import aus (z. B. lanc910x_fw.dsc). Diese Datei kannlokal auf Ihrem Rechner oder im Netzwerk abgelegt sein.

5 Die Ziffernfolge im Dateinamen zeigt Ihnen die Firmware-Version an.

Klicken Sie anschließend auf die Schaltfläche Prozess starten. Der Import wird gestartet und kann einige Augenblickein Anspruch nehmen.

5 Die zu importierenden Daten müssen mindestens einer LCOS-Version 8.84 entsprechen. Ältere LCOS-Versionenunterstützt LSR nicht.

4.7 Projektverwaltung

Über die System-Schaltfläche Systemkonfiguration > Projektverwaltung gelangen Sie zur Projektübersicht. Hierhaben Sie die Möglichkeit, neue Projekte anzulegen, zu löschen oder zwischen bestehenden Projekten zu wechseln.

Mit einem Klick auf die Schaltfläche Neues Projekt gelangen Sie in die Projekteinstellungen. Vergeben Sie in diesemDialog einen Projektnamen und eine Projektnummer. Speichern Sie abschließend Ihre Einstellungen.

5 Bitte beachten Sie, dass die vergebene Projektnummer im Nachhinein nicht geändert werden kann.

Nachdem Sie das neue Projekt gespeichert haben, öffnet sich der Dialog mit weiteren Einstellungsmöglichkeiten.

Wählen Sie ein Projekt aus, indem Sie in der Projektübersicht auf das entsprechende Projekt klicken. Möchten Sie einProjektes entfernen, aktivieren Sie die Checkbox vor dem zu löschenden Projekt. Klicken Sie anschließend auf dieSchaltfläche Projekt löschen.

18

Benutzerhandbuch


5 LSR Management

Mit dem Wartungszugang des LANCOM Large Scale Rollout & Management verwalten Sie Ihre LSR-Instanz. Sie habendie Möglichkeit, das System zu aktualisieren, die LSR-Datenbank zu exportieren oder eine vorhandene Datenbank insSystem hochzuladen.

5 Ausschließlich der Benutzer "admin" hat mit seinen LSR-Zugangsdaten Zugriff auf die Management-Oberfläche.

Das LSRmanagement erreichen Sie über den Webbrowser, indem Sie die IPv4-Adresse des LSR-Servers in die Adresszeileeingeben und den Port 8081 ansteuern (z. B. 192.168.xxx.xxx:8081). Nach dem Login sehen Sie die Übersichtsseite desLSR-Managements. Diese Seite enthält Informationen über das System, wie Laufzeit oder Einzelheiten zum Dateisystem.Im einzelnen haben Sie Zugriff auf folgende Schaltflächen:

DB Maintenance

Exportieren Sie die aktuelle Datenbank oder importieren Sie eine bestehende Datenbank. Weitere Informationenfinden Sie im Kapitel Datenbankverwaltung.

LSR Maintenance

Aktualisieren Sie die LSR-Version, erhalten Sie einen Überblick über die Serverinformationen oderstarten / stoppen Sie den LSR-Server. Weitere Informationen finden Sie im Kapitel Systemverwaltung.

LSR Logs

Laden Sie sich die LSR Log Datei herunter.

5.1 Systemverwaltung

LANCOM entwickelt seine Software ständig weiter. Um die Vorteile aktueller Produktversionen nutzen zu können, ist essinnvoll, Lancom Large Scale Rollout & Management regelmäßig zu aktualisieren.

5 Bevor Sie Ihr Produkt aktualisieren, wird ein Vollbackup des gesamten Servers dringend empfohlen!

Um eine neue Version von LSR in den Application Server hochzuladen, wechseln Sie im LSR Management auf dieMenü-Schaltfläche LSR Maintenance.

Klicken Sie anschließend im linken Bereich auf die Schaltfläche Upload LSR Version. Wählen Sie das entsprechendeUpdate von Ihrem Rechner aus (z. B. lancom-lsr-app.ear) und laden Sie die neue Version ins System.

19

Benutzerhandbuch

5 LSR Management

Anschließend ist eine Veröffentlichung des Updates erforderlich. Klicken Sie hierzu links unter LSR Versions: auf diehochgeladene Datei (z. B. 1.05.xxx). Im Hauptfenster klicken Sie danach im Abschnitt "Actions" auf die SchaltflächePublish. Dieser Befehl weist den Application Server an, die gewählte Version als aktuelle Instanz zu verwenden.

Die Veröffentlichung nimmt einige Augenblicke in Anspruch.

5 Eventuell auftretende Fehlermeldungen weisen darauf hin, dass die zugehörigen Updates der SQL Datenbankbereits in der vorher installierten LSR Version enthalten waren. Diese Fehlermeldungen können somit ignoriertwerden und haben keinerlei Einfluss auf das System. Wichtig ist lediglich die Meldung, dass LSR erfolgreichaktualisiert wurde.

Möchten Sie ältere LSR-Versionen löschen, wählen Sie die betreffende Instanz wie zuvor beschrieben aus. Klicken Sie imdarauffolgenden Dialog im Abschnitt "Actions" auf die Schaltfläche Delete.

5 Beachten Sie bitte, dass keine weitere Bestätigungsabfrage zum Löschen erfolgt!

5.2 Datenbankverwaltung

Innerhalb der Datenbankverwaltung haben Sie die Möglichkeit, die LSR-Datenbank zu exportieren oder lokal angelegteDatenbanken ins System hochzuladen. Darüber hinaus können Sie sämtliche Tabellen innerhalb der LSR-Datenbank(lsrdb) löschen.

Um die LSR Datenbank zu sichern, klicken Sie auf die Schaltfläche DB Maintenance.

Sie haben nun zwei Möglichkeiten, die LSR-Datenbank zu exportieren. Hierbei wird jeweils eine Datei im Ordner./mysqldumps angelegt.

20

Benutzerhandbuch

5 LSR Management

1. Um Ihre Datenbank unkomprimiert zu exportieren, klicken Sie im linken Bereich auf die Schaltfläche Create exportfile.

2. Um Ihre Datenbank in eine komprimierte Log-Datei zu exportieren, klicken Sie auf die Schaltfläche Create zippedexport file.

Die Datenbanksicherungen werden Ihnen unter List of exported files angezeigt (z. B.db.export_2015-10-16T13-45-17 oder db.export_2015-10-16T13-45-50.gz). Mit einemKlick auf den jeweiligen Eintrag haben Sie die Möglichkeit, die angelegte Datei herunterzuladen oder dem Export einenKommentar hinzuzufügen.

5 Zum Herunterladen einer Datenbanksicherung klicken Sie mit der rechten Maustaste auf das Symbol neben demEintrag Download DB und wählen Sie Ziel speichern unter....

Zusätzlich zur Datenbanksicherung haben Sie die Möglichkeit, bereits angelegte Sicherungen oder Kommentar-Dateienzu importieren. Klicken Sie im linken Bereich auf die Schaltfläche Upload export file und wählen Sie im darauffolgendenDialog die entsprechenden lokalen Datei(en) aus. Fügen Sie dem Upload optional einen eigenen Kommentar hinzu.

Möchten Sie alle Tabellen innerhalb der LSR-Datenbank löschen, klicken Sie im linken Bereich auf den rot dargestelltenEintrag Drop all Tables. Zur endgültigen Ausführung ist eine Bestätigung des Vorgangs erforderlich.

5 Beachten Sie bitte, dass Ihre Daten in diesem Fall irreversibel gelöscht werden!

21

Benutzerhandbuch

5 LSR Management

6 Anwendungsbeispiel

Im Folgenden wird erläutert, wie mit Hilfe von LANCOM Large Scale Rollout & Management ein Stern-förmiges VPN mitmehreren Filialen effizient ausgerollt werden kann. Die Erläuterungen werden sowohl aus spezifischenHandlungsanweisungen, als auch auf allgemeinen Vorgaben bestehen, um einen übersichtlichen Rahmen zu wahren.

6.1 Ziel definieren

Es muss festgelegt werden, wie das resultierende Zielnetzwerk nach Abschluss aussehen soll. Die folgende Grafik stelltdieses Ziel vereinfacht dar. Mehrere VPN-Router sind über VPN-Tunnel mit dem Central Site VPN Gateway der Zentraleverbunden.

Hinzu kommt ein Anforderungskatalog, der entsprechend berücksichtigt werden muss. In diesem Beispiel werden folgendeDetails zusätzlich gefordert:

1 Internet-Anbindung der VPN-Router erfolgt über PPPoE (DSL) oder DHCPoE1 Routing für EC-Cash für alle Filialen

6.2 Proof of Concept

Im zweiten Schritt wird ein Proof of Concept für das Netzwerk erstellt. Hierzu werden ein Central Site VPN Gateway undein VPN-Router so konfiguriert, wie sie auch später zum Einsatz kommen würden.

Das Proof of Concept dient hier nicht allein dazu, die Machbarkeit darzustellen, sondern wird auch dazu genutzt werden,Konfigurationsskripte zu erstellen, welche später im LSR weiter verwendet werden.

Folgende Schritte müssen in diesem Abschnitt durchgeführt werden:

1 Definition der zu nutzenden Geräte

2 LANCOM 9100+ VPN mit LCOS 9.10 (Central Site VPN Gateway)2 LANCOM 1781A mit LCOS 9.10 (VPN-Router)

1 Gerätekonfigurationen für die Einsatzzwecke erstellen und prüfen1 Export der Gerätekonfiguration (numerisch – CLI-Befehl: readscript –n)

22

Benutzerhandbuch


6.3 Erstellung des Projektes im LSR

Zu dem Projekt "MyCompany" wird nun ein entsprechendes Projekt im LSR erstellt. Da LCOS 9.10 als zu nutzendeFirmware für beide Geräte festgelegt wurde, muss die entsprechende DSC über den DSC-Upload bereitgestellt werden.Die DSC-Dateien erhalten Sie auf Anfrage von der LANCOM Systems GmbH.

6.4 Erstellung von Gruppen und Variablen

Wie in der Einleitung dieses Handbuchs beschrieben, müssen die variablen und statischen Konfigurationsbereiche dereinzelnen Geräte festgestellt werden. Danach kann dann eine Aufteilung in Gruppen erfolgen.

6.4.1 BasisgruppenFür jeden Gerätetyp mit jeder Firmware muss eine Basisgruppe angelegt werden. Für dieses Beispiel werden je eineBasisgruppe "LANCOM 9100+ VPN LCOS 9.10" und eine Basisgruppe "LANCOM 1781A LCOS 9.10" benötigt.

Die Basisgruppe legen Sie unter Gruppen > Gruppe anlegen an.

23

Benutzerhandbuch


Die Basisgruppen werden mit den Default-Einstellungen angelegt, die im LSR hinterlegt sind. Dies bedeutet, dass beieinem Rollout alle Parameter des Gerätes grundsätzlich die Default-Einstellungen zugewiesen bekommen. Abweichungenwerden in den benutzerdefinierten Gruppen konfiguriert.

6.4.2 Benutzerdefinierte GruppenDie Aufteilung der Konfiguration in Gruppen erfolgt zum einen, wie bereits in der Einleitung erläutert, auf Basis dervariablen Konfigurationsbereiche zur vereinfachten Konfiguration und zum anderen auch auf logischen Zusammenhängenzur besseren Übersichtlichkeit und im Hinblick auf mögliche Erweiterungen.

Folgende benutzerdefinierte Gruppen resultieren aus diesem Ansatz:

Grundkonfiguration

Enthält Gerätename, Standort, SNMP-Community, NTP-Einstellungen, Routing-Tabellen-, DNS-, DHCP- undIP-Einstellungen.

FW_Allgemein

Enthält allgemeine Regel- und Objekttabelle.

FW-ROUTING-EC-CASH

Enthält spezielle Firewall- und Routing-Tabelleneinträge.

INTERNET_DHCP_1781

Enthält Schnittstellenkonfiguration, Kommunikationseinstellungen und Routing-Tabelleneintrag für dieInternet-Verbindung.

INTERNET_PPPoE_1781

Enthält Schnittstellenkonfiguration,Kommunikationseinstellungen und Routing-Tabelleneinträge für dieInternet-Verbindung.

VPN

Enthält VPN-Einstellungen, Routing-Tabelleneintrag, DNS-Weiterleitung, PPP-Liste.

24

Benutzerhandbuch


Diese benutzerdefinierten Gruppen müssen im LSR angelegt werden. Bei Basisgruppe wählen Sie für alle der obengenannten Gruppen "LANCOM 1781A LCOS 9.10" aus. Sie dient als Grundlage für die benutzerdefinierte Gruppe undlegt fest, welche Konfigurationsparameter verfügbar sind.

Zur Konfiguration der einzelnen Gruppen gibt es mehrere Möglichkeiten. Die Einstellungen können im LSR manuellkonfiguriert werden oder über Teilskripte aus dem Router einfach eingelesen werden. In diesem Beispiel wird nur derzweite Fall betrachtet. Hierfür werden die erstellten Skriptdateien aus dem Proof of Concept genutzt und bearbeitet.

Für jede benutzerdefinierte Gruppe werden die nicht benutzten Teile aus dem Skript gelöscht und die variablenKonfigurationsanteile durch eine Variable ersetzt. Um die Übersichtlichkeit zu wahren, ist es angeraten, nur so vieleVariablen zu nutzen, wie benötigt werden. LSR hat bereits diverse Variablen vordefiniert, die unter Projekt > Verwaltung >Variablen angezeigt werden können. Die im Skript eingesetzten Variablen müssen nicht vorab im LSR angelegt werden.Beim Import der CSV-Datei können noch nicht vorhandene Variablen automatisch angelegt werden, sofern die Optionbeim Import aktiviert ist. Diese werden initial vom Typ String angelegt, können aber nachträglich bearbeitet werden.

Das Skript können Sie unter Gruppen in den Gruppeneinstellungen der entsprechenden Gruppe hochladen, indem Sieüber die Schaltfläche Auswählen beim Punkt Skript-Datei die entsprechende Datei auswählen und mit Anwendenbestätigen. Hier laden Sie auch das Skript mit den Konfigurationswerten für die Basisgruppe des "LANCOM 9100+ VPN"hoch. Da diesem Gerät nur die Distributionsgruppe zugewiesen wird, können alle Einstellungen in der Basisgruppevorgenommen werden.

Als Beispiel dient im Folgenden die Skriptdatei der benutzerdefinierten Gruppe "Grundkonfiguration". Die Variablen sindzur besseren Übersicht hervorgehoben. In den Skriptdateien beginnen und enden Variablen immer mit einem $.

# ** Group-Configuration 'Grundkonfiguration' **

# ** group 'Grundkonfiguration' **

# table "IP-Netzwerke" - "IPv4 / Allgemein":cd /2/7/30tab 1 2 3 7 4 5 6 8 9 add INTRANET "$DEVICE_ADDRESS$" "$Netzwerk_Maske$" "1" "0" "256" "0" "0" ""

cd /

set /2/1 "$DEVICE_NAME$"set /2/9/4 "Filiale_$DEVICE_NAME$"set /2/9/15 "$DEVICE_SNMP_COMMUNITY$"

25

Benutzerhandbuch


# table "Zugriffs-Rechte" - "Management / Admin":cd /2/11/15tab 1 2 7 8 3 5 4 6

cd /

set /2/14/1 "0"

# table "Zeit-Server" - "Datum/Zeit / Synchronisierung":cd /2/26/11tab 1 2 add 192.168.120.1 ""

cd /

set /2/7/7 "192.168.243.1"set /2/7/8 "10.10.10.1"

# table "DHCP-Netzwerke" - "IPv4 / DHCPv4":cd /2/10/20tab 1 11 12 16 13 17 18 19 14 15 2 3 4 5 6 7 8 9 10 add INTRANET "1" "0" "0" "0.0.0.0" "0.0.0.0" "0.0.0.0" "0.0.0.0" "0" "0" "$DHCP_von$" "$DHCP_bis$" "0.0.0.0" "0.0.0.0" "0.0.0.0" "0.0.0.0" "0.0.0.0" "0.0.0.0" "0.0.0.0"

cd /

# table "IPv4-Routing-Tabelle" - "IP-Router / Routing":cd /2/8/2tab 1 2 8 6 3 4 5 7 del 192.168.0.0 255.255.0.0 0 "0" "0.0.0.0" "0" "0" "" del 172.16.0.0 255.240.0.0 0 "0" "0.0.0.0" "0" "0" "" del 10.0.0.0 255.0.0.0 0 "0" "0.0.0.0" "0" "0" "" add 224.0.0.0 224.0.0.0 0 "0" "0.0.0.0" "0" "0" ""

cd /

# ** manual group 'Grundkonfiguration' **

6.4.3 CSV-Import von GerätenAlle Geräte von Hand im LSR anzulegen ist erheblicher Aufwand. Von daher können Geräte einfach über eine CSV-Dateiimportiert werden. Der Import erfolgt über die Schaltfläche CSV-Import unter Geräte > Weiteres. Eine Beispieldateikönnen Sie einfach erzeugen, indem Sie ein beliebiges Gerät im LSR anlegen und dann einen CSV-Export dieses Gerätesdurchführen.

26

Benutzerhandbuch


6.4.4 Zuweisung von Gruppen zu GerätenAuch die Zuweisung von Gruppen zu den einzelnen Geräten kann über die CSV-Datei erfolgen. In der VariableDEVICE_GROUPS können alle Gruppen durch Semikolon separiert aufgelistet werden.

Zusätzlich können Gruppen in den Geräteeigenschaften im Unterpunkt Gruppen im LSR zugewiesen werden. Diesefinden Sie unter Geräte, indem sie auf das gewünschte Gerät klicken.

Bei der Zuweisung der Gruppen ist die Reihenfolge wichtig. Die Gruppe, die am weitesten oben steht, hat die höchsteRelevanz und wird zuletzt ins Gerät geschrieben. Abhängig von den Konfigurationen der Gruppen, können diese auchKonfigurationsparameter vorheriger Gruppen überschreiben. Die Basisgruppe eines Gerätes wird immer als erstes geladen.Die Positionierung einer Distributionsgruppe in der Reihenfolge ist für einen VPN-Router beliebig, da diese nurInformationen für das Central Site VPN Gateway bereitstellen.

27

Benutzerhandbuch


6.4.5 DistributionsgruppeDie Distributionsgruppe wird wie eine benutzerdefinierte Gruppe angelegt und später allen Geräten (Central Site VPNGateway und VPN-Routern) zugewiesen werden. Auch hier kann ein Skript genutzt werden, um die Konfigurationspunktefestzulegen, die entsprechend im Central Site VPN Gateway genutzt werden sollen. In diesem Beispiel entnimmt sie diefür die VPN-Verbindung relevanten Konfigurationsinformationen aus den Daten und Variablen der VPN-Router underzeugt die notwendigen Einträge für das Central Site VPN Gateway. Sie ist auch die einzige Gruppe, die dem LANCOM9100+ VPN zugewiesen wird, da alle anderen Informationen bereits in der Basisgruppe konfiguriert wurden.

6.5 Rollout

Der Rollout-Prozess kann mit verschiedenen Verfahren erfolgen. Zum einen kann der Rollout auf Geräte-ID und TAN oderauf der Seriennummer des Gerätes basieren. Beide Verfahren haben unterschiedliche Vorteile. Dieses Beispiel beschränktsich auf das Verfahren mit Geräte-ID und TAN.

6.5.1 Verfahren: Geräte-ID und TANBei dem Verfahren mit Geräte-ID und TAN wird das Gerät im Vorfeld des Rollouts mit Konfigurations-Parameternvorbereitet. Dabei handelt es sich zum einen um Vorbelegungen für den Rollout-Assistenten und zum anderen um solche,die zum Beispiel die notwendige Internetverbindung herstellen, zum Beispiel eine DSL-Verbindung für den Rollout, diean jedem Anschluss gültig ist.

Diese Rollout-Konfiguration und die passende Firmware kann zum Beispiel über einen USB-Stick einfach auf das Gerätaufgespielt werden. (Genauere Informationen hierzu finden Sie im LCOS-Referenzhandbuch im Kapitel "AutomatischesLaden von Firmware oder Konfiguration über USB".

Die Vorbelegungen für den Rollout-Assistenten finden Sie auf der Kommandozeile des LCOS unter/Setup/HTTP/Rollout-Wizard/Vorbelegungen. Dort können Sie auch die Vorbelegungen ändern.

Hier ein Beispiel für die möglichen Vorbelegungen:

Benutze VorbelegungVorbelegungName

jahttpsProtokoll

jamylsr.mycompany.deRollout Host

ja443Port

jaINTRANET -nQuell-Loopback-Adresse

jauserBenutzername

japasswdPasswort

ja1Projekt

neinGeraete-ID

neinTAN

Erläuterungen der Vorbelegungen für den Rollout-Assistenten

Ein Ja in der Spalte "Benutze-Vorbelegung" bedeutet, dass dieses Feld im Rollout-Assistenten mit den entsprechendenWerten vorbelegt wird und dem Techniker, der das Gerät anschließt nicht als konfigurierbare Option angezeigt wird. EinNein bedeutet, dass eine Eingabe durch den Techniker erforderlich ist.

28

Benutzerhandbuch


Protokoll

Der Parameter Protokoll gibt an, welches Protokoll zur Anfrage beim LSR benutzt wird. Es handelt sich dabeiim Default um https.

Rollout-Host

Die IP-Adresse oder der Name, worunter das LSR erreicht werden kann. Diese(n) legen Sie im Rahmen derInstallation des LSR fest und müssen sich unter MyCompany > Verwaltung > Bearbeiten in dem FeldRollout-Adresse zusammen mit dem https-Protokoll zur Kommunikation wiederfinden (Beispiel:https://mylsr.mycompany.de).

Port

Der für die Kommunikation zu nutzende Port.

Quell-Loopback-Adresse

Die Loopback-Adresse dieses Gerätes. Zusätzlich wird der Parameter -n in diesem Beispiel verwendet, umdie Zertifikatsprüfung zu deaktivieren. Diese Einstellung ist optional und kann zusammen mit derQuell-Loopback-Adresse in den Vorbelegungen angegeben werden.

Benutzername

Der Benutzername für den Rollout. Diesen legen Sie im LSR unter MyCompany > Verwaltung > Bearbeitenin dem Feld Rollout-Benutzername fest. Dieser Benutzername wird für den Rollout des gesamten Projektsbenutzt und dient zur Authentifizierung des Gerätes am LSR.

Passwort

Das Passwort für den Rollout. Dieses legen Sie im LSR unter MyCompany > Verwaltung > Bearbeiten indem Feld Rollout-Passwort fest. Dieses Passwort wird für den Rollout des gesamten Projekts benutzt unddient zur Authentifizierung des Gerätes am LSR.

Projekt

Projektnummer des Projektes. Diese ist unter MyCompany zu finden.

Geräte-ID

Hier kann die Geräte-ID des auszurollenden Gerätes hinterlegt werden. Im Verfahren mit Geräte-ID und TANbleibt dieses Feld leer und muss vom Techniker bei Inbetriebnahme im Rollout-Assistenten angegeben werden.Die Geräte-ID wird im LSR in den Geräteparametern des entsprechenden Gerätes festgelegt. Sie muss innerhalbdes Projekts eindeutig sein.

TAN

Hier kann die TAN des auszurollenden Gerätes hinterlegt werden. Im Verfahren mit Geräte-ID und TAN bleibtdieses Feld leer und muss vom Techniker bei Inbetriebnahme im Rollout-Assistenten angegeben werden. DieTAN wird im LSR in den Geräteparametern des entsprechenden Gerätes festgelegt.

6.5.2 Durchführung des RolloutsWenn der Techniker das Gerät anschließt und den Rollout-Assistenten in WEBconfig durchführt, muss er nun nur Geräte-IDund TAN eingeben. Aus diesen Informationen erstellt der Rollout-Assistent ein Skript, welches in die "Cron-Tabelle" desLCOS geschrieben wird und für die Anfragen am LSR sorgt. In dem genutzten Beispiel würden die Einträge in der"Cron-Tabelle" wie folgt aussehen:

KommandoMinuteVariationBasisAktivIndex

"exec: sl 4s ; loadfir -n INTRANET/10Betriebszeitja100

https://user:[email protected]/RSD?startup=1

&serial=%s&pnr=001&deviceid=5986

29

Benutzerhandbuch


KommandoMinuteVariationBasisAktivIndex

&tan=1234&type=%device"

"exec: sl 9s ; loads -n INTRANET/10Betriebszeitja101

https://user:[email protected]/RD?config=1

&serial=%s&pnr=1&fwversion=9.10&fwbuild=0426

&deviceid=5986 &tan=1234"

Erläuterungen der Einträge

Erste Zeile

100 ja Betriebszeit 0 "/1" "" "" "" "" "exec: sl 4s ; loadfir -n INTRANEThttps://user:[email protected]/RSD?startup=1&serial=%s&pnr=1&deviceid=5986&tan=1234&type=%device"

Dieser Eintrag dient dazu, das Gerät am LSR anzumelden.

100 (Index)

Index des Eintrages. Die Einträge werden nach dem Index in aufsteigender Reihenfolge abgearbeitet.

Ja (Aktiv)

Der Eintrag ist aktiv.

Betriebszeit (Basis)

Die Zeitangaben basieren auf der Zeit nach dem letzten Bootvorgang.

0 (Variation)

Keine Abweichung zur genutzten Zeit.

/1 (Minute)

Das Kommando wird jede Minute wiederholt.

"exec: sl 4s ; loadfir -n INTRANEThttps://user:[email protected]/RSD?startup=1&serial=%s&pnr=001&deviceid=5986&tan=1234&type=%device" (Kommando)

Das durchzuführende Kommando:

1 exec: Leitet die Ausführung eines Befehls ein.1 sl 4s; Sleep für 4 Sekunden, die Ausführung der nachfolgenden Teile dieses Befehls werden um 4 Sekunden

verzögert..1 loadfir -n Startet den Anmelde-Prozess.1 INTRANET Die genutzte Loopback-Adresse des Gerätes.1 https://user:[email protected]/RSD?startup=1&serial=%s&pnr=1&deviceid=5986

&tan=1234&type=%device

Die URL mit entsprechenden Parametern. Die Variablen werden hierbei automatisch aus dem Gerätausgelesen, während die anderen Werte aus dem Rollout-Assistenten und den entsprechendenVorbelegungen resultieren.

User

Benutzername für Rollout, (siehe Vorbelegungen)

30

Benutzerhandbuch


passwd

Passwort für Rollout, (siehe Vorbelegungen)

mylsr.mycompany.de

Rollout-Host, (siehe Vorbelegungen)

serial=%s

Seriennummer des Gerätes.

pnr

Projektnummer. In diesem Beispiel 1.

deviceid

Geräte-ID des Gerätes. In diesem Beispiel 5986.

tan

TAN des Gerätes. In diesem Beispiel 1234.

type=%device

Gerätetyp

Zweite Zeile

101 ja Betriebszeit 0 "/1" "" "" "" "" "exec: sl 9s ; loads -n INTRANEThttps://user:[email protected]/RD?config=1&serial=%s

&pnr=1&fwversion=9.10&fwbuild=0426&deviceid=5986&tan=1234"

Dieser Eintrag dient dazu, die zum Gerät zugehörige Konfiguration zu beziehen.

101 (Index)

Index des Eintrages. Die Einträge werden nach dem Index in aufsteigender Reihenfolge abgearbeitet.

Ja (Aktiv)

Der Eintrag ist aktiv.

Betriebszeit (Basis)

Die Zeitangaben basieren auf der Zeit nach dem letzten Bootvorgang.

0 (Variation)

Keine Abweichung zur genutzten Zeit.

/1 (Minute)

Das Kommando wird jede Minute wiederholt.

"exec: sl 9s ; loads -n INTRANEThttps://user:[email protected]/RD?config=1&serial=%s&pnr=1&fwversion=9.10&fwbuild=0426&deviceid=5986&tan=1234" (Kommando)

Das durchzuführende Kommando:

1 exec: Leitet die Ausführung eines Befehls ein.1 sl 9s; Sleep für 9 Sekunden, die Ausführung der nachfolgenden Teile dieses Befehls werden um 9 Sekunden

verzögert.1 loads -n Startet den Prozess des Script Downloads.1 INTRANET Die genutzte Loopback-Adresse des Gerätes.1 https://user:[email protected]/RD?config=1&serial=%s&pnr=1&fwversion=9.10

&fwbuild=0426&deviceid=5986&tan=1234

31

Benutzerhandbuch


Die URL mit entsprechenden Parametern. Die Variablen werden hierbei automatisch aus dem Gerätausgelesen, während die anderen Werte aus dem Rollout-Assistenten und den entsprechendenVorbelegungen resultieren.

User

Benutzername für Rollout, (siehe Vorbelegungen)

passwd

Passwort für Rollout, (siehe Vorbelegungen)

mylsr.mycompany.de

Rollout-Host, (siehe Vorbelegungen)

serial=%s

Seriennummer des Gerätes.

pnr

Projektnummer. In diesem Beispiel 1.

fwversion

Firmware-Version des Gerätes. In diesem Beispiel 9.10.

fwbuild

Die Build-Nummer der Firmware. In diesem Beispiel 0426.

deviceid

Geräte-ID des Gerätes. In diesem Beispiel 5986.

tan

TAN des Gerätes. In diesem Beispiel 1234.

6.5.3 Abschluss des RolloutsWenn der Rollout der Konfiguration abgeschlossen ist, wird die Konfiguration noch nicht direkt gespeichert, sofern einAbnahmetest definiert ist. Es wird stattdessen zuerst ein Abnahmetest durchgeführt und erst wenn dieser erfolgreich ist,wird die Konfiguration im Gerät gespeichert. Ist der Test nicht erfolgreich, bootet das Gerät neu und fällt auf die vorherigeKonfiguration zurück. Das LSR unterbindet eine erneute Abfrage der Konfiguration, indem es den Rollout Start auf einenweit späteren Zeitpunkt setzt. So wird verhindert, dass zum einen immer wieder neu die nicht funktionale Konfigurationabgerufen wird und zum anderen nicht immer wieder der gleiche Fehler gemeldet wird. Der Administrator kann in denGeräteparametern des entsprechenden Gerätes den Rollout Start nach Beheben des Problems auf ein passendes Datumsetzen.

Der Abnahmetest wird im folgenden Kapitel beschrieben.

6.5.4 AbnahmetestDer Abnahmetest dient dazu, eine ausgerollte Konfiguration zu prüfen und die Funktionalität zu verifizieren. In dembesprochenen Beispiel soll zum Abschluss des Rollouts ein Ping über den VPN-Tunnel an das Central Site VPN Gatewayerfolgen. Somit wird sichergestellt, dass der Rollout-Prozess erfolgreich war und das Gerät in der erwarteten Weisearbeitet.

Unter MyCompany > Verwaltung > Bearbeiten konfigurieren Sie die Geräteabnahme.

Hier können Sie E-Mail-Empfänger sowohl für die erfolgreiche Abnahme als auch bei Fehlern definieren. Diese werdenin den entsprechenden Situationen vom LSR benachrichtigt. In den darauf folgenden Feldern können Sie die Texte für

32

Benutzerhandbuch


die E-Mails entsprechend vorgeben, Infobereich, Erfolg, Fehler und ob der Befehl des Abnahmetests in der E-Mailenthalten sein soll.

Zusätzlich wird hier der eigentliche Abnahmetest definiert. Dies umfasst die Wartezeit (in Sekunden) nach der erfolgreichenVerbindung mit dem LSR, als auch die Wartezeit (in Minuten) nach dem Fehlschlagen des Abnahmetests bis das Gerätneu startet und auf die vorherige Konfiguration zurückfällt. Dies gilt auch für Änderungen über den Scheduler.

Zusätzlich müssen die entsprechenden durchzuführenden Befehle für den Abnahmetest angegeben werden. Diese werdenvom LSR auf dem Gerät ausgeführt (CLI-Befehle). In diesem Beispiel ein Ping auf die LAN-Adresse des Central Site VPNGateways, welcher nur durch den VPN-Tunnel erfolgreich durchgeführt werden kann.

Hierzu wird bei Befehl der Ping-Befehl mit seinen Parametern angegeben. In diesem Beispiel ping -a INTRANET10.10.252.1 -c 5.

Als Timeout werden 10 Sekunden definiert. Wenn innerhalb dieses Zeitraums keine Antworten eingehen, wird der Testals fehlgeschlagen gewertet. Im Feld Erfolgspattern wird ein regulärer Ausdruck angegeben, auf den die Ausgabe desBefehls geprüft wird. In unserem Beispiel wird der Test als erfolgreich bewertet, wenn 4 oder 5 der 5 gesendeten Pingsbeantwortet wurden. In diesem Fall lautet der reguläre Ausdruck .*[4|5] Packets received.*.

Zusätzlich können über Gruppen- und Tagfilter verschiedene Tests für verschiedene Gruppen oder Geräte definiert werden.Auch in diesen Feldern können reguläre Ausdrücke genutzt werden, um auf mehrere Gruppen oder Tags zu filtern.Mehrere Gruppen können als kommaseparierte Liste im regulären Ausdruck aufgenommen werden.

33

Benutzerhandbuch


6.6 Fazit

Auf dieser Basis können beliebig viele VPN-Router für Filialen ausgerollt werden, was in der sternförmigen VPN-Strukturresultiert, die im Ziel vorgegeben wurde. Für weitere Geräte müssen nur noch die Werte für die Variablen bereitgestelltwerden, zum Beispiel über einen CSV-Import.

34

Benutzerhandbuch


Documents

Benutzerhandbuch - lancom-systems.de · System-Einstellungen und das Mail-Setup für die Konfiguration des SMTP-Mailservers. Wenn Sie mit der Maus Wenn Sie mit der Maus über diese