IP Office (R3.0) - Avaya Supportsupport.avaya.com/elmodocs2/ip_office/R3.1/german/ip_office_vpn_de.pdf · IP Office kann für den LAC-Betrieb verwendet werden, bietet aber keine PPP-Datenübertragung

IP Office (R3.0) Virtuelles privates Netzwerk (VPN)

40DHB0002DEER Version 3 (23.09.2005)

Virtuelles privates Netzwerk (VPN) Seite iii 40DHB0002DEER Version 3 (23.09.2005) Virtual Private Networks (VPNs)

Inhaltsverzeichnis Einführung .................................................................................................................................... 5 Virtual Private Networks (VPNs)................................................................................................................. 5

Allgemeines ........................................................................................................................................... 6 Weitere Referenz ................................................................................................................................... 6

Überblick über IPSec- und L2TP-Technologien........................................................................ 7 Einführung .................................................................................................................................................. 7 Allgemein.................................................................................................................................................... 7 IPSec .......................................................................................................................................................... 8 L2TP ........................................................................................................................................................... 9

Obligatorischer Tunnel......................................................................................................................... 10 Optionaler Tunnel ................................................................................................................................ 10

Einführung in die Implementierung einer sicheren VPN-Verbindung.................................. 11 Implementierung von IPSec ..................................................................................................................... 11 L2TP-Implementierung ............................................................................................................................. 12 Implementierung eines logischen LAN ..................................................................................................... 14 Typischer Einsatz einer VPN-Verbindung ................................................................................................ 16

Öffentliche Netzwerke.......................................................................................................................... 17 Öffentliche Schnittstelle ....................................................................................................................... 18 Internes LAN........................................................................................................................................ 19 VPN-Client ........................................................................................................................................... 20 VPN und VoIP...................................................................................................................................... 21 Variablen zur Berechnung der Bandbreite........................................................................................... 22 Berechnen der erforderlichen Bandbreite ............................................................................................ 24 Maximale Last...................................................................................................................................... 26

Konfiguration.............................................................................................................................. 27 IPSec-Konfiguration.................................................................................................................................. 27

Einführung in IPSec ............................................................................................................................. 27 Das Menü "IP-Sicherheit" .................................................................................................................... 27 Registerkarten "IKE-Richtlinen" und "IPSec-Richtlinien" ..................................................................... 30

L2TP-Konfiguration................................................................................................................................... 33 L2TP – Einführung ............................................................................................................................... 33 Menü "Logisches LAN" ........................................................................................................................ 34 Registerkarte "L2TP/Tunnel" ............................................................................................................... 36 Registerkarte "L2TP/L2TP".................................................................................................................. 37 Registerkarte "L2TP/PPP" ................................................................................................................... 38

Konfigurationsbeispiele ............................................................................................................ 39 Teil 1: Basis-Internetzugang..................................................................................................................... 40

Internetzugang über eine logische Schnittstelle .................................................................................. 40 Basis-Internetzugang über LAN2......................................................................................................... 42

Teil 2: VPN-Konfiguration ......................................................................................................................... 44 IPSec – Zwischen zwei IP Office-Systemen über ADSL unter Verwendung des logischen LAN ........ 44 L2TP/IPSec zwischen zwei IP Office-Systemen.................................................................................. 48 IPSec-Client-Anwendung (dynamischer Modus) ................................................................................. 53 IPSec über WAN.................................................................................................................................. 57

Teil 3: VoIP-Konfiguration......................................................................................................................... 62 Glossar ........................................................................................................................................ 65

Index ............................................................................................................................................ 69

Virtuelles privates Netzwerk (VPN) Einführung - Seite 5 40DHB0002DEER Version 3 (23.09.2005)

Einführung Virtual Private Networks (VPNs) Bei der Entwicklung der Virtual Private Networks (VPNs) spielt der wachsende Bedarf von Unternehmen an Weitbereichsnetzwerkfunktionen eine große Rolle. Dieser Bedarf entsteht aus einer Kombination von technologischem Fortschritt einerseits und neuen Arbeitsgewohnheiten und Arbeitsumgebungen andererseits. Die neue VPN-Funktionalität von Avaya IP Office bietet kleinen und mittelständischen Unternehmen eine kostengünstige Alternative zur Anmietung von Leitungen und zu Frame Relay-Diensten für die Zusammenschaltung von Standorten. Des Weiteren können die immensen Kosten im Zusammenhang mit der Nutzung von Remote-Zugriffsservern (Remote Access Server, RAS) durch Telearbeiter und mobile Mitarbeiter vermieden werden. Stattdessen können diese Mitarbeiter das öffentliche Internet nutzen.

Abbildung 1: Ein Virtual Private Network

IP Office VPN wird als kundenseitiges VPN implementiert, eine Methode, die von den meisten kleinen und mittelständischen Unternehmen genutzt wird. Die VPN-Funktionalität ist im IP Office-Server integriert und bietet die Vorteile einer einheitlichen Lösung, wie die einfache Verwaltung und die niedrigen Betriebskosten.

Virtuelles privates Netzwerk (VPN)

Seite 6 - Einführung Virtuelles privates Netzwerk (VPN) 40DHB0002DEER Version 3 (23.09.2005)

Allgemeines Dieses Handbuch enthält Szenarios und Beispiele für die VPN-Implementierung auf einem IP Office-Server mit Softwareversion 3.0 oder höher. Es wird vorausgesetzt, dass der Leser über Kenntnisse im Zusammenhang mit Netzwerken verfügt. Detaillierte Kenntnisse im Zusammenhang mit Sicherheitsprotokollen und Verschlüsselung sind nicht erforderlich.

Weitere Referenz Die IPSec- und L2TP-Spezifikationen werden ausführlich in offenen Foren diskutiert. Es wird empfohlen, die aus diesem Handbuch gewonnenen Kenntnisse durch ausführlichere Erläuterungen zu ergänzen. Weitere Informationen erhalten Sie beim Virtual Private Network Consortium http://www.vpnc.org/terms.html.

Virtuelles privates Netzwerk (VPN) Überblick über IPSec- und L2TP-Technologien - Seite 7 40DHB0002DEER Version 3 (23.09.2005)

Überblick über IPSec- und L2TP-Technologien Einführung In diesem Abschnitt wird ein kurzer Überblick über Schlüsselbegriffe und Verweise zu Tunnelprotokollen gegeben, die die neuen Funktionen von IP Office ab Version 3.0 für sichere VPN-Netzwerke unter Verwendung von Internet Security (IPSec) und L2TP umfassen. Die Informationen und Erläuterungen in diesem Dokument beziehen sich speziell auf folgende Softwareversionen:

Komponente Softwareversion IP Office (alle Plattformen) 2.1 SysMonitor 2.1 Manager 2.1 Cisco IOS® (nur Pre-shared-Modus) 12.2+ NetScreen Remote VPN Client 10.0

Allgemein Bei sicheren VPNs unterstützt IP Office die folgenden Technologien:

• IPSec • L2TP obligatorisch/optional (optional: geheime Pre-Shared-Authentifizierung)

IPSec ist das primäre VPN-Tunnelprotokoll und eine IP Office-Funktion, die lizenziert werden kann.

• VORSICHT: Im gesamten Dokument werden Beispiele für verschiedene VPN-Szenarien angeführt. Bei den verwendeten IP-Adressen handelt es sich NUR UM BEISPIELE. Tatsächlich zu verwendende IP-Adressen erhalten Sie von Ihrem Netzwerkadministrator.


Seite 8 - Überblick über IPSec- und L2TP-Technologien Virtuelles privates Netzwerk (VPN) 40DHB0002DEER Version 3 (23.09.2005)

IPSec IP-Pakete verfügen über keinen eigenen Schutz. Daher wird IPSec verwendet, wenn Schutz erforderlich ist. IPSec ist eine Methode zum Schutz von IP-Datagrammen und bietet Folgendes:

1. Authentifizierung der Herkunft der Daten 2. Authentifizierung der Datenintegrität 3. Vertraulichkeit des Dateninhalts

IPSec schützt IP-Pakete durch die Angabe, welcher Datenverkehr geschützt werden soll, wie der Datenverkehr geschützt wird und an wen er gesendet wird. Für diese Methode zum Schutz von IP-Paketen wird eines der IPSec-Protokolle, ESP (Encapsulating Security Payload) oder der Authentifizierungs-Header (AH) verwendet. IPSec ist eine Gruppe von Protokollen, die von der IETF (Internet Engineering Task Force) entwickelt und verwaltet werden. Das IPSec-Grundgerüst beruht auf Modulen und Komponenten. In der Abbildung unten sehen Sie die gegenseitigen Beziehungen zwischen allen IPSec-Dokumenten, die auf der Modul-Herangehensweise beruhen. Beachten Sie, dass diese Gruppen jeweils einem bestimmten Zweck dienen und in ihrer Gesamtheit eine Modullösung für Internet-Sicherheitsprobleme bieten. Durch Aufschlüsselung von IPSec in diese sieben verschiedenen Bereiche wird das Ziel jeder Dokumentengruppe besser verständlich.

Abbildung 2: IPSec-Grundgerüst

Überblick über IPSec- und L2TP-Technologien

Virtuelles privates Netzwerk (VPN) Überblick über IPSec- und L2TP-Technologien - Seite 9 40DHB0002DEER Version 3 (23.09.2005) L2TP

L2TP Das Protokoll L2TP (Layer 2 Tunneling Protocol) ermöglicht die Erstellung eines Tunnels für IP-Datenverkehr auf Ebene 2. Es leitet sich von den beiden Tunnelprotokollen PPTP und L2F ab. L2TP basiert auf dem gängigen Point-to-Point Protocol (PPP) für Datenübertragung im Internet und auf TCP/IP (Transmission Control Protocol/Internet Protocol). Bei der L2TP-Übertragung werden IP-Datenpakete in PPP erstellt und über ein IP-Netzwerk gesendet. Nach Erhalt werden der IP- und der PPP-Header gelöscht. Übrig bleibt das ursprüngliche IP-Datenpaket. Auf diese Weise können IP-Pakete über eine mit PPP authentifizierte Verbindung übertragen werden. In der folgenden Abbildung sind die beiden Modi für einen L2TP-Tunnel dargestellt.

Abbildung 3: L2TP-Tunnel-Modi


Seite 10 - Überblick über IPSec- und L2TP-Technologien Virtuelles privates Netzwerk (VPN) 40DHB0002DEER Version 3 (23.09.2005)

Obligatorischer Tunnel Ein obligatorischer Tunnel ist ein L2TP-Tunnel, der nicht vom Benutzer gesteuert wird. In diesem Fall greift der DFÜ-Client-PC auf das private Netzwerk zu, indem zuerst ein L2TP Access Concentrator (LAC) angerufen wird. Dieser beendet die Telefonverbindung und richtet einen L2TP-Tunnel zum L2TP-Netzwerkserver (LNS) ein. In diesem Modus wird die PPP-Sitzung zwischen DFÜ-Client-PC und LNS/L2TP eingerichtet, und zwar zwischen dem LAC und dem Network Access Server (NAS). IP Office kann für den LAC-Betrieb verwendet werden, bietet aber keine PPP-Datenübertragung. In der Implementierung von IP Office 2.1 wird die eingehende PPP-Sitzung lokal beendet. Anschließend wird der L2TP-Tunnel zum LNS eingerichtet. Der Inhalt der eingehenden PPP-Sitzung wird extrahiert und normal über den vorhandenen Tunnel weitergeleitet.

Optionaler Tunnel Beim optionalen Tunnelmodus wird ein L2TP-Tunnel direkt zwischen dem Benutzer und dem LNS eingerichtet. Wenn L2TP eingerichtet ist, wird PPP in der Sitzung verwendet. Der optionale Tunnelmodus ist der primäre Betriebsmodus für die L2TP-Implementierung von IP Office. In der folgenden Tabelle sind die bei der Einrichtung und Steuerung eines L2TP-Tunnels verwendeten L2TP-Paketübertragungen dargestellt.

Nachrichtentyp Beschreibung

Start-Control-Connection-Request (SCCRQ)

Wird vom L2TP-Client zur Einrichtung der Steuerverbindung gesendet. Bei jedem L2TP-Tunnel muss eine Steuerverbindung eingerichtet werden, bevor L2TP-Nachrichten versendet werden können. Enthält eine zugewiesene Tunnel-ID.

Start-Control-Connection-Reply (SCCRP)

Wird vom L2TP-Server als Antwort auf die Start-Control-Connection-Request-Nachricht gesendet.

Start-Control-Connection-Connected (SCCRN)

Antwort auf eine Start-Control-Connection-Reply-Nachricht, die darauf hinweist, dass der Tunnel erfolgreich eingerichtet wurde.

Outgoing-Call-Request Wird vom L2TP-Client zur Einrichtung eines L2TP-Tunnels gesendet. Die Outgoing-Call-Request-Nachricht enthält eine ID für den zugewiesenen Anruf, mit der ein Anruf in einem bestimmten Tunnel identifiziert wird.

Outgoing-Call-Reply Wird vom L2TP-Server als Antwort auf die Outgoing-Call-Request-Nachricht gesendet.

Start-Control-Connection-Connected

Antwort auf eine Outgoing-Call-Reply-Nachricht, die darauf hinweist, dass der Anruf erfolgreich war.

Hello Wird vom L2TP-Client bzw. L2TP-Server als Aktivitätsnachricht gesendet. Wird das "Hello" nicht bestätigt, wird der L2TP-Tunnel beendet.

WAN-Error-Notify Wird vom L2TP-Server an alle VPN-Clients versendet. Enthält Fehlerbedingungen an der PPP-Schnittstelle des L2TP-Servers.

Set-Link-Info Wird vom L2TP-Client bzw. L2TP-Server zur Einrichtung der über PPP ausgehandelten Optionen gesendet.

Call-Disconnect-Notify Wird vom L2TP-Server bzw. L2TP-Client gesendet und weist darauf hin, dass ein Anruf innerhalb eines Tunnels beendet werden muss.

Stop-Control-Connection-Notification

Wird vom L2TP-Server bzw. L2TP-Client gesendet und weist darauf hin, dass ein Tunnel beendet werden muss.

Virtuelles privates Netzwerk (VPN) Einführung in die Implementierung einer sicheren VPN-Verbindung - Seite 11 40DHB0002DEER Version 3 (23.09.2005)

Einführung in die Implementierung einer sicheren VPN-Verbindung Die IP Office-Lösungen für sichere VPN-Verbindungen umfassen sowohl IPSec- als auch L2TP-Tunnelprotokolle. Diese Protokolle können einzeln oder zusammen verwendet werden, um eine sichere VPN-Verbindung zu gewährleisten. In diesem Abschnitt wird die Implementierung der beiden Protokolle beschrieben. Des Weiteren wird erläutert, wie IP Office bei Verwendung von IPSec ein an einer Schnittstelle eingehendes nicht geschütztes Paket handhabt.

Implementierung von IPSec Ein eingehendes ungeschütztes Paket ist ein Paket, das nicht durch IPSec geschützt ist und somit an einer Schnittstelle außerhalb eines eingerichteten IPSec-Tunnels empfangen wurde. Im Kontext von IPSec wird dies als "nicht sicheres" Paket bezeichnet. Wenn das eingehende ungeschützte Paket den Bedingungen in einem konfigurierten IPSec-Formular entspricht, wird mit dem angegebenen sicheren Gateway eine Sicherheitszuweisung (SA) gebildet. Sobald die SA aufgebaut wurde, ist das eingehende Paket geschützt und wird als ESP-Paket an das sichere Gateway weitergeleitet. Falls das Paket mit keiner Bedingung in der IPSec-Konfiguration übereinstimmt, wird es einfach unverschlüsselt an die entsprechende Zielschnittstelle weitergeleitet. Wenn das ungeschützte Paket der konfigurierten IP-Adressenbedingung für eine bestehende Sicherheitszuweisung (SA) entspricht, wird es unter Verwendung der SA an die Ziele weitergeleitet. Falls das ungeschützte Paket einer Bedingung entspricht, für die keine SA besteht, initiiert IP Office die IPSec-Tunnelverbindung (ISAKMP) mit dem angegebenen Remote-Gateway. Sobald der Tunnel aufgebaut wurde, wird das Paket verschlüsselt und an die entsprechende Schnittstelle weitergeleitet. Auf diese Weise dient ein eingehendes ungeschütztes Paket als Auslöser für den IPSec-Tunnelaufbau. Die an einer Schnittstelle eingehenden Pakete können aber auch einem IPSec-Pakettyp entsprechen. Es gibt zwei Typen:

1. ISAKMP – zum Aufbau des Tunnels bei gleichzeitiger Sicherheitszuweisung. 2. ESP – zur Übertragung der verschlüsselten Daten.

Wenn es sich bei dem empfangenen IPSec-Paket um ein ESP handelt, das an IP Office gerichtet ist, sucht IP Office nach einer gültigen SA. Wird eine gültige SA gefunden, wird das Paket entschlüsselt und weitergeleitet. Andernfalls wird das ESP-Paket verworfen.

Abbildung 4: Eingehender ungeschützter Pakettyp entdeckt


Seite 12 - Einführung in die Implementierung einer sicheren VPN-Verbindung Virtuelles privates Netzwerk (VPN) 40DHB0002DEER Version 3 (23.09.2005)

L2TP-Implementierung Ab Version 2.1 von IP Office stellt die VPN-Implementierung eines L2TP-Tunnels ein Routing-Ziel dar. Der konfigurierte L2TP-Tunnel ist in der Routing-Tabelle als IP-Zielschnittstelle aufgeführt. IPSec unterscheidet sich hier insofern, als der Schutz sich auf bestimmte IP-Adressen bezieht. Geschützte Pakete sind verschlüsselte Pakete (so genannte ESPs), die anhand der Routing-Tabelle auf normalem Weg an das entsprechende Ziel weitergeleitet werden. Sichere VPN-Lösungen in IP Office umfassen IPSec und L2TP. Die Beziehung zwischen den beiden Protokollen ist also symmetrisch. Folgende Kombinationen sind möglich:

• IPSec in L2TP: Mit IPSec geschützte Pakete (ESPs) werden an ein L2TP-Ziel geleitet • L2TP in IPSec: L2TP-Pakete werden durch IPSec geschützt

Aus der folgenden Tabelle gehen die Vor- und Nachteile von IPSec und L2TP der Kombinationen aus den beiden Protokollen hervor:

IPSec L2TP IPSec in L2TP L2TP in IPSec

Vorteile • Datenverschlüsselung

Vorteile • Inter-Tunneling

möglich • Unterstützung für

PPP IP-Header-komprimierung

Vorteile • Kann mit

vorhandenen L2TP-Systemen verwendet werden

Vorteile • Inter-Tunneling

möglich • Die L2TP-

Aushandlung kann über das öffentliche Netz überwacht werden

• Wird intensiv von Microsoft verwendet

Nachteile • Die Reihenfolge der

Pakete im Tunnel darf nicht in größerem Umfang geändert werden

Nachteile • Keine

Datenverschlüsselung

• Die Reihenfolge der Pakete im Tunnel darf nicht in größerem Umfang geändert werden

Nachteile • Die L2TP-

Aushandlung kann nicht über das öffentliche Netz überwacht werden

• Paketgröße

Nachteile • Paketgröße

Richtlinien 1. IP Office kann IPSec-Pakete über eine NAT-fähige Schnittstelle weiterleiten. Diese Möglichkeit

ist jedoch nur verfügbar, wenn ein Ende des IPSec-Tunnels eine lokale Schnittstelle ist.

Einführung in die Implementierung einer sicheren VPN-Verbindung

Virtuelles privates Netzwerk (VPN) Einführung in die Implementierung einer sicheren VPN-Verbindung - Seite 13 40DHB0002DEER Version 3 (23.09.2005) L2TP-Implementierung

Bei allen Routing-Paketen wird anhand der Routing-Tabelle das jeweilige Ziel bestimmt. Falls das Paket an ein L2TP-Ziel gerichtet ist, überprüft IP Office den Status des Tunnels. Wenn der Tunnel eingerichtet ist, wird das Paket weitergeleitet. Falls das Paket an ein L2TP-Ziel adressiert und der Tunnel nicht aktiv ist, initiiert IP Office über das Remote-Gateway aus dem L2TP-Formular die Einrichtung des Tunnels. Das Routing-Paket wird bis zur Einrichtung des Tunnels in eine Warteschlange verschoben. Sobald der Tunnel eingerichtet ist, wird das Routing-Paket dorthin weitergeleitet.

Abbildung 5: L2TP-Implementierung

Wenn das L2TP-Paket weitergeleitet werden soll, kann es vorkommen, dass für die Adresse am anderen Ende des IPSec-Tunnels IPSec-Schutz erforderlich ist. In diesem Fall wird das ausgehende L2TP-Paket in IPSec wie ein ungeschütztes Paket (siehe vorangehende Absätze) verschlüsselt. Auf diese Weise kann L2TP in IPSec zur Tunnelübertragung verwendet werden. Falls der Kommunikationspartner am anderen Ende des L2TP-Tunnels keinen Schutz fordert, wird ein L2TP-Paket direkt ohne IPSec-Schutz versendet. Bei der Implementierung von Version 2.1 von IP Office kann ein ESP-Paket auch an ein L2TP-Ziel (d.h. anhand der Routing-Tabelle) und somit in IPSec durch einen L2TP-Tunnel weitergeleitet werden.



Implementierung eines logischen LAN Die Funktion "Logisches LAN" ist neu in IP Office (ab Softwareversion 2.1). Ein logisches LAN ist nur für Systeme zu empfehlen, in denen nur eine LAN-Schnittstelle unterstützt wird. Die Funktion Logisches LAN ermöglicht die Verwendung einer zweiten LAN-Schnittstelle zusammen mit der primären System-LAN-Schnittstelle (LAN1). Nachdem eine logische LAN-Schnittstelle erstellt und konfiguriert wurde, ist sie als IP-Routenziel verfügbar. In der unten stehenden Tabelle sind die Begriffe zur Beschreibung der logischen LAN-Funktion zusammengefasst.

Begriff Beschreibung

Physisches LAN

Für ein einzelnes LAN-System (IP403 und IP406) ist dies die eigentliche Ethernet-Schnittstelle, die aus dem logischen LAN (siehe unten) und dem System-LAN (siehe unten) besteht.

Logisches LAN

Das logische LAN hat dieselbe Kollisionsdomäne wie das System-LAN, verwendet aber eine andere MAC-Adresse und arbeitet in einem anderen Subnetz. Die logische Schnittstelle kann als sekundäre Schnittstelle oder Unterschnittstelle der primären System-LAN-Schnittstelle (LAN1) betrachtet werden (siehe unten). Das logische LAN stellt die Funktion der öffentlichen bzw. externen Schnittstelle zur Verfügung (siehe öffentliche Schnittstelle).

System-LAN Das System-LAN hat dieselbe Kollisionsdomäne wie das logische LAN, verwendet aber eine andere MAC-Adresse und arbeitet in einem anderen Subnetz. Wenn ein logisches LAN erstellt wird (siehe oben), wird das System-LAN aktiviert und als LAN1 bezeichnet. Das System-LAN übernimmt die Funktion des internen LANs.

Einzel-LAN-Systeme

IP Office-Systeme, die nur eine einzige LAN-Schnittstelle aufweisen (IP403 und IP406).

Duale LAN-Systeme

IP Office-Systeme, die über zwei Ethernet-Schnittstellen verfügen (Small Office Edition und IP412).


Virtuelles privates Netzwerk (VPN) Einführung in die Implementierung einer sicheren VPN-Verbindung - Seite 15 40DHB0002DEER Version 3 (23.09.2005) Implementierung eines logischen LAN

Abbildung 6: Implementierung eines logischen LANs

Die logischen LANs und die System-LANs sind mit demselben physischen LAN verbunden, befinden sich jedoch in verschiedenen Layer 3-Subnetzen. Mit der Funktion für logische LANs können Einzel-LAN-Systeme wie IP403 und IP406 zusammen mit einem externen Internet-Router oder einem xDSL-Gerät verwendet werden. Durch diese Funktion können Einzel-LAN-Systeme externe und interne IP-Subnetze betreiben und VPN-Netzwerke unterstützen. Die NAT-Funktion wird für Verkehr von LAN1 unter Verwendung der IP-Adresse, die dem logischen LAN zugewiesen wurde, angewendet. Diese und andere Eigenschaften von logischen LANs sind ausführlich unter Öffentliche Schnittstelle beschrieben. Darüber hinaus finden Sie unter Internetzugang über eine logische Schnittstelle ein Beispiel für die Verwendung eines logischen LANs. In dualen LAN-Systemen sollte die zweite physische LAN-Schnittstelle (LAN2) als öffentliche (externe) LAN-Schnittstelle verwendet werden.



Typischer Einsatz einer VPN-Verbindung Die folgende Grafik zeigt eine typische Situation für den Einsatz einer IP Office-VPN-Verbindung mit Internet und anderen öffentlichen Netzwerken. In diesem Abschnitt werden die in der Grafik enthaltenen Elemente in Bezug auf die VPN-Implementierung mit IP Office 2.1 erläutert. Folgende Elemente werden erläutert:

• Öffentliche Netzwerke • Öffentliche Schnittstelle • IP Office-Lösungen für VPN-Verbindungen • Internes LAN • VPN-Client • VPN und VoIP • Maximale Last

Abbildung 7: IP Office-VPN-Verbindung


Virtuelles privates Netzwerk (VPN) Einführung in die Implementierung einer sicheren VPN-Verbindung - Seite 17 40DHB0002DEER Version 3 (23.09.2005) Typischer Einsatz einer VPN-Verbindung

Öffentliche Netzwerke IP Office kann auf verschiedene Weisen mit dem Internet oder anderen öffentlichen Netzwerken verbunden werden. In diesem Abschnitt werden die für eine Verbindung mit öffentlichen Netzwerken unterstützten Technologien und Medientypen aufgeführt.

Medien Beschreibung

Frame Relay

IP Office unterstützt Frame Relay mit PPP- oder FRF12-Fragmentierung zur Gewährleistung der Interoperabilität. IP Office unterstützt gängige elektrische Schnittstellen wie X21, V24 und V35 für Frame Relay-Verbindungen.

PPP

IP Office unterstützt PPP über eine dedizierte WAN-Verbindung unter Verwendung der elektrischen Schnittstellen X21, V24 und V35.

PSTN

Das öffentliche Telefonnetz (Public Telephone Network, PSTN) kann für den Internetzugriff über eine ISP-Verbindung verwendet werden. IP Office unterstützt sowohl digitale als auch analoge Dienste des öffentlichen Telefonnetzes.

xDSL/Internetrouter

xDSL- und Internetrouter bieten gemeinsamen Internetzugriff für das Büro und die private Nutzung. Beim xDSL- und Internetrouter handelt es sich um eine verwaltete Verbindung zum ISP-Netzwerk (CO) mit einer Ethernet-Schnittstelle auf der Seite des Kunden (Customer Premises Equipment, CPE). IP Office kann in Kombination mit einem xDSL- oder Internetrouter verwendet werden. Sowohl die logische als auch die physische LAN2-Schnittstelle (duale LAN-Systeme) kann als öffentliche Schnittstelle fungieren, wie in den folgenden Abschnitten beschrieben.

Richtlinien

1. Bei einer VPN-Verbindung mit xDSL sollten die beiden Endpunkte über denselben Dienstanbieter erworben werden.

2. Beim Einsatz von IP Office mit einem VPN fungiert IP Office gleichzeitig als NAT-fähiges Gateway (NAT = Network Address Translation) sowie als Endpunkt und Ausgangspunkt für VPN-Tunnel. Somit kann IP Office sowohl für sichere VPN-Verbindungen zwischen Zweigstellen als auch für den NAT-Zugriff auf Internetdienste verwendet werden.

3. IPSec-Verbindungen, für die IP Office nicht als Ausgangs- oder Endpunkt fungiert, können nicht über eine NAT-fähige Schnittstelle hergestellt werden.



Öffentliche Schnittstelle Die öffentliche Schnittstelle ermöglicht eine direkte Verbindung zwischen IP Office und einem xDSL- oder Internetrouter und damit den Zugriff auf das Internet. (ein öffentliches LAN wird in einigen Fällen auch als demilitarisierte Zone bezeichnet.) Die öffentliche Schnittstelle hat die Funktion, den Rechnerverbund des LAN gegen das Internet abzuschirmen. IP Office verwendet eine Firewall und NAT-Funktionen, um die erforderliche Sicherheit an einer öffentlichen Schnittstelle zu gewährleisten. Eine Verbindung über eine öffentliche Schnittstelle wird von den folgenden IP Office-Schnittstellentypen unterstützt:

• LAN2 • Logisches LAN • WAN (PPP-Nummern)

Die IP Office-Produktfamilie umfasst sowohl einfache als auch duale Schnittstellensysteme:

• Einfache Schnittstelle - IP403 und IP406 Bei einfachen LAN-Systemen muss ein logisches LAN für die Konfiguration der öffentlichen Schnittstelle verwendet werden.

• Duale Schnittstelle - IP 412 und IP Office Small Office Edition (IPSOE) Bei dualen LAN-Systemen ist die physische LAN2-Schnittstelle verfügbar und sollte als die öffentliche (externe) LAN-Schnittstelle verwendet werden.

Die folgende Tabelle zeigt, welche Funktionen von dem jeweiligen Schnittstellentyp unterstützt werden.

Funktion IP412 IP406 IP403 IPSOE Beschreibung

Firewall v v v v in IP Office integrierte Firewall

Logisches LAN

X v v X Bei einfachen LAN-Systemen ist das logische LAN eine zweite Schnittstelle, die an der physischen Schnittstelle LAN1 erstellt wird.

LAN2 v X X v LAN2 ist eine zweite physische Ethernet-Schnittstelle.

NAT v v v v NAT ermöglicht die Kommunikation mehrerer Geräte über eine einzelne IP-Adresse.

NAT Reverse Translation

v x x v Diese Funktion ermöglicht die Zuordnung einer eingehenden IP-Sitzung zu einer lokalen LAN-IP-Adresse.

DHCP-Client-Modus

v x x v IP Office kann eine IP-Adresse von einem DHCP-Server automatisch empfangen und der Schnittstelle hinzufügen. Diese Funktion wird von einer logischen LAN-Schnittstelle nicht unterstützt.

H323 v v v v Ausgangspunkt oder Endpunkt für H323.

IPSec v v v v Ausgangspunkt oder Endpunkt für IPSec.

L2TP v v v v Ausgangspunkt oder Endpunkt für L2TP.



Richtlinien 1. Der DHCP-Client-Modus wird von der logischen LAN-Schnittstelle nicht unterstützt. 2. Im DHCP-Client-Modus wird automatisch eine Standardroute für den Internetbetrieb hinzugefügt. 3. RIP wird für sichere VPN-Verbindungen mit IP Office nicht unterstützt. 4. WAN-Verbindung mit PPP-Nummern:

a. Vor der Verschlüsselung wird QoS auf VOIP-Datenverkehr für VPN-Tunnelverkehr angewendet.

b. Für die Verbindung zwischen den beiden Systemen wird eine Bandbreite von mindestens 1 bis 2 MBit/s empfohlen.

c. Führen Sie nicht Multilink/QoS oder IPHC auf einer WAN-Verbindung mit VPN-Datenverkehr aus.

d. Die QoS-Merkmale der VoIP-Implementierung mit IP Office werden im Folgenden gezeigt:

Beschreibung Wert

UDP-Portnummernbereich für Sprachdaten

OxC000 bis 0xCFFF

Signal-TCP-Portnummer 1720

DSCP (TOS/Diffserv)-Wert OXB8

Internes LAN Das interne LAN (auch als "privates Internet" bezeichnet) ist ein sicherer Netzwerkbereich, der über Internetzugang verfügt, jedoch durch eine externe oder "entmilitarisierte Zone" (DMZ) vor Zugriffen aus dem Internet geschützt ist. In einem internen LAN wird in der Regel ein privates IP-Adressschema verwendet. Die Internet Assigned Numbers Authority (IANA) hat folgende drei Textblöcke des IP-Adressbereichs für interne LANs reserviert:

10.0.0.0 - 10.255.255.255 (Präfix 10/8)

172.16.0.0 - 172.31.255.255 (Präfix 172.16/12)

192.168.0.0 - 192.168.255.255 (Präfix 192.168/16)

Die IP Office-Merkmale und Funktionen für VPN-Netzwerke, die mit dem internen LAN in Verbindung stehen, sind in diesem Abschnitt zusammengefasst.

Funktion Beschreibung

DHCP-Server

IP Office kann die Funktionen eines DHCP-Servers für die Geräte im lokalen LAN übernehmen.

Wireless-LAN

IP Office Small Office Edition unterstützt 802.11b für Wireless-LANs.

Telefonie Umfangreiche und erprobte Telefoniefunktionen einschließlich Small Community Networking ermöglichen eine VPN-weite virtuelle TK-Anlage.



VPN-Client Die Initiierung sicherer VPN-Tunnel von einem PC oder Notebook zu einem sicheren Gateway erfolgt mit Hilfe einer VPN Client-Anwendung. Eine VPN Client-Anwendung dient beispielsweise der Sicherung entfernter DFÜ-Verbindungen über das Internet zum Unternehmen. Wenn die VPN Client-Verbindung hergestellt ist, können PC und Benutzeranwendung transparent verwendet werden. Ist die IPSec-Verbindung in Windows hergestellt, kann anschließend eine L2TP-Verbindung über das IPSec-VPN aufgebaut werden. Zur Gewährleistung einer sicheren VoIP-Übertragung über das Internet kann IP Office Phone Manager Pro in Verbindung mit den unterstützten VPN-Clients verwendet werden. Richtlinien

1. Certificate Authority (CA)-Authentifizierung wird für IPSec nicht unterstützt. 2. In der Windows-Umgebung für IPSec wird auf dem Client standardmäßig Microsoft Management

Console (MMC) zum Hinzufügen des Verwaltungs-Snap-Ins für die IP-Sicherheitsrichtlinie verwendet. Zur Unterstützung von IPSec im Pre-Shared-Modus muss ein Registrierungsschlüssel in Windows geändert werden. Zur Umgehung dieser Anforderung empfiehlt Avaya die Verwendung des VPN NetScreen-Client.



VPN und VoIP Telefonie IP Office bietet viele moderne Telefoniefunktionen, die in Kombination mit VPN-Verbindungen verwendet werden können, um die sichere Kommunikation über das Internet zu gewährleisten. Die Verwendung von Funktionen wie Small Community Networking ermöglicht die Erstellung einer virtuellen, für den physischen Standort transparenten TK-Anlage.

VoIP IP Office kennzeichnet VPN-Pakete mit dem DSCP-Wert des verkapselten VoIP-Pakets. Unter normalen Bedingungen können Pakete mit IPSec- oder L2TP-Verkapselung auf diese Weise von Nicht-Voice-Datenverkehr unterschieden und bevorzugt behandelt werden. Bei Verbindungen mit niedriger Geschwindigkeit werden Pakete möglicherweise aufgrund der Sprachqualität erneut angefordert oder verworfen, wenn QoS-Mechanismen zum Einsatz kommen. IPSec- und L2TP-Pakete können jedoch nicht unbegrenzt neu angefordert werden. Dies kann zu einem Problem werden, wenn auf einer Verbindung mit hoher Datenlast IPSec-Pakete mit VoIP- und Nicht-VoIP-Verkehr übertragen werden. IPSec ist das primäre VPN-Tunnelprotokoll und kann als IP Office-Funktion lizenziert werden. Zur Unterstützung von IPSec mit VoIP- und Nicht-VoIP-Verkehr setzt IP Office (Softwareversion 2.1) eine Präventivmaßnahme in Form eines IPSec-QoS-Mechanismus ein, mit dem sichergestellt wird, dass QoS vor der IPSec-Verschlüsselung auf die Pakete angewendet wird. Auf diese Weise werden der Verlust und die erneute Anforderung von IPSec-Paketen erheblich reduziert. Die IPSec-QoS-Funktion ist nur für IPSec verfügbar. Wenn L2TP mit einer Mischung aus VoIP- und Nicht-VoIP-Verkehr ausgeführt werden soll, muss L2TP-Verkehr in IPSec verkapselt werden. Bei Überlastung der Verbindung wird die IPSec-QoS-Funktion präventiv eingesetzt, indem die Menge der an die IPSec-Engine gesendeten Pakete kontrolliert und der VoIP-Verkehr dem Nicht-VoIP-Verkehr vorgezogen wird. Auf diese Weise werden Pakete nur an der Eingangsschnittstelle verworfen. So ermöglicht der IPSec-QoS-Mechanismus beispielsweise die Unterstützung von QoS auf xDSL-Verbindungen mit niedriger Geschwindigkeit. Für Voice-Datenverkehr führt IP Office unabhängig von der erforderlichen Bandbreite simultane Anruflastbeschränkungen pro Anruf aus. Die IP-Leitung wird für die Konfiguration simultaner Anrufbeschränkungen verwendet. Dies geschieht auf der Grundlage einer bestimmten zulässigen Anrufzahl und nicht auf Grundlage der Bandbreite. Aus diesem Grund müssen Sie mit den Bandbreitenanforderungen und den Berechnungen für VoIP-Verbindungen vertraut sein. Die von einem gegebenen Komprimierungstyp für einen einzelnen VoIP-Strom über eine gegebene VPN-Verbindung benötigte Bandbreite kann mit Hilfe der folgenden Formel berechnet werden. RTP-Bandbreite: (L2-Header + Tunnel-Header + VoIP-Header + Nutzlast) X Nutzlast_pro_Sek X Bit_Umrechnung

Bei Faxdatenverkehr kann die Bandbreite mit Hilfe der folgenden Formel berechnet werden. (L2-Header + Fax-Header + Nutzlast) X Nutzlast_pro_Sek

Hinweise: 1. Diese Formeln dienen zur Berechnung des durchschnittlichen Bandbreitenanteils. Selbst bei der

Übertragung von Medienströmen sollte ein zusätzlicher, von der Implementierung abhängiger Faktor (beispielsweise 10%) für RTCP-Verkehr, vorübergehende Effekte usw. eingerechnet werden. Auch mit der Headerkomprimierung wird beispielsweise kein hundertprozentiges Ergebnis für alle Pakete erzielt.

2. Für Signale muss separate Bandbreite zugeordnet werden, darunter fallen auch die Signale beim Verbindungsaufbau und die Small Community Network-Signale. Dieser Datenverkehr sollte absolut vorrangig behandelt werden, noch vor der beschleunigten Weiterleitung für RTP-Daten. Die dafür notwendige Bandbreite muss entsprechend berechnet werden.

Beispiele finden Sie unter Variablen zur Berechnung der Bandbreite und Berechnen der erforderlichen Bandbreite.



Variablen zur Berechnung der Bandbreite Variable Beschreibung Option Werte

L2-Header

Frame Relay RFC1490 + FR12

Als Größe des Frame Relay-Headers werden 2 Byte angenommen. 5

Frame Relay Multilink PPP

Als Größe des Frame Relay-Headers werden 2 Byte angenommen. 6

Ethernet Ethernet-Header ohne CRC + 4 Byte CRC

14

PPP WAN 2

Tunnel-Header

L2TP Der L2TP-Header besteht aus: IP = 20, UDP = 8 und L2TP-Header =11

39

G723 52

G729 52

Net 8K 52

IPSec Der IPSec-Header besteht aus den IP- und ESP-Headern (Tunnelmodus). Die hier festgelegten Werte beinhalten ebenfalls die Füllwerte für ESP. Verwenden Sie den IPSec-Headerwert, der dem Codec entspricht.

G711 56

VoIP-Header

Mit IPHC 4 VoIP-Header Der VoIP-Header besteht aus den IP-, UPD- und RTP-Headern und ist davon abhängig, ob die Verbindung mit IPHC ausgeführt wird.

Ohne IPHC

40

Fax-Header

Fax-Header Siehe Hinweis unten

Der Fax-Header umfasst: IP = 20, UDP = 8, RTP = 12 und Avaya-Info = 6

Ohne IPHC

46

Nutzlast

Nutzlast Die Anzahl der Bytes pro Sample Typ Wert

VOIP

G711 G723 G729 Net 8K

160 24 20 20

Fax 14400 12000 9600 7200

72 60 48 36



Sample-Rate

Nutzlast_pro_Sek Die Anzahl der Samples pro Sekunde Typ Wert

VoIP G711G723G729Net 8K

50 33,3 50 50

Fax (indirekte Umrechnung von Bytes in Bits) 14400120009600 7200

200 200 200 200

Bytes pro Sekunde in Bits pro Sekunde

Bit_Umrechnung Übertragungsraten sind stets in Bit pro Sekunde (Bit/s) angegeben. Zur Umrechnung in Byte/Sekunde wird der Faktor 8 verwendet.

8

• Hinweis: Die Fax-Brandbreite variiert während einer Übertragung und verläuft ziemlich

asymmetrisch. Sie beginnt als RTP, beim System-Handshake ist die Bandbreite relativ gering und während der Übertragung und der Sendung der Empfangsbestätigung verläuft sie asymmetrisch. Beispielsweise gibt es Übergangsphasen während einer Faxverbindung, in denen die Bandbreite eines Sprachanrufs mit den konfigurierten Eigenschaften gewünscht wird.



Berechnen der erforderlichen Bandbreite Beispiel 1 Im folgenden Beispiel wird die Gesamtbandbreite für einen G729-Anruf mit IPSec-Verschlüsselung (3DES) über Ethernet anhand der unten stehenden Formel berechnet. Informationen hierzu finden Sie unter Variablen zur Berechnung der Bandbreite. (L2-Header + Tunnel-Header + VoIP-Header + Nutzlast) X Nutzlast_pro_Sek X Bit_Umrechnung)

Verwenden Sie die oben aufgeführte Formel, um die erforderliche Bandbreite zu berechnen. Legen Sie die gewünschten Werte (bezogen auf die maximale Anzahl an Anrufen) fest, indem Sie IP-Leitungsparameter verwenden.

Aufgabe Beschreibung

Schritt 1 Wählen Sie den Layer 2-Medientyp: 14

Für Ethernet beträgt der Wert für "L2-Header" 14 Byte.

Schritt 2 Wählen Sie den Tunneltyp: 52

Für IPSec muss dieser Wert mit Bezug auf den verwendeten VoIP-Komprimierungstyp gewählt werden. Beim Komprimierungstyp G729 ist dieser Wert 52. Für L2TP ist dieser Wert für alle Komprimierungstypen festgelegt. Für den Fall, dass IPSec und L2TP zusammen verwendet werden, z.B. wenn L2TP durch IPSec geschützt ist, müssen die Tunnel-Header addiert werden.

Schritt 3 Wählen Sie den Header-Typ für "VoIP-Header": 40

Ohne IPHC ist der VoIP-Header 40.

Schritt 4 Wählen Sie den Nutzlast-Typ: 20

Achten Sie darauf, dass dieser Wert mit dem Tunneltyp (siehe Schritt 2) übereinstimmt. Für G729 beträgt der Wert 20.

Schritt 5 Wählen Sie die Sample-Rate: 50

Achten Sie darauf, dass dieser Wert mit dem Tunneltyp (siehe Schritt 2) übereinstimmt. Für G729 beträgt der Wert 50.

In diesem Beispiel wird die Gesamtbandbreite für einen G729-Anruf mit IPSec-Verschlüsselung (3DES) über Ethernet folgendermaßen berechnet:

50400 = (14 + 52 + 40 + 20) * 50* 8 = 50,4 Kbit/s (in beide Richtungen) Hinweis: Der Ethernet-Header wird bei DSL-Übertragungen normalerweise entfernt.



Beispiel 2 Im folgenden Beispiel wird die unten stehende Formel zur Errechnung der erforderlichen Gesamtbandbreite für eine Faxübertragung bei einer Übertragungsrate von 14400 Baud mit PPP-Verkapselung in Frame Relay verwendet. Informationen zu den Variablen finden Sie auf Seite 21. (L2-Header + Fax-Header + Nutzlast) X Nutzlast_pro_Sek) Verwenden Sie die oben aufgeführte Formel, um die erforderliche Bandbreite zu berechnen. Legen Sie die gewünschten Werte (bezogen auf die maximale Anzahl an Anrufen) fest, indem Sie IP-Leitungsparameter verwenden.


Schritt 1 Wählen Sie den Layer 2-Medientyp: 8

Für die PPP-Verkapselung in Frame Relay beträgt der Wert für "L2-Header" 2 + 6 = 8 Byte.

Schritt 2 Wählen Sie den Fax-Header-Typ: 46

Schritt 3 Wählen Sie den Header-Typ für Nutzlast: 72

Für ein Faxgerät mit einer Übertragungsrate von 14400 Baud ist dieser Wert 72.

Schritt 4 Wählen Sie die Sample-Rate: 200

Für ein Faxgerät mit einer Übertragungsrate von 14400 Baud ist dieser Wert 200.

In diesem Beispiel wird die erforderliche Gesamtbandbreite für eine Faxübertragung bei einer Übertragungsrate von 14400 Baud mit PPP-Verkapselung in Frame Relay folgendermaßen berechnet:

25200 = (8 + 46 + 72) * 200 = 25,2 Kbit/s (für die Richtung des Fax-Datenverkehrs) Richtlinien

1. Der Durchsatz für alle Datenverkehrstypen ist bei IP Office Version 2.1 auf 1 Mbit/s beschränkt. 2. IPHC für VPN-Netzwerke wird von IP Office Version 2.1 nicht unterstützt. 3. IPSec führt IP-Fragmentierungen durch, um ungültige VPN-Frame-Größen zu verhindern. Die IP-

Fragmentierungen werden nicht zur Unterstützung von QoS durchgeführt. 4. IP Office ist in der Lage, Fragmentierungen durchzuführen, antwortet jedoch nicht auf

fragmentierte ICMP-Ping-Anfragen, die an die System-Schnittstellenadresse gesendet werden. 5. Die IPSec-QoS-Funktion ist nur für IPSec verfügbar. Wenn L2TP für VoIP- und Nicht-VoIP-

Verkehr genutzt werden soll, muss der L2TP-Verkehr in IPSec verkapselt werden. 6. Wenn Sie IPSec über eine WAN-Verbindung mit PPP ausführen, sollte der normale QoS-

Mechanismus (Multilink und IPHC) nicht verwendet werden. Bei der IP Office 2.1-Implementierung verwendet IPSec einen separaten QoS-Mechanismus, der nicht konfiguriert werden kann. Die im Dialogfeld System > Gatekeeper der Manager-Anwendung angegebenen DSCP-Werte werden jedoch wie gewöhnlich zur Differenzierung der VoIP-Verkehrstypen verwendet.



Maximale Last In der Tabelle unten sehen Sie die maximalen Belastungszahlen für VPN- und VoIP-Anrufe für alle Plattformen mit IP Office-Software ab Version 2.1.

IP406v2 IP412 IP403 und IP406 SOE Beschreibung

Anrufe Bandbreite Anrufe Bandbreite Anrufe Bandbreite Anrufe Bandbreite

G711 16 3,8 6 1,4 2 0,47 2 0,47

G729 22 2,4 13 1,4 5 0,55 4 0,44

G723 30 2,2 19 1,4 7 0,53 6 0,49

Max. Tunnelanzahl

10 10 4 4

Hinweis: Die höhere Geschwindigkeit und größere Bandbreite der IP406v2-Plattform (mit Software ab Version 2.1) sind darauf zurückzuführen, dass das IPSec-Ver- und Entschlüsselung jetzt per Hardware durchgeführt wird. Durch die Verwendung der Ver- und Entschlüsselungs-Hardware für IPSec wird die CPU nicht hiermit belastet. Auf diese Weise wird die Leistung von IPSec deutlich erhöht. Bei IP Small Office-, IP403- und IP412-Plattformen erfolgt die IPSec-Ver- und Entschlüsselung innerhalb der Software.

Beschreibung IP412 IP406/IP403/IP401/SOE

Maximaler Durchsatz bei IPSec Gesamtdurchsatz bei IPSec (alle Datenverkehrsarten)

1 Mbit/s 1 Mbit/s

Maximale Bandbreite bei VoIP Dies ist die maximale Bandbreite, die dem VoIP-Verkehr zugewiesen werden sollte.

512 Kbit/s 256 Kbit/s

Maximale Anzahl IPSec-Tunnel 10 4

Maximale Anzahl bidirektionaler G723 VoIP-Tunnel

3 3

Der maximale Systemdurchsatz und der maximale Tunneldurchsatz sind hartcodierte Systembeschränkungen. Die maximale Bandbreite und die maximale Tunnelanzahl sind lediglich Empfehlungen. Aus der Tabelle geht hervor, dass die maximale Bandbreite, die Sprachübertragungen zugewiesen werden sollte, 512 Kbit/s für das System 412 beträgt, 1 Mbit/s für IP406V2 und 256 Kbit/s für alle anderen Plattformen. Die notwendige Bandbreite für einen verschlüsselten G729-Anruf über Ethernet beträgt 50,4 Kbit/s (beide Richtungen). Für das System 412 bedeutet dies, dass maximal 10 G729-Anrufe unterstützt werden.

Virtuelles privates Netzwerk (VPN) Konfiguration - Seite 27 40DHB0002DEER Version 3 (23.09.2005)

Konfiguration IPSec-Konfiguration Einführung in IPSec Das IP-Sicherheitsformular dient zur Konfiguration von IPSec-Sicherheitsrichtlinien zwischen zwei IPSec-Kommunikationspartnern (siehe IP Sicherheits-Menü). Im IPSec-Formular stehen drei Registerkarten zur Verfügung (IP SEC, IKE und IPSec). Die Registerkarte IP SEC dient zum Festlegen der IP-Adressierungsbedingungen sowie der IP-Adressen des lokalen und Remote-Gateways, während auf den Registerkarten IKE und IPSec-Richtlinien die genauen IPSec-Parameter konfiguriert werden. Die allgemeine Methode der IPSec-Konfiguration ist wie folgt:

1. Konfigurieren und Testen der IP-Verbindung zwischen zwei Kommunikationspartnern. 2. Konfigurieren eines IPSec-Formulars und Festlegen der IP-Adressierungsbedingungen zum

Auslösen einer Sicherheitszuweisung (SA).

Das Menü "IP-Sicherheit" So greifen Sie auf dieses Menü zu:

1. Öffnen Sie die Manager-Anwendung und klicken Sie auf Tunnel und dann mit der rechten Maustaste in das angezeigte Fenster.

2. Wählen Sie Neu. Das Menü Tunnelprotokoll auswählen wird geöffnet. 3. Aktivieren Sie das Optionsfeld IPSec und klicken Sie auf OK. 4. Das folgende Menü wird angezeigt:


Seite 28 - Konfiguration Virtuelles privates Netzwerk (VPN) 40DHB0002DEER Version 3 (23.09.2005)

Die folgende Tabelle zeigt die Parameter auf der Registerkarte IP SEC im Menü IP-Sicherheit.

Registerkarte "IP SEC"

Beschreibung

Name Eindeutiger Name für den Tunnel.

Mit IP-Adresse und IP-Maske werden die Bedingungen für diese Sicherheitszuweisung in Bezug auf eingehende und ausgehende IP-Pakete festgelegt. Um den Zusammenhang zwischen lokaler und Remote-Konfiguration bei der Einrichtung dieser Sicherheitsbedingungen zu verstehen, müssen Sie die Richtung des Pakets in Betracht ziehen. Vom lokalen System aus gesehen sind IP-Pakete vom IPSec-Tunnel eingehende Pakete und in den IPSec-Tunnel gesendete Pakete ausgehende Pakete. In der folgenden Tabelle wird der Zusammenhang zwischen lokaler und Remote-Konfiguration in diesen beiden Fällen erläutert.

Eingehend (aus dem Tunnel)

Ausgehend (in den Tunnel)

Lokale Konfiguration:

• IP-Adresse • IP-Maske

Remote-Konfiguration

• IP-Adresse • IP-Maske

Die Ziel-IP-Adresse wird durch die lokale IP-Adresse/-Maske definiert. Die Ausgangs-IP-Adresse wird durch die Remote-IP-Adresse/-Maske definiert. Wenn Pakete mit IPSec-Verkapselung empfangen werden, muss eine Übereinstimmung bei der Sicherheitszuweisung für die Ziel- und die Ausgangs-IP-Adressen vorliegen. Andernfalls wird das Paket verworfen.

Die Ausgangs-IP-Adresse wird durch die lokale IP-Adresse/-Maske definiert. Die Ziel-IP-Adresse wird durch die Remote-IP-Adresse/-Maske definiert. Wenn ein IP-Paket weitergeleitet werden soll, ermittelt IP Office eine Übereinstimmung mit der Sicherheitszuweisung auf der Grundlage der Ausgangs- und Ziel-IP-Adressen. Wenn ein IP-Paket auf diese Weise zugewiesen wird, wird es mit IPSec-Verkapselung (ESP) weitergeleitet. Wenn ein IP-Paket nicht auf diese Weise zugewiesen wird, wird es ohne IPSec-Verkapselung (ESP) weitergeleitet.

Lokale Konfiguration

• Gateway

Die lokale Quell-IP-Adresse, die für die Sicherheitszuweisung für den entfernten Kommunikationspartner verwendet wird. Falls Sie keine Konfiguration vornehmen, verwendet IP Office die IP-Adresse der lokalen Schnittstelle, von der der Tunnel ausgeht (außer bei nummerierten PPP-Verbindungen). In diesem Fall muss die dem PPP-Dienst zugeordnete IP-Adresse verwendet werden. Siehe IPSec über WAN

Remote-Konfiguration

• Gateway

Die IP-Adresse des Kommunikationspartners, für den eine Sicherheitszuweisung erfolgen muss, bevor die festgelegten lokalen und entfernten Adressen übertragen werden können.

• Hinweis: Die Registerkarte IP SEC steht nicht in Zusammenhang mit dem IPSec-Hauptmodus (dies ist eine Funktion auf der Registerkarte IKE-Richtlinien, siehe Registerkarten "IKE-Richtlinien" und "IPSec-Richtlinien").

Konfiguration

Virtuelles privates Netzwerk (VPN) Konfiguration - Seite 29 40DHB0002DEER Version 3 (23.09.2005) IPSec-Konfiguration

Richtlinien für die Konfiguration der lokalen und entfernten IP-Adressen/-Masken

1. Wenn weder das Feld IP-Adresse noch das Feld IP-Maske konfiguriert werden, gelten für die Übereinstimmung keine Beschränkungen. Diese Vorgehensweise findet beispielsweise bei der Zuordnung von Internet-Datenverkehr Anwendung.

2. Das lokale Subnetz wird nicht zugeordnet, es sei denn, es ist eine spezielle Richtlinie dafür vorhanden. Das bedeutet, dass ein nicht konfigurierter Eintrag (siehe oben) keinem lokalen Subnetz (d.h. LAN-Schnittstellen) zugeordnet wird.

3. IP Office führt keine UND-Bedingung für die Felder IP-Adresse und IP-Maske durch, stellt jedoch bei der Konfiguration sicher, dass Netzwerkadresse und -maske kompatibel sind. Die Kombination der IP-Adresse 192.168.42.1 mit der Maske 255.255.255.0 ist beispielsweise ungültig. Im Folgenden werden zwei gültige Kombinationen gezeigt: a. IP-Adresse 192.168.42.1 Maske 255.255.255.255 b. IP-Adresse 192.168.42.0 Maske 255.255.255.0

4. Für eine gegebene Sicherheitszuweisung kann eine "Bedingung" im Zusammenhang mit den Adressen angegeben werden. Die Bedingung für die Sicherheitszuweisung kann auf zwei Hosts oder zwei Subnetze oder einen Host und ein Subnetz angewendet werden. Mehrere Bedingungen für eine Sicherheitszuweisung werden für die VPN-Implementierung in IP Office 2.1 nicht unterstützt.

Richtlinien für das lokale und das Remote-Gateway

1. Das Feld für das lokale Gateway dient zur Angabe einer Quell-IP-Adresse bei der Einrichtung eines Tunnels. Falls Sie keine Konfiguration vornehmen (Standardeinstellung), verwendet IP Office die IP-Adresse der Ausgangsschnittstelle, an der der Tunnel konfiguriert wird.

2. Aus dem gleichen Grund sollte das Feld für das Remote-Gateway nicht konfiguriert werden, wenn ein Tunnel über einen Client eingerichtet wird und die (dynamisch von ISP zugewiesene) IP-Adresse des entfernten Kommunikationspartners unbekannt ist.



Registerkarten "IKE-Richtlinen" und "IPSec-Richtlinien" Die Methode, wie die Registerkarte IP SEC verwendet wird, um die Einstellungen festzulegen, durch die die SA (Sicherheitszuweisungen) ausgelöst werden, wurde bereits zuvor beschrieben. (Siehe Das Menü "IP-Sicherheit"). Die Registerkarten IKE-Richtlinien und IPSec-Richtlinien werden verwendet, um die restlichen Richtlinien für die Sicherheitszuweisungen zu konfigurieren und abzuschließen. Für jede Sicherheitszuweisung ist ein separates IPSec-Formular pro Kommunikationspartner erforderlich. Bei Kommunikationspartnern kann es sich um einen Client oder ein anderes IPSec-Gateway handeln. Hinweis: Clientanwendungen und andere IPSec-Implementierungen von Drittanbietern bezeichnen die beiden Phasen der Verbindungsaushandlung möglicherweise als Vorschlag 1 und Vorschlag 2. Dies entspricht Phase 1 und Phase 2 auf den Registerkarten IKE-Richtlinien und IPSec-Richtlinien. Es ist in der Regel nicht wichtig, sämtliche Details dieser Registerkarten zu kennen, aber die Registerkarten zweier IPSec-Kommunikationspartner, die eine Sicherheitszuweisung herstellen möchten, müssen identisch sein. Während Phase 1 der Verbindungsaushandlung wird IKE dazu verwendet, einen sicheren Kanal für weitere IKE-Verbindungen herzustellen. In Phase 2 wird IKE zur Aushandlung der Sicherheitszuweisungen (Authentifizierungs-Header, Encapsulating Security Payload) verwendet. Mit dieser Methode wird vermieden, dass Drittparteien den verwendeten Verschlüsselungstyp kennen. Die Abbildung zeigt die Elemente und Funktionen dieser Registerkarten sowie die erste Stufe der Verbindungsaushandlung.

Abbildung 8: Phase 1 und 2 der Verbindungsaushandlung

Im Folgenden werden die konfigurierbaren Optionen der Registerkarten IKE-Richtlinien und IPSec-Richtlinien detailliert beschrieben.

Konfiguration

Virtuelles privates Netzwerk (VPN) Konfiguration - Seite 31 40DHB0002DEER Version 3 (23.09.2005) IPSec-Konfiguration

Registerkarte "IKE-Richtlinien" Während Phase 1 der Verbindungsaushandlung wird Internet Key Exchange (IKE) dazu verwendet, einen sicheren Kanal für weitere IKE-Verbindungen herzustellen (siehe auch Registerkarten "IPSec-Richtlinien" und "IKE-Richtlinien"). In Phase 2 wird IKE dazu verwendet, die Sicherheitszuweisungen (entweder mit Authentifizierungs-Header oder Encapsulating Security Payload) auszuhandeln.

Abbildung 9: Registerkarte "IKE-Richtlinien"

Parameter Optionen Beschreibung Gemeinsamer geheimer Schlüssel

Muss an beiden Enden der Verbindung gleich sein.

Exchange-Typ Standard = ID-Prot./Aggressiv Aggressiv ermöglicht ein schnelleres Einrichten der Sicherheit, verbirgt jedoch nicht die IDs der Kommunikationsgeräte. ID-Prot. ist langsamer, verbirgt aber die IDs der Kommunikationsgeräte.

Verschlüsselung DES oder 3DES Legen Sie die Verschlüsselungsmethode fest. Authentifizierung MD5 – 128 Bit (Standard)

SHA – 160 Bit Alle

Die Methode der Passwortauthentifizierung.

DH-Gruppe Gruppe 1 = 768 Bit (Standard)Gruppe 2 = 1024

Diffie-Hellman-Schlüsselaustausch

Life-Typ <Sekunden oder Kilobyte> Legen Sie fest, ob Lebensdauer unten in Sekunden oder Kilobyte gemessen wird.

Lebensdauer Standardmäßig leer – Geben Sie entweder Sekunden oder Kilobyte ein, je nach Festlegung unter Life-Typ.

Bestimmt die Zeitdauer oder die Anzahl der Bytes, nach denen der SA-Schlüssel aktualisiert oder neu berechnet wird.



Registerkarte "IPSec-Richtlinien" Die Registerkarte IPSec-Richtlinien wird dazu verwendet, die SA-Richtlinien zu konfigurieren und abzuschließen. Für jede Sicherheitszuweisung ist ein separates IPSec-Formular pro Kommunikationspartner erforderlich. Bei den Kommunikationspartnern kann es sich um einen Client oder ein anderes IPSec-Gateway handeln (siehe Registerkarten "IKE-Richtlinien" und "IPSec-Richtlinien").

Abbildung 10: Registerkarte "IP Sec-Richtlinien"

Vorsicht: Obwohl das Menü IPSec angezeigt wird und vervollständigt/abgeschlossen werden kann, ist eine gültige IPSec Tunnel-Lizenz erforderlich, um die Funktion zu aktivieren (siehe Das Menü "IP-Sicherheit").

Parameter Optionen Beschreibung Protokoll ESP (Encapsulation Security

Payload) AH (Authentifizierungs-Header)

ESP Bietet Authentifizierung, Integrität und Vertraulichkeit. Sichert den auf den Header folgenden Inhalt des Pakets. Authentifiziert die Paket-Nutzlast für jedes einzelne Paket. AH Keine Verschlüsselung, Verkapselung oder Vertraulichkeit. Nur Authentifizierung und Integrität. Authentifiziert auch Teile des IP-Headers des Pakets (Quelle/Ziel).

Verschlüsselung DES – 56 Bit 3DES – 168 Bit AES – 128, 192, 256

Die zu verwendende Verschlüsselungsmethode. 3DES erfordert eine IP Office-Lizenz.

Authentifizierung HMAC MD5 – 128 Bit HMAC SHA – 160 Bit

Die Methode der Passwortauthentifizierung.

Life-Typ <Sekunden oder Kilobyte> Legen Sie fest, ob Lebensdauer unten in Sekunden oder Kilobyte gemessen wird.

Lebensdauer Standardmäßig leer – Geben Sie entweder Sekunden oder Kilobyte ein, je nach Festlegung unter LifeTyp.

Bestimmt die Zeitdauer oder die Anzahl der Bytes, nach denen der SA-Schlüssel aktualisiert oder neu berechnet wird.

Konfiguration

Virtuelles privates Netzwerk (VPN) Konfiguration - Seite 33 40DHB0002DEER Version 3 (23.09.2005) L2TP-Konfiguration

L2TP-Konfiguration L2TP – Einführung Das Formular "L2TP" besteht aus drei Registerkarten (Tunnel, L2TP und PPP). Sie können wie folgt auf diese Registerkarten zugreifen:

1. Klicken Sie in der Anwendung Manager auf Tunnel und klicken Sie anschließend mit der rechten Maustaste auf das Anzeigefenster.

2. Wählen Sie New. Das Menü Tunnelprotokoll auswählen wird angezeigt 3. Klicken Sie auf L2TP und anschließend auf OK.

Das Menü L2TP/Tunnel wird angezeigt. L2TP wird im Allgemeinen wie folgt konfiguriert:

1. Konfigurieren und testen Sie die IP-Verbindung zwischen den beiden Kommunikationspartnern. 2. Konfigurieren Sie die L2TP-Tunnel-Parameter. 3. Konfigurieren Sie eine IP-Route.



Menü "Logisches LAN" Im Menü "Logisches LAN" kann eine Schnittstelle für ein sekundäres LAN oder ein logisches Ethernet-Netzwerk erstellt werden. So können Ein-LAN-Systeme wie IP403 und IP406 als Dual-LAN-Systeme eingesetzt werden. In diesem Fall stellt das logische LAN die öffentliche Schnittstelle bereit und das physische LAN1 sorgt für die internen LAN-Funktionen. Da eine Schnittstelle für ein logisches LAN NAT-fähig ist, hat eine beliebige Anzahl von PCs über die Schnittstelle des System-LANs (LAN1) Zugang zum Internet. Die Schnittstelle für das logische LAN kann mit einem beliebigen xDSL-Router oder einen Internet-LAN-Router eines Drittanbieters verwendet werden. Die MAC-Adresse des Routers für den nächsten Hop muss für die Konfiguration der Schnittstelle für das logische LAN bekannt sein.

Abbildung 11: Das Menü "Logisches LAN"

Parameter Optionen Beschreibung

Name Eindeutiger Name für die logische Schnittstelle. Sobald die logische Schnittstelle erstellt wurde, kann der Name als Ziel in der IP-Routing-Tabelle ausgewählt werden.

IP-Adresse/IP-Maske

Die IP-Adresse bzw. IP-Maske der logischen Schnittstelle.

Gateway IP Adresse

Die IP-Adresse des Routers für den nächsten Hop (siehe Richtlinien unten).

Gateway MAC Adresse

Die Ethernet-MAC-Adresse des Routers für den nächsten Hop (siehe Richtlinien unten).

Firewall-Profil Ein mit dieser Schnittstelle verknüpftes Firewall-Profil.

NAT einschalten Standard = Ein

Die NAT-Funktion ermöglicht den Internetzugang einer beliebigen Anzahl von PCs im internen LAN1 über das logische LAN. NAT ist standardmäßig aktiviert und kann für diesen Schnittstellentyp nicht deaktiviert werden.

Richtlinien

Konfiguration


1. Bei der VPN-Implementierung von IP Office muss der Parameter Gateway MAC Adresse zur Angabe und Konfiguration des Routers für den nächsten Hop verwendet werden. Das Feld Gateway IP Adresse kann zu Informationszwecken ausgefüllt oder leer gelassen werden. Es wird nicht zur Auflösung der MAC-Adresse des Routers für den nächsten Hop verwendet.

2. Wenn ein Eintrag für eine IP-Route mit einer Schnittstelle des logischen LANs als Ziel vorgenommen wird, sollte das Gateway-Feld leer gelassen werden. Geben Sie hier nicht die Adresse des Routers für den nächsten Hop ein. Die MAC-Adresse des Routers für den nächsten Hop muss im Parameter Gateway MAC Adresse angegeben werden (siehe vorangegangene Richtlinie).



Registerkarte "L2TP/Tunnel"

Abbildung 12: Das Menü "L2TP/Tunnel"


Name Eindeutiger Name für den Tunnel. Nachdem der Tunnel erstellt wurde, kann dieser Name steht als Ziel in der IP-Routing-Tabelle ausgewählt werden.

Lokale Konfiguration/Remote-Konfiguration

Benutzername und Kennwort

Zur Festlegung der PPP-Authentifizierungsparameter. Der lokale Name ist der Benuztername, der bei der Authentifizierung nach außen verwendet wird. Der Remote-Name ist der Benutzername, der für die Authentifizierung des Kommunikationspartners erwartet wird.

Lokale IP-Adresse <IP-Adresse> Die Ausgangs-IP-Adresse für den L2TP-Tunnel. Falls Sie keine Konfiguration vornehmen, verwendet IP Office standardmäßig die IP-Adresse der lokalen Schnittstelle, an der der Tunnel erstellt wird, als Ausgangs-Adresse.

Remote-IP-Adresse <IP-Adresse> Geben Sie die IP-Adresse der Remote-Kommunikationspartners (L2TP) ein.

Minimale Anrufzeit (Min.)

Standard = 60 Minuten

Die Zeitdauer, die der Tunnel mindestens aktiv bleibt.

Multicast-Meldungen weiterleiten

Standard = Ein

Ermöglicht die Übertragung von Multicast-Meldungen im Tunnel.

Verschlüsseltes Passwort

Standard = Aus

Wenn diese Option aktiviert ist, wird das CHAP-Protokoll zur Authentifizierung des ankommenden Kommunikationspartners verwendet.

Konfiguration


Registerkarte "L2TP/L2TP"


Gemeinsamer geheimer Schlüssel/Passwort bestätigen

Die für die Authentifizierung verwendete Benutzereinstellung. Muss von beiden Kommunikationspartnern verwendet werden. Das Passwort ist anders als die PPP-Authentifizierungsparameter, die auf der Registerkarte L2TP/Tunnel definiert sind (siehe Registerkarte "L2TP/Tunnel").

Neuübertragungsintervall der gesamten Steuerung

Standard = 0

Die Verzögerung vor der Übertragung.

Fenstergröße erhalten Standard = 4

Die zulässige Anzahl unbestätigter Pakete.

Sequenznummern auf Datenkanal

Standard = Ein

Wenn die Option aktiviert ist, werden L2TP-Paketen Sequenznummern hinzugefügt.

Prüfsumme zu UDP-Paketen addieren

Standard = Ein

Wenn die Option aktiviert ist, wird eine Prüfsumme zur Bestätigung von L2TP-Paketen verwendet.

Ausblenden verwenden Standard = Aus

Wenn die Option aktiviert ist, wird der Steuerkanal des Tunnels verschlüsselt.



Registerkarte "L2TP/PPP"

Abbildung 13: Die Registerkarte "L2TP/PPP"

Parameter Optionen Beschreibung CHAP-Anforderungsintervall Das Zeitintervall zwischen zwei aufeinander

folgenden CHAP-Anforderungen auf einer aktiven Verbindung.

Headerkomprimierung IPHC VJ

Standard = Aus IP-Headerkomprimierung.

Komprimierungsmodus Deaktivieren StackLZS MPPC

Standard = Aus (sämtliche Optionen)

Datenkomprimierung von PPP-Paketen.

MultiLink/QoS Standard = Aus Aktiviert das Multlink PPP-Protokoll für QoS. Verbindung nicht aufrecht Standard = Ein Verhindert, dass die Verbindung unnötig

aufrechterhalten wird. LCP Echo-Zeitüberschreitung Standard =

6000 s Die Zeit, die auf eine Antwort auf eine PPP-Aktivitätsnachricht gewartet wird. Die Verbindung wird beendet, wenn der Kommunikationspartner auf 3 LCP-Echo-Anforderungen nicht antwortet. Wenn Sie diesen Wert erhöhen, benötigt IP Office mehr Zeit, um zu bestimmen, ob ein L2TP-Kommunikationspartner nicht antwortet.

Richtlinien 1. Wenn keine besonderen Anforderungen vorliegen, sollte der Standard-Parameterwert verwendet

werden. 2. Die Option Verschlüsseltes Passwort sollte aktiviert werden. Wenn diese Option aktiviert ist,

wird das CHAP-Protokoll zum Zerstückeln des Passworts für den Authentifizierungs-Datenverkehr und zur Authentifizierung des ankommenden Kommunikationspartners verwendet. Wenn die Option Verschlüsseltes Passwort nicht aktiviert ist, wird die PAP-Authentifizierung verwendet. Hierbei werden Passwörter unverschlüsselt ausgetauscht.

Virtuelles privates Netzwerk (VPN) Konfigurationsbeispiele - Seite 39 40DHB0002DEER Version 3 (23.09.2005)

Konfigurationsbeispiele Dieser Abschnitt enthält Informationen zu Konfigurationsbeispielen und Richtlinien für IP Office-VPN-Szenarien. Der Einfachheit halber wurde die VPN-Konfiguration von der allgemeinen IP-Konnektivität getrennt. Dieser Abschnitt besteht daher aus drei Teilen:

• Teil 1: Basis-Internetzugang: Verschiedene Möglichkeiten zur Einrichtung eines Internetzugangs in IP Office

• Teil 2: VPN-Konfiguration: Informationen zu VPN-Konfigurationsbeispielen

• Teil 3: VoIP-Konfiguration: Informationen zu einem VoIP-Konfigurationsbeispiel

Bei dieser dreistufigen Methode ist es möglich, die Konfiguration nach jeder Phase zu überprüfen. Durch die Struktur dieses Abschnitts können erfahrene IP Office-Administratoren direkt die gewünschte Stelle auswählen. Bei der Fehlersuche und -behebung wird die Anwendung Ethereal als Hilfe empfohlen. Ethereal ist eine kostenlose Software zur Analyse von Netzwerkprotokollen für Windows- und Unix-Systeme. Sie bietet Echtzeit-Analyse des Netzwerkverkehrs sowie Speicherfunktionen. Die Software kann im Internet unter http://www.ethereal.com/ heruntergeladen werden. Einige der Beispiele enthalten die Übertragung von Paketen, die mit der Software erfasst wurden. Ein Beispiel hierfür wird unten angezeigt:

L2TP Nachricht – SCCRQ

L2TP Nachricht – SCCRP

L2TP Nachricht – SCCRN


Seite 40 - Konfigurationsbeispiele Virtuelles privates Netzwerk (VPN) 40DHB0002DEER Version 3 (23.09.2005)

Teil 1: Basis-Internetzugang Internetzugang über eine logische Schnittstelle Durch ein logisches LAN kann eine sekundäre Schnittstelle auf der LAN1-Schnittstelle erstellt werden, so dass IP Office als Router zwischen zwei LANs (IP403 oder IP406) verwendet werden kann. Da eine Schnittstelle für ein logisches LAN NAT-fähig ist, hat eine beliebige Anzahl von PCs über die Schnittstelle des System-LANs (LAN1) Zugang zum Internet. Die Schnittstelle für das logische LAN kann mit einem beliebigen xDSL-Router oder einen Internet-LAN-Router eines Drittanbieters verwendet werden. VPN-Verbindungen werden in der Regel zwischen zwei Systemen hergestellt. Diese Konfiguration bildet die Basis der in Teil 1: Basis-Internetzugang und Teil 2: VPN-Konfiguration beschriebenen Konfigurationsbeispiele.

Abbildung 14: Internetzugang über das logische LAN

Konfigurationsbeispiele

Virtuelles privates Netzwerk (VPN) Konfigurationsbeispiele - Seite 41 40DHB0002DEER Version 3 (23.09.2005) Teil 1: Basis-Internetzugang


Schritt 1 Klicken Sie in Manager mit der rechten Maustaste auf das Symbol für das logische LAN und erstellen Sie ein neues logisches LAN.

Siehe auch Menü "Logisches LAN".

Schritt 2 Werte des logischen LAN

• Name = LLAN • IP-Adresse = 217.37.69.116 • IP-Maske = 255.255.255.248 • Gateway IP Adresse = <217.37.69.118> • Gateway MAC Adresse =

<MAC-Adresse des ADSL-Routers> Siehe Hinweis unten

• Firewall-Profil = <nicht konfiguriert>

Die logische Schnittstelle ist eigentlich ein sekundäres LAN und wird normalerweise bei einem IP Office-System mit einzelnem LAN verwendet, um beispielsweise Verbindungen zu ADSL-Routern herzustellen. Name – Ein Name für das logische LAN Die Gateway-IP-Adresse und die Gateway-MAC-Addresse entsprechen der des ASDL-Routers. NAT ist auf der logischen Schnittstelle standardmäßig aktiviert und kann nicht deaktiviert werden. Durch die Bereitstellung einer NAT-fähigen Schnittstelle ermöglicht IP Office dem lokalen Ausgangssystem Tunnel-Datenverkehr. NAT wird für Verkehr verwendet, der nicht über die Adresse der Schnittstelle für das logische LAN übertragen wird.

Schritt 3 Klicken Sie in Manager mit der rechten Maustaste auf das Symbol für IP-Route und erstellen Sie eine neue IP-Route. Fügen Sie eine Standardroute für den Internetzugang hinzu, die auf die Schnittstelle für das logische LAN verweist.

• IP-Adresse = <nicht konfiguriert> • IP-Maske = <nicht konfiguriert> • Gateway = <nicht konfiguriert> • Ziel = LLAN

Siehe auch Menü "Logisches LAN". Die Schnittstelle für das logische LAN ist insofern ein Sonderfall, als für die Konfiguration der IP-Route kein Gateway-Parameter erforderlich ist.

Schritt 4 Überprüfen Sie die Konfiguration. Folgende Aktionen sollten ausgeführt werden können:

• PING-Test des ADSL-Routers • Surfen im Internet

Es ist nicht möglich, einen PING-Test des internen LAN vom Internet aus durchzuführen. Fahren Sie nicht fort, bevor alle Tests erfolgreich verlaufen sind.

• Hinweis: Sie können die MAC-Adresse des Standard-Gateways beispielsweise ermitteln, indem

Sie Ihren PC direkt mit dem DSL-Router verbinden und den Befehl ipconfig /renew ausführen, um die IP-Adresse des Standard-Gateways abzurufen. Führen Sie einen PING-Test dieser Adresse durch und ermitteln Sie anschließend die MAC-Adresse des ADSL-Routers, indem Sie den Befehl arp-a ausführen.



Basis-Internetzugang über LAN2 Bei diesem Konfigurationsbeispiel wird eine ähnliche Funktionalität wie im vorherigen Beispiel (siehe Seite Internetzugang über eine logische Schnittstelle) bereitgestellt. Der Unterschied besteht darin, dass der Internetzugang über eine physische Schnittstelle erfolgt. VPN-Verbindungen werden in der Regel zwischen zwei Systemen hergestellt. Diese Konfiguration bildet die Basis der in Teil 1: Basis-Internetzugang und Teil 2: VPN-Konfiguration beschriebenen Konfigurationsbeispiele.

Abbildung 15: Internetzugang über LAN 2


Virtuelles privates Netzwerk (VPN) Konfigurationsbeispiele - Seite 43 40DHB0002DEER Version 3 (23.09.2005) Teil 1: Basis-Internetzugang


Schritt 1 Konfigurieren Sie in Manager die Registerkarte LAN2 des Formulars System anhand der oben angezeigten Werte.

• IP-Adresse = 217.37.69.116 • IP-Maske = 255.255.255.248 • DHCP = <deaktiviert> • NAT einschalten = <ausgewählt> • Firewall-Profil = <nicht konfiguriert>

Die Firewall ist in dieser Konfiguration optional. Bei dieser Konfiguration wird die NAT-Funktion in LAN2 verwendet. Ohne die NAT-Funktion erhält das private IP-Adressschema von LAN1 keinen Zugang zum Internet.

Schritt 2 Fügen Sie für LAN2 die Standard-IP-Route hinzu.

• IP-Adresse = <nicht konfiguriert> • IP-Maske = <nicht konfiguriert> • Gateway = 217.37.69.118 • Ziel = LAN2

Standardroute für den Internetzugang.

Schritt 3 Testen Sie anschließend die Konfiguration. Folgende Aktionen müssen ausgeführt werden können:

• PING-Test des ADSL-Routers • Surfen im Internet

Fahren Sie nicht fort, bevor alle Tests erfolgreich verlaufen sind.



Teil 2: VPN-Konfiguration IPSec – Zwischen zwei IP Office-Systemen über ADSL unter Verwendung des logischen LAN Das Netzwerk besteht aus zwei IP403-Systemen, die über ADSL-Modems mit dem Internet verbunden sind. In der Konfiguration wird die NAT-Funktion verwendet, um auf das Internet zuzugreifen, und IPSec, um ein sicheres VPN zwischen den beiden Standorten aufzubauen. Das Netzwerk bietet folgende Vorteile:

• Sicheres VPN-Datennetzwerk für gemeinsam genutzte Ressourcen • Internetzugang für Benutzer im Unternehmen • Sichere IP-Telefonie zwischen Unternehmensstandorten

Abbildung 16: IP Office zu IP Office über logisches LAN

In den folgenden schrittweisen Anweisungen wird die Konfiguration des oben dargestellten Netzwerks erläutert. Weitere Informationen zur Konfiguration des VoIP-Elements dieses Netzwerks finden Sie unter Teil 3: VoIP-Konfiguration. In dieser Konfiguration wird eine logische LAN-Schnittstelle verwendet, deren Konfiguration ausführlich unter Internetzugang über eine logische Schnittstelle beschrieben wird.


Virtuelles privates Netzwerk (VPN) Konfigurationsbeispiele - Seite 45 40DHB0002DEER Version 3 (23.09.2005) Teil 2: VPN-Konfiguration


Schritt 1 Um die IP-Verbindung herzustellen, konfigurieren Sie die beiden Systeme mit den oben angegebenen IP-Adressen.

Siehe Abschnitt Basis-Internetzugang – Internetzugang über eine logische Schnittstelle.

Schritt 2 Überprüfen Sie die IP-Verbindung.

Vor Beginn der Konfiguration des IPSec-Elements in diesem Beispiel müssen die folgenden Aufgaben ausgeführt werden können.

• IP Office A: Ping-Test des ADSL-Routers • IP Office A: Ping-Test des Remote-ADSL-Routers • IP Office A: Ping-Test des Remote-IP Office B [1] • IP Office A: Surfen im Internet • IP Office B: Surfen im Internet • IP Office B: Ping-Test des ADSL-Routers • IP Office B: Ping-Test des Remote-ADSL-Routers • IP Office B: Ping-Test des Remote-IP Office A [1]

[1] Es wird angenommen, dass das Firewall-Profil an der Empfangsschnittstelle nicht aktiviert ist. Fahren Sie erst fort, wenn alle Tests erfolgreich verlaufen sind. In dieser Phase sollte es nicht möglich sein, einen Ping-Test zwischen den internen LANs erfolgreich durchzuführen.

Schritt 3 Installieren Sie die IPSec-Lizenz.

Für jedes IP-Office-System in der SA ist eine IPSec-Lizenz erforderlich. Vergewissern Sie sich, dass die IPSec-Lizenzen auf beiden Systemen gültig sind. Lizenzname – IPSec-Tunnel.

Schritt 4 Erstellen Sie einen IPSec-Tunnel für IP Office A. Registerkarte IP SEC

• Name = IPSec_Tunnel • Lokale IP-Adresse =

192.168.43.0 • Lokale IP-Maske =

255.255.255.0 • Gateway = <Lokale

Schnittstelle> • Remote-IP-Adresse

= 192.168.50.0 • Remote-IP-Maske =

255.255.255.0 • Gateway = 217.37.69.116

Für den IPSec-Tunnel ist ein eindeutiger Name erforderlich. Die lokale IP-Adresse/Maske ist der IP-Adressbereich, den Sie über den Tunnel sichern möchten. Die Remote-IP-Adresse ist der IP-Adressbereich der Remote-Netzwerke, die Sie über den Tunnel sichern möchten. Das Gateway ist die IPSec-Tunnelendpunkt-Adresse.



Schritt 5 Führen Sie für IP Office A Folgendes durch. Registerkarte IKE-Richtlinien

• Gemeinsamer geheimer Schlüssel = Passwort

• Exchange-Typ = ID Port • Verschlüsselung = DES • Authentifizierung = MD5 • DH-Gruppe = Gruppe 2 • Life-Typ = Sekunden • Life = 86400

Beide Tunnelendpunkte müssen denselben gemeinsamen geheimen Schlüssel aufweisen. Verschlüsselung mit DES Authentifizierung mit MD5 Diffie-Hellman-Gruppe = Gruppe 2 Zeitspanne, bevor ein neuer Schlüssel generiert wird (86400 steht für einen Tag in Sekunden).

Schritt 6 Führen Sie für IP Office A Folgendes durch. Registerkarte IPSec-Richtlinien

• Protokoll = ESP • Verschlüsselung = DES • Authentifizierung = MD5 • Life-Typ = Sekunden • Life = 86400

Protokoll auf EPS (Encapsulating Security Payload) eingestellt. Verschlüsselung mit DES Authentifizierung mit MD5 Zeitspanne, bevor ein neuer Schlüssel generiert wird (86400 steht für einen Tag in Sekunden).

Schritt 7 Erstellen Sie einen IPSec-Tunnel für IP Office B. Registerkarte IP SEC

• Name = IPSec_Tunnel • Lokale IP-Adresse =

192.168.50.0 • Lokale IP-Maske =

255.255.255.0 • Gateway = <Lokale

Schnittstelle> • Remote-IP-Adresse =

192.168.43.0 • Remote-IP-Maske =

255.255.255.0 • Gateway = 217.37.65.126

Für den IPSec-Tunnel ist ein eindeutiger Name erforderlich. Die lokale IP-Adresse/Maske ist der IP-Adressbereich, den Sie über den Tunnel sichern möchten. Die Remote-IP-Adresse ist der IP-Adressbereich der Remote-Netzwerke, die Sie über den Tunnel sichern möchten. Das Gateway ist die IPSec-Tunnelendpunkt-Adresse.

Schritt 8 Verwenden Sie die in Schritt 5 und 6 angegebenen Parameter für IP Office B, um die IKE- und IPSec-Formularkonfiguration abzuschließen.

Zur Herstellung einer IPSec-SA zwischen zwei Systemen muss das IKE- und das IPSec-Standardformular für beide Kommunikationspartner identisch sein.



Schritt 9 Überprüfen Sie die Funktionstüchtigkeit des Tunnels.

Überprüfen Sie mit Hilfe einer Protokollanalyse, ob die sechs ISAKMP-Hauptmodus-Meldungen angezeigt werden. Stellen Sie sicher, dass die vier Schnellmodus-Meldungen angezeigt werden. Dies bedeutet, dass der IPSec-Tunnel funktioniert.

Bei der Datenübertragung durch den Tunnel sollten ESP-Pakete in der Protokollanalyse angezeigt werden. Der Tunnel wird aktiviert, wenn zu routender Verkehr eingeht.

Schritt 10 Weitere Informationen zu VoIP finden Sie unter Teil 3: VoIP-Konfiguration.

Vor Beginn der VoIP-Konfigurationen für dieses Beispiel muss der Ping-Test zwischen den internen LANs erfolgreich sein. Fahren Sie erst fort, wenn alle Tests erfolgreich verlaufen sind.



L2TP/IPSec zwischen zwei IP Office-Systemen L2TP/IPSec zwischen zwei IP Office-Systemen Das Netzwerk besteht aus einem IP412 am Unternehmens-Hauptsitz und einigen IP Office Small Office Editions in den Niederlassungen. Die Niederlassungen sind über xDSL- bzw. Internet-Router an das Internet angeschlossen. Bei der Konfiguration wird die NAT-Funktion für den Zugriff auf Internet und IPSec genutzt, um ein sicheres VPN zwischen den beiden Standorten einzurichten. Das Netzwerk bietet die folgenden Vorteile:

• Sicherer Datenverkehr für gemeinsam genutzte Ressourcen im VPN • Internetzugang für Benutzer im Unternehmen • Sichere IP-Telefonie zwischen Unternehmensstandorten

Das folgende Beispiel kann als Grundlage für eine sternförmige VPN-Topologie verwendet werden, in der das IP412-System am Unternehmens-Hauptsitz (IPO_CO) die Rolle des zentralen VPN-Terminators und TK-Anlagen-/Datenrouters für mehrere entfernte Niederlassungen mit IP Office Small Office Edition-Systemen übernimmt.

Abbildung 17: L2TP/IPSec zischen IP Office-Systemen

Die in diesem Beispiel verwendete allgemeine Konfigurationsmethode sieht wie folgt aus: 1. Konfigurieren und testen Sie die IP-Verbindung zwischen den beiden Kommunikationspartnern. 2. Konfigurieren und testen Sie die L2TP-Tunnel-Parameter. 3. Konfigurieren und testen Sie die IPSec-Tunnel-Parameter.

Dieser Vorgang ist in zwei Abschnitte unterteilt.

• Teil 1 - L2TP-Konfiguration • Teil 2 - IPSec-Konfiguration

In beiden Abschnitten werden nur Details zur Verbindung zwischen dem Unternehmens-Hauptsitz und Niederlassung 1 erläutert. Wenn Sie weitere Niederlassungen hinzufügen möchten, wiederholen Sie den Vorgang mit den Datenwerten für die anderen Niederlassungen.



Teil 1 – L2TP-Konfiguration Zur Herstellung von IP-Konnektivität konfigurieren Sie die Systeme unter Verwendung der in Abbildung 18 aufgeführten IP-Adressen (siehe L2TP/IPSec zwischen zwei IP Office-Systemen).


Schritt 1 Erstellen Sie für IPO_CO einen L2TP-Tunnel (siehe Registerkarte "L2TP/Tunnel"). Registerkarte "Tunnel"

• Name = L2TP • Lokaler Kontoname = Administrator • Lokales Kontopasswort = Passwort • Remote-Kontoname = Administrator • Remote-Kontopasswort = Passwort • Remote-IP-Adresse = 217.37.69.116 • Minimale Anrufzeit = 60 • Verschlüsseltes Passwort = < ausgewählt>

Für den L2TP-Tunnel ist ein eindeutiger Name erforderlich. Zur Authentifizierung des Benutzers auf der Remote-Seite werden der lokale Kontoname und das Passwort verwendet. Der neue Benutzer wird anhand des Remote-Kontonamens und des Passworts authentifiziert. Bei der Remote IP-Adresse handelt es sich um den Tunnelendpunkt. Bei diesem Beispiel ist es 217.37.69.116, die IP-Adresse von Niederlassung 1. Wird Verschlüsseltes Passwort gewählt, wird CHAP zur Authentifizierung der L2TP-Verbindung verwendet.

Schritt 2 Erstellen Sie einen L2TP-Tunnel für Niederlassung 1 und verwenden Sie dieselben Parameterwerte wie im vorherigen Schritt mit Ausnahme des unten aufgeführten Parameters.

• Remote-IP-Adresse = 217.37.65.126

Bei der Remote-IP-Adresse handelt es sich um den Tunnelendpunkt. Bei diesem Beispiel ist es 217.37.65.126, die IP-Adresse von IPO_CO.

Schritt 3 Führen Sie für IPO_CO und Niederlassung 1 die folgenden Schritte aus: Registerkarte "L2TP"


• Sequenznummern auf Datenkanal = <nicht ausgewählt>

• Prüfsumme zu UDP-Paketen addieren = <nicht ausgewählt>

• Ausblenden verwenden = <nicht ausgewählt>

Beide Tunnelendpunkte müssen denselben gemeinsamen geheimen Schlüssel aufweisen. Alle anderen Einstellungen sind Standardeinstellungen.



Schritt 4 Führen Sie für IPO_CO und Niederlassung 1 die folgenden Schritte aus: Registerkarte "PPP"

• CHAP-Anforderungsintervall = <nicht konfiguriert>

• Headerkomprimierung = <nicht ausgewählt>

• Komprimierungsmodus = <Deaktivieren> • Multilink/QoS = <nicht ausgewählt> • Verbindung nicht aufrecht = <nicht

ausgewählt> • LCP Echo-Zeitüberschreitung = 6000

Einstellung des CHAP-Anforderungsintervalls bei Verwendung von CHAP. Headerkomprimierung – IPHC, VJ Komprimierungsmodus – Deaktivieren, StacLZS, MPPC.

Schritt 5 Erstellen Sie die folgenden beiden IP-Routen für IPO_CO: (1)

• IP-Adresse = 192.168.50.0 • IP-Maske = 255.255.255.0 • Gateway = <nicht konfiguriert> • Ziel = L2TP

(2) • IP-Adresse = <nicht konfiguriert> • IP-Maske = <nicht konfiguriert> • Gateway = 217.37.65.123 • Ziel = LAN2

(1) Die Standardroute leitet den gesamten Verkehr durch den L2TP-Tunnel. (2) 32-Bit-Route zum Tunnelendpunkt. Eine 32-Bit-Route kann nur für eine einzige IP-Adresse verwendet werden.

Schritt 6 Erstellen Sie die folgenden beiden IP-Routen für Niederlassung 1: (1)

• IP-Adresse = 192.168.43.0 • IP-Maske = 255.255.255.0 • Gateway = <nicht konfiguriert> • Ziel = L2TP

(2) • IP-Adresse = <nicht konfiguriert> • IP-Maske = <nicht konfiguriert> • Gateway = 217.37.69.118 • Ziel = LAN2

Mit Hilfe dieser Routingeinträge kann der Tunnel den für das Remote-Netzwerk bestimmten Verkehr an den lokalen VPN-Router weiterleiten.

Schritt 7 Überprüfen der Verwendbarkeit des Tunnels.

Prüfen Sie mit Ethereal, ob es im L2TP-Tunnel zum Paketaustausch kommt.

Verwenden Sie SysMonitor, um den PPP-Paketaustausch anzuzeigen. PPP-Echo-Anforderungs- und -Antwortpakete werden angezeigt (falls ausgewählt), wenn der L2TP-Tunnel aktiv ist. Sie werden auch angezeigt, wenn der aktive L2TP-Tunnel durch IPSec geschützt ist.



Teil 2 – IPSec-Konfiguration Führen Sie nach Abschluss von Teil 1 – L2TP-Konfiguration die folgenden Schritte durch:


Schritt 1 Installieren Sie die IPSec-Lizenz. Lizenzname – IPSec Tunneling.

Pro IP-Office ist eine IPSec-Lizenz erforderlich. Vergewissern Sie sich, dass die IPSec-Lizenzen auf beiden PCs gültig sind.

Schritt 2 Erstellen Sie einen IPSec-Tunnel für IPO_CO (siehe Das Menü "IP-Sicherheit"). Registerkarte "IP SEC"

• Name = IPSec_Tunnel • Lokale IP-Adresse = 217.37.65.126 • Lokale IP-Maske = 255.255.255.255 • Gateway = <Lokale Schnittstelle> • Remote-IP-Adresse = 217.37.69.116 • Remote-IP-Maske = 255.255.255.255 • Gateway = 217.37.69.116

Es ist ein Name für den IPSec-Tunnel erforderlich. Die lokale IP-Adresse/Maske beinhaltet alle IP-Adressen, die Sie durch den Tunnel sichern möchten. Die Remote IP-Adresse umfasst den kompletten IP-Adressbereich des Remote-Netzwerks, der durch den Tunnel gesichert werden soll. Die Remote IP-Maske ist die Remote-Maske. Das Gateway ist der Tunnelendpunkt. Folglich hat das Remote-Gateway für IPO_CO die Adresse 217.37.69.116 (die IP-Adresse von Niederlassung 1).

Schritt 3 Führen Sie für IPO_CO die folgenden Schritte auf der Registerkarte "IKE-Richtlinien" aus.


• Exchange-Typ = ID Port • Verschlüsselung = DES • Authentifizierung = MD5 • DH-Gruppe = Gruppe 2 • Life-Typ = Sekunden • Lebensdauer = 86400

Beide Tunnelendpunkte müssen denselben gemeinsamen geheimen Schlüssel aufweisen. Verschlüsselung mit DES. Authentifizierung mit MD5 Diffie-Hellman-Gruppe = Gruppe 2 Zeitspanne, bevor ein neuer Schlüssel generiert wird (86400 Sekunden sind ein Tag).

Schritt 4 Führen Sie für IPO_CO die folgenden Schritte auf der Registerkarte "IPSec-Richtlinien" aus.

• Protokoll = ESP • Verschlüsselung = DES • Authentifizierung = MD5 • Life-Typ = Sekunden • Lebensdauer = 86400

Protokoll eingestellt auf "Encapsulating Security Payload". Verschlüsselung mit DES. Authentifizierung mit MD5 Zeitspanne, bevor ein neuer Schlüssel generiert wird (86400 Sekunden sind ein Tag).



Schritt 5 Erstellen Sie einen IPSec-Tunnel für Niederlassung 1. Registerkarte "IP SEC"


Es ist ein Name für den IPSec-Tunnel erforderlich. Die lokale IP-Adresse/Maske umfasst den IP-Adressbereich, den Sie durch den Tunnel sichern möchten. Die Remote IP-Adresse umfasst den kompletten IP-Adressbereich des Remote-Netzwerks, der über den Tunnel gesichert werden soll. Die Remote IP-Maske ist die Remote-Maske. Das Gateway ist der Tunnelendpunkt. Folglich hat das Remote Gateway für Niederlassung 1 die Adresse 217.37.65.116 (die IP-Adresse von IPO_CO).

Schritt 6 Verwenden Sie die in Schritt 3 und 4 angegebenen Parameter für Niederlassung 1, um die IPSec-Konfiguration abzuschließen.

Zur Herstellung einer IPSec-Sicherheitszuweisung zwischen zwei Systemen müssen die IKE- und die IPSec-Richtlinien für die Kommunikationspartner identisch sein.

Schritt 7 Überprüfen der Verwendbarkeit des Tunnels.

Prüfen Sie mit einem Protokollanalyse-Tool, ob die sechs ISAKMP Main Mode-Nachrichten angezeigt werden. Überprüfen Sie, ob vier Quick Mode-Nachrichten angezeigt werden.

Dies bedeutet, dass der IPSec-Tunnel aktiv ist. Bei der Datenübertragung durch den Tunnel sollten ESP-Pakete mit dem Protokollanalyse-Tool ermittelt werden. Verwenden Sie SysMonitor, um die Übertragung von PPP-Paketen anzuzeigen. PPP-Echo-Anforderungs-/-Antwortpakete werden angezeigt (falls ausgewählt), wenn der L2TP-Tunnel aktiv ist. Sie werden auch angezeigt, wenn der aktive L2TP-Tunnel durch IPSec geschützt ist.

Näheres zur VoIP-Konfiguration finden Sie unter Teil 3: VoIP-Konfiguration. IPSec verschlüsselt alle L2TP-Daten, einschließlich der L2TP-Tunnel-Setup-Pakete. Dies ist ein Beispiel für die Ausführung von L2TP innerhalb von IPSec.



IPSec-Client-Anwendung (dynamischer Modus) Windows 2000 mit einer IPSec-Client-Anwendung (dynamischer Modus) Das folgende Beispiel zeigt eine einfache Konfiguration, die eine Client-initiierte IPSec-Verbindung zu IP Office ermöglicht. Über dieses Netzwerk können Mitarbeiter von Zuhause aus über eine sichere IPSec-Verbindung eine Verbindung mit dem Büro herstellen und Telefoniefunktionen sowie Unternehmensressourcen nutzen. Der normale Internetzugriff findet sowohl für den mobilen Mitarbeiter als auch für das Unternehmensnetzwerk außerhalb des IPSec-Tunnels statt. Einer der wichtigsten Vorteile von IP Office ist die Unterstützung dynamischer Tunnel. IP Office erstellt einen dynamischen Tunnel, wenn die IP-Adresse des Remote-Tunnelendpunkts nicht bekannt ist. Dies ist beispielsweise der Fall, wenn der mobile Mitarbeiter eine einfache xDSL-Leitung oder eine Wählverbindung über einen lokalen ISP nutzt.

Abbildung 18: Windows 2000 mit IPSec-Client-Anwendung

Der Vorgang ist wie folgt unterteilt:

• Teil 1 – VPN Client-Konfiguration • Teil 2 - IP Office-Konfiguration



Teil 1 - VPN-Client-Konfiguration Installieren Sie den VPN-Client für NetScreen-Remote und stellen Sie eine neue Verbindung unter Verwendung der unten in der Tabelle aufgeführten Angaben her. Die hier genannten Informationen beziehen sich speziell auf NetScreen-Remote 10.0.0 (Build 10).

NetScreen-Remote-VPN-Client 1- Eigene Verbindung

Neue Verbindung

Verbindungssicherheit: Sicher

Remote-Gesprächsteilnehmer und Adressierung ID-Typ: IP-Subnetz Subnetz:192.168.43.0 Maske:255.255.255.0 Port: Alle Protokolle: Alle

Verbindung über: Sicherer Gateway-Tunnel ID-Typ: IP-Adresse 217.37.69.116

Eigene Identität Pre-Shared Key: Passwort Auswahl Zertifikatsdatei: – ID-Typ: IP-Adresse Port: Alle Virtueller Adapter: Deakt. Internet-Schnittstelle: <Name_der_lokalen_Netzwerkkarte> IP-Adresse: 217.37.65.124

Sicherheitsrichtlinie Verhandlungsmodus Phase 1: Hauptmodus

Authentifizierung (Phase1) Vorschlag 1 Authentifizierungsmethode: Pre-Shared Key Verschlüsselungs-Alg.: DES Hash-Alg.: MD5 SA-Dauer: Sekunden Sekunden: 86400 Schlüsselgruppe: Diffie-Hellman-Gruppe 1

Authentifizierung (Phase2) Vorschlag 2 SA-Dauer: Sekunden Sekunden: 86400 Komprimierung: – ESP-Paket: <ausgewählt> Verschlüsselungs-Alg.: DES Hash-Alg.: MD5 Paketerstellung: Tunnel



Teil 2 - IP Office-Konfiguration Aufgabe Beschreibung

Schritt 1 Erstellen und konfigurieren Sie in Manager eine Schnittstelle für das logische LAN unter Beachtung der unten stehenden Angaben (siehe Menü "Logisches LAN").

• Name = Logisches_LAN • IP-Adresse = 217.37.69.116 • IP-Maske = 255.255.255.248 • Gateway IP Adresse = 217.37.69.118 • Gateway MAC Adresse (Internet-Router) • Firewall-Profil = keins

Siehe Abschnitt Basis-Internetzugang – Internetzugang über eine logische Schnittstelle. Hinweis: Es ist nicht unbedingt erforderlich, ein logisches LAN zu verwenden. Stattdessen kann auch eine LAN2-Schnittstelle verwendet werden (IP412 oder SOE).

Schritt 2 Fügen Sie eine IP-Route in IP Office hinzu:

• IP-Adresse = <nicht konfiguriert> • IP-Maske = <nicht konfiguriert> • Gateway = <nicht konfiguriert> • Ziel = Logisches_LAN

Schritt 3 Installieren Sie die IPSec-Lizenz. Lizenzname – IPSec Tunneling.

Pro IP-Office-System ist eine IPSec-Lizenz erforderlich. Vergewissern Sie sich, dass die IPSec-Lizenz in Manager gültig ist.

Schritt 4 Erstellen Sie einen IPSec-Tunnel für IP Office. Registerkarte "IP SEC"


Es ist ein eindeutiger Name für den IPSec-Tunnel erforderlich. Die lokale IP-Addresse/Maske besteht aus dem IP-Adressbereich, den Sie durch den Tunnel sichern möchten, z.B. ergibt 192.168.50.1/24 die Subnetzadresse 192.168.50.0. Die Remote-IP-Adresse umfasst den IP-Adressbereich des Remote-Netzwerks, den Sie durch den Tunnel sichern möchten. Die Remote-IP-Maske ist die Remote-Maske. Das Gateway ist der Tunnelendpunkt. Folglich hat das Gateway die Adresse 217.37.65.124 (die IP-Adresse des Telearbeiter-PCs).



Schritt 5 Führen Sie in IP Office die folgenden Schritte auf der Registerkarte IKE-Richtlinien aus.


• Exchange-Typ = ID-Port • Verschlüsselung = DES • Authentifizierung = MD5 • DH-Gruppe = Gruppe 1 • Life-Typ = Sekunden • Lebensdauer = 86400

Beide Tunnelendpunkte müssen denselben gemeinsamen geheimen Schlüssel aufweisen. Verschlüsselung mit DES. Authentifizierung mit MD5 Diffie-Hellman-Gruppe = Gruppe 2 Zeitspanne, bevor ein neuer Schlüssel generiert wird (86400 Sekunden sind ein Tag).

Schritt 6 Führen Sie die folgenden Schritte auf der Registerkarte IPSec-Richtlinien in IP Office aus:

• Protokoll = ESP • Verschlüsselung = DES • Authentifizierung = MD5 • Life-Typ = Sekunden • Lebensdauer = 86400

Protokoll festgelegt auf "Encapsulating Security Payload". Verschlüsselung mit DES. Authentifizierung mit MD5 Zeitspanne, bevor ein neuer Schlüssel generiert wird (86400 Sekunden sind ein Tag).

Schritt 7 Verbindungsprüfung

Aktivieren Sie die Sicherheitsrichtlinie auf dem Windows-PC, indem Sie mit der rechten Maustaste auf das Symbol SoftRemote in der Taskleiste klicken. Prüfen Sie mit einem Protokollanalyse-Tool, ob ISAKMP Main Mode-Nachrichten angezeigt werden.

Näheres zu VoIP finden Sie unter Teil 3: VoIP-Konfiguration.



IPSec über WAN Der IPSec-Tunnel wird über das WAN hergestellt, um den gesamten IP-Verkehr zwischen Subnetzen zu sichern. Alternativ kann statt einer dedizierten WAN-Verbindung Frame Relay verwendet werden. Dieser Abschnitt besteht aus zwei Teilen:

1. Eine nummerierte PPP-WAN-Verbindung. 2. Eine nicht nummerierte PPP-WAN-Verbindung.

Der Unterschied zwischen den beiden hebt die unterschiedliche Verwendung der IP-Adresse des Tunnelendpunkts hervor. Beide Methoden können entweder für die integrierte IP Office WAN-Schnittstelle oder für eine T1-Schnittstelle eingesetzt werden, die nicht im Kanalmodus verwendet wird.

Eine nummerierte PPP-WAN-Verbindung

Hinweis: Bei der Konfiguration wird davon ausgegangen, dass in der Verbindung kein RIP ausgeführt wird.

Abbildung 19: Eine nummerierte PPP-WAN-Verbindung


Schritt 1 Konfigurieren Sie die WAN-Verbindung anhand der oben stehenden Abbildung und überprüfen Sie die korrekte Funktionsweise. Auf der Registerkarte PPP des Formulars WAN-Dienst sind für beide Systeme die folgenden Einstellungen erforderlich.

• Headerkomprimierungsmodus = <nicht ausgewählt> • Multilink/QoS = <nicht ausgewählt> Um den nummerierten PPP-Schnittstellenmodus zu unterstützen, fügen Sie in der Registerkarte IP des Formulars WAN-Dienst Folgendes hinzu. Standort A • IP-Adresse = 10.10.20.1 • IP-Maske = 255.255.255.0 Standort B • IP-Adresse = 10.10.20.2 • IP-Maske = 255.255.255.0

Der IPSec-Tunnel wird über das WAN hergestellt, um den IP-Verkehr zwischen den beiden Subnetzen zu sichern. Deshalb muss die WAN-Verbindung aufgebaut werden, bevor Sie die Sicherheitskonfiguration vornehmen. IPSec verwendet nicht die normalen QoS-Funktionen von IP Office. Eine PPP-Verbindung, die für die Verwendung einer IP-Adresse konfiguriert wurde, wird als nummerierte PPP-Verbindung bezeichnet. Die Adressen, mit denen die nummerierte PPP-Verbindung erstellt wurde, werden als IPSec-Tunnelendpunkt-Adresse verwendet (siehe weiter unten in diesem Beispiel).



Schritt 2 Installieren Sie die IPSec-Lizenz. Lizenzname = IPSec-Tunnel

Für jedes IP-Office ist eine IPSec-Lizenz erforderlich. Vergewissern Sie sich, dass die IPSec-Lizenzen auf beiden Systemen gültig sind.

Schritt 3 Erstellen Sie einen IPSec-Tunnel für den IP Office-Standort A (siehe IP Sicherheits-Menü). Registerkarte IP SEC: Lokale Konfiguration:

• Name = IPSec_Tunnel • IP-Adresse = 192.168.42.0 • IP-Maske = 255.255.255.0 • Tunnelendpunkt-IP-Adresse = <10.10.20.1>

Remote-Konfiguration: • IP-Adresse = 192.168.43.0 • IP-Maske = 255.255.255.0 • Tunnelendpunkt-IP-Adresse = <10.10.20.2>

Für den IPSec-Tunnel ist ein eigenständiger Name erforderlich. Die lokale Konfiguration für die IP-Adresse/Maske und die Remote-IP-Adresse/-Maske bestimmt den Bereich der IP-Adressen, die Sie über den Tunnel sichern möchten, z.B. ergibt 192.168.42.1/24 die Subnetzadresse 192.168.42.1. Bei der lokalen Tunnelendpunkt-IP-Adresse handelt es sich um den näher gelegenen Tunnelendpunkt. Für Standort A ist dies 10.10.20.1 – die WAN-IP-Adresse von Standort A. Bei der Remote-Tunnelendpunkt-IP-Adresse handelt es sich um den entfernt gelegenen Tunnelendpunkt. Für Standort A ist dies 10.10.20.2 – die WAN-IP-Adresse von Standort B.

Schritt 4 Erstellen Sie einen IPSec-Tunnel für den IP Office-Standort B (siehe IP Sicherheits-Menü). Registerkarte IP SEC: Lokale Konfiguration:



Weitere Informationen dazu finden Sie weiter oben in den Hinweisen zu Schritt 3. Bei der lokalen Tunnelendpunkt-IP-Adresse handelt es sich um den näher gelegenen Tunnelendpunkt. Für Standort B ist dies 10.10.20.2 – die WAN-IP-Adresse von Standort B. Bei der Remote-Tunnelendpunkt-IP-Adresse handelt es sich um den entfernt gelegenen Tunnelendpunkt. Für Standort B ist dies 10.10.20.1 – die WAN-IP-Adresse von Standort A.



Schritt 5 Führen Sie für die IP Office-Standorte A und B Folgendes durch: Registerkarte IKE-Richtlinien


• Exchange-Typ = ID Port • Verschlüsselung = DES • Authentifizierung = MD5 • DH-Gruppe = Gruppe 2 • Life-Typ = Sekunden • Life = 86400

Diese Parameter legen Phase 1 des Verbindungsaufbaus für die SA fest.

Schritt 6 Führen Sie für die IP Office-Standorte A und B Folgendes durch: Registerkarte IPSec-Richtlinien



Schritt 7 Überprüfen der Funktionstüchtigkeit des Tunnels.

Überprüfen Sie mit der Anwendung SysMonitor, ob ESP-Pakete erzeugt werden, wenn ICMP-Ping-Anfragen zwischen den Subnetzen gesendet werden.

Weitere Informationen zur VoIP-Konfiguration finden Sie unter Teil 3: VoIP-Konfiguration.



Eine nicht nummerierte PPP-WAN-Verbindung

Hinweis: Bei der Konfiguration wird davon ausgegangen, dass in der Verbindung kein RIP ausgeführt wird.

Abbildung 20: Eine nicht nummerierte PPP-WAN-Verbindung


Schritt 1 Konfigurieren Sie die WAN-Verbindung anhand der oben stehenden Abbildung und überprüfen Sie die korrekte Funktionsweise. Auf der Registerkarte PPP des Formulars WAN-Dienst sind folgende Einstellungen erforderlich:

• Headerkomprimierungsmodus = <nicht ausgewählt>

• Multilink/QoS = <nicht ausgewählt>

Der IPSec-Tunnel wird über das WAN hergestellt, um den IP-Verkehr zwischen den beiden Subnetzen zu sichern. Deshalb muss die WAN-Verbindung aufgebaut werden, bevor Sie die Sicherheitskonfiguration vornehmen. IPSec verwendet nicht die normalen QoS-Funktionen von IP Office.

Schritt 2 Installieren Sie die IPSec-Lizenz.

• Lizenzname = IPSec-Tunnel.

Für jedes IP-Office ist eine IPSec-Lizenz erforderlich. Vergewissern Sie sich, dass die IPSec-Lizenzen auf beiden Systemen gültig sind.

Schritt 3 Erstellen Sie einen IPSec-Tunnel für den IP Office-Standort A (siehe IP Sicherheits-Menü). Registerkarte IP SEC: Lokale Konfiguration:



Für den IPSec-Tunnel ist ein eigenständiger Name erforderlich. Die lokale Konfiguration für die IP-Adresse/Maske und die Remote-IP-Adresse/-Maske bestimmt den Bereich der IP-Adressen, die Sie über den Tunnel sichern möchten, z.B. ergibt 192.168.42.1/24 die Subnetzadresse 192.168.42.1. Bei der lokalen Tunnelendpunkt-IP-Adresse handelt es sich um den näher gelegenen Tunnelendpunkt. Für Standort A ist dies 192.168.42.1 – die WAN-IP-Adresse von Standort A. Bei der Remote-Tunnelendpunkt-IP-Adresse handelt es sich um den entfernt gelegenen Tunnelendpunkt. Für Standort A ist dies 192.168.43.1 – die LAN1-IP-Adresse von Standort B.



Schritt 4 Erstellen Sie einen IPSec-Tunnel für den IP Office-Standort B (siehe IP Sicherheits-Menü). Registerkarte IP SEC: Lokale Konfiguration:



Weitere Informationen dazu finden Sie weiter oben in den Hinweisen zu Schritt 3. Bei der lokalen Tunnelendpunkt-IP-Adresse handelt es sich um den näher gelegenen Tunnelendpunkt. Für Standort B ist dies 192.168.43.1 – die LAN1-IP-Adresse von Standort B. Bei der Remote-Tunnelendpunkt-IP-Adresse handelt es sich um den entfernt gelegenen Tunnelendpunkt. Für Standort A ist dies 192.168.42.1 – die LAN-IP-Adresse von Standort A.

Schritt 5 Führen Sie für die IP Office-Standorte A und B Folgendes durch: Registerkarte IKE-Richtlinien

• Gemeinsamer geheimer Schlüssel = Passwort • Exchange-Typ = ID Port • Verschlüsselung = DES • Authentifizierung = MD5 • DH-Gruppe = Gruppe 2 • Life-Typ = Sekunden • Life = 86400


Schritt 6 Führen Sie für die IP Office-Standorte A und B Folgendes durch: Registerkarte IPSec-Richtlinien



Schritt 7 Überprüfen der Funktionstüchtigkeit des Tunnels.

Überprüfen Sie mit der Anwendung SysMonitor, ob ESP-Pakete erzeugt werden, wenn ICMP-Ping-Anfragen zwischen den Subnetzen gesendet werden.

Weitere Informationen zur VoIP-Konfiguration finden Sie unter Teil 3: VoIP-Konfiguration.



Teil 3: VoIP-Konfiguration Ist eine VPN-Verbindung hergestellt und aktiv, kann die VoIP-Konfiguration vorgenommen werden. Aus diesem Grund ist es wichtig, vor Beginn der Konfiguration für vollständige IP-Konnektivität zu sorgen. Da die VoIP-Konfiguration unabhängig von der Art und Weise der IP-Verbindung vorgenommen wird, kann das hier beschriebene Konfigurationsverfahren auf alle in den vorherigen Abschnitten aufgeführten Beispiele angewendet werden (siehe Teil 1: Basis-Internetzugang und Teil 2: VPN-Konfiguration). Aus Gründen der Eindeutigkeit sei jedoch darauf hingewiesen, dass das folgende Beispiel speziell für IPSec – Zwischen zwei IP Office-Systemen über ADSL unter Verwendung des logischen LAN gilt. Nach Durchführung der in der Tabelle unten genannten Schritte ist es möglich, Anrufe zwischen Standort A und Standort B zu tätigen; dabei können IP-Hardphones, IP-Softphones und Telefone der Vermittlung verwendet werden.


Schritt 1 Stellen Sie sicher, dass der IPSec-Tunnel zwischen den beiden Systemen hergestellt ist (siehe IPSec – Zwischen zwei IP Office-Systemen über ADSL unter Verwendung des logischen LAN).

Vor Beginn der VoIP-Konfigurationen dieses Beispiels müssen die folgenden Aufgaben ausgeführt werden können: PING-Befehl zwischen den internen LANs (durch den hergestellten IPSec-Tunnel). Testen Sie mit dem Befehl PING die IP-Adresse des internen Remote-Systems und überprüfen Sie unter Verwendung der Schnittstellen-Decodierungsoptionen von SysMonitor die Anzeige der Paketübertragung. Fahren Sie nicht fort, bevor alle Tests erfolgreich verlaufen sind.

Schritt 2 Erstellen Sie in Manager eine IP-Leitung für IP Office A und verwenden Sie die folgenden Parameter: siehe Registerkarte Leitung des Formulars IP-Leitung:

• Leitungsnummer = 2 • Ausgehende Gruppennummer = 2

Die IP-Leitung dient der Konfiguration des VoIP-Gateways für IP Office. Anhand der IP-Leitungsnummer wird die Leitung von anderen Leitungsgruppen unterschieden. Leitungsgruppen müssen unterschiedliche Leitungsnummern aufweisen. Die Leitungsgruppennummer ist eine absolute Referenz zu einer IP-Leitung. Wenn Redundanz erforderlich ist, ist es zulässig, dass zwei IP-Leitungen dieselbe Leitungsnummer aufweisen. Die IP-Leitungsnummer darf maximal 240 betragen.

Schritt 3 Erstellen Sie in Manager eine IP-Leitung für IP Office B und verwenden Sie die folgenden Parameter: siehe Registerkarte Leitung des Formulars IP-Leitung:

• Leitungsnummer = 3

• Ausgehende Gruppennummer = 3


Virtuelles privates Netzwerk (VPN) Konfigurationsbeispiele - Seite 63 40DHB0002DEER Version 3 (23.09.2005) Teil 3: VoIP-Konfiguration

Schritt 4 Wenden Sie die Bandbreitenbeschränkungen für IP Office A und IP Office B an, indem Sie die Registerkarte Leitung der Formulare IP-Leitung verwenden.

• Anzahl der Kanäle = 5 • Ausgehende Kanäle = 5 • Sprachmodule = 5 • Datenkanäle = 5

Diese Schritte müssen für IP Office A und für IP Office B durchgeführt werden.

Bei der IP Office-Implementierung (2.1) ist die maximale bei mit IPSec verschlüsselten VoIP-Anrufen zu verwendende Bandbreite auf 512 (IP412) oder 256 Kbit/s (SMO, IP401, IP 403, IP406) beschränkt. Dies ist ausreichend für bis zu fünf G729-Anrufe. Da die Gesamtbandbreite zwischen den beiden xDSL-Leitungen 512 Kbit/s beträgt, können 256 Kbit/s (50 %) davon für sonstigen Datenverkehr zwischen den beiden Standorten verwendet werden.

Schritt 5 Stellen Sie in Manager für Office A die Zielrufnummer des VoIP-Gateways auf die IP-Adresse der internen Schnittstellenadresse von IP Office B ein. Verwenden Sie die Registerkarte VoIP der IP-Leitung, um die folgenden Parameter einzustellen.

• Gateway-IP-Adresse = <192.168.50.1> • Komprimierungsmodus = <G729>

Die IP-Leitung dient der Konfiguration des VoIP-Gateways für IP Office. Die LAN2-Schnittstelle kann jedoch auch zum Beenden eines VoIP-Gateways verwendet werden. Bei diesem Beispiel wird die VoIP-Gateway-Funktion des IP Office-Systems im internen LAN verwendet. Dies ist darauf zurückzuführen, dass der IPSec-Tunnel bereits an der externen Schnittstelle beendet ist. G711 bietet die beste Sprachqualität, benötigt aber die meiste Bandbreite. G711 sollte für LAN- oder WAN-Verbindungen verwendet werden, bei denen die Bandbreite keine Rolle spielt. Die intensive Sprachkomprimierung von G729 und 723 ist besonders bei langsamen WAN-Verbindungen zu empfehlen.

Schritt 6 Stellen Sie in Manager für IP Office B das VoIP-Ziel-Gateway auf die IP-Adresse der internen Schnittstellenadresse von IP Office B ein. Verwenden Sie die Registerkarte VoIP der IP-Leitung, um die folgenden Parameter einzustellen.

• Gateway-IP-Adresse = <192.168.43.1>

• Komprimierungsmodus = <G729>

Weitere Informationen dazu finden Sie in den Hinweisen zu Schritt 5.

Schritt 7 Wählen Sie die gewünschten VoIP-Optionen aus.

• Faxübertragung • Ruhe aus

• Lokaler Wählton

Stellen Sie sicher, dass die folgenden optionalen Parameter mit IP Office A und mit IP Office B übereinstimmen.



Schritt 8 (Wählen Sie die Methode zum Routing von Anrufen) IP Office ist dafür konfiguriert, entweder das Sprachnetzwerk oder Funktionscodes für die Anruf-Routenauswahl zu verwenden. Wählen Sie entweder Schritt 8a oder 8b zur Konfiguration der Anruf-Routenauswahl.

Sprachnetzwerk Mit dieser Option können Nebenstellennummern auch auf dem IP Office-Remote-System genutzt werden. Nebenstellen auf dem Remote-System können dann vom lokalen System aus angerufen werden. Das Sprachnetzwerk wird manchmal als Small Community Networking bezeichnet. Funktionscodes Legt die Regeln und Bedingungen fest, unter denen IP Office die IP-Leitung aufruft.

Schritt 8a (optional) Sprachnetzwerk Wählen Sie die folgende Option auf der Registerkarte VoIP des Formulars IP-Leitung, um das Sprachnetzwerk zu aktivieren. Diese Schritte müssen sowohl für IP Office A als auch für IP Office B durchgeführt werden.

Stellen Sie sicher, dass die Nebenstellenbereiche bei den IP Office-Systemen unterschiedlich sind.

Schritt 8b (optional) Funktionscode Erstellen Sie einen Funktionscode und fügen Sie die folgenden Angaben hinzu, um die Routenauswahl durch Funktionscodes zu aktivieren: IP Office A

• Funktionscode = 8N • Telefonnummer = N • Leitungsgruppennummer = 2 • Funktion = wählen

IP Office B • Funktionscode = 8N • Telefonnummer = N • Leitungsgruppennummer = 3 • Funktion = wählen

Schritt 9 Registrieren Sie die IP-Telefone bei den lokalen IP Office-Systemen. Stellen Sie sicher, dass die folgenden Parameter konfiguriert sind. Registerkarte Gatekeeper des Formulars System

• Automatische Nebenstellen-Erstellung einschalten = <ausgewählt>

• Gatekeeper einschalten = <ausgewählt> • Registerkarte LAN1 des Formulars System: • DHCP-Modus = <Server>

Stellen Sie sicher, dass die IP-Telefone bei den jeweiligen lokalen IP-Office-Systemen registriert sind. Wenn diese Option aktiviert ist, melden sich H.323-Terminals automatisch beim Gatekeeper an und erstellen dadurch eine Nebenstelle in der Konfiguration. IP-Telefone sind mit dem LAN verbunden. Daher können Sie über den DHCP-Server in LAN1 eine IP-Adresse auswählen. Das lokale IP Office-System stellt die Gatekeeper-Funktion bereit. Stellen Sie sicher, dass in Windows 2000 bei einem Beispiel für eine IPSec-Client-Anwendung die Registrierung von Phone Manager über den Tunnel stattfindet. Der gesamte Registrierungsverkehr ist verschlüsselt.

Virtuelles privates Netzwerk (VPN) Glossar - Seite 65 40DHB0002DEER Version 3 (23.09.2005)

Glossar A AH: Authentifizierungs-Header. Hierbei handelt es sich in der IPSec-Architektur um das Paketformat für Algorithmen und allgemeine Belange rund um die Authentifizierung.

ARP: Address Resolution Protocol (Protokoll zur Adressauflösung). Ein Protokoll der unteren Schicht in der TCP/IP-Reihe, das für die Zuordnung von IP-Adressen und Ethernet-Adressen zuständig ist.

ASN.1: Abstract Syntax Notation (1) (Schreibweise in abstrakter Syntax). Eine Methode zur Beschreibung von Daten, die in vielen anderen Standards verwendet werden.

C CHAP: Challenge-Handshake Authentication Protocol (Protokoll zur Authentifizierung über Challenge-Zufallswert und Übereinstimmungsprüfung). Eine Authentifizierungsmethode, die bei der Verbindung mit einem ISP verwendet werden kann.

CO: Central Office (Vermittlungsstelle). Eine Vermittlung beim Netzbetreiber, in der Amtsleitungen und/oder Schleifen auflaufen und geschaltet werden.

CPE: Customer Premise Equipment (Geräte am Standort des Kunden). Systeme, die sich am Standort des Kunden befinden (und nicht im Netzwerk des Dienstanbieters; siehe CO).

D DES: Data Encryption Standard (Datenverschlüsselungsstandard). Ein Verschlüsselungsalgorithmus, der Bestandteil zahlreicher Standards ist.

Diffie-Hellman: Ein kryptographischer Schlüsselaustausch-Algorithmus, der Bestandteil zahlreicher Standards ist. Siehe auch X9.42.

Digitale Signatur: Eine Methode, mit der bestätigt wird, dass der Besitzer eines privaten Schlüssels der Verfasser einer Nachricht ist.

DSL: Digital Subscriber Line (Digitale Anschlussleitung). Eine allgemeine Bezeichnung für verschiedene Digitalleitungen (auch als xDSL bezeichnet), die vom örtlichen Netzbetreiber und von den verschiedenen Telefongesellschaften vor Ort angeboten werden.

DSS: Digital Signature Standard (Standard für digitale Signaturen). Ein kryptographischer Signaturalgorithmus, der Bestandteil zahlreicher Standards ist. Wird auch als DSA (Digital Signature Algorithm; Algorithmus für digitale Signaturen) bezeichnet.

E ESP: Encapsulating Security Payload (Sichere Übertragung durch Verkapselung). Hierbei handelt es sich in der IPSec-Architektur um das Paketformat für Algorithmen und allgemeine Belange rund um die Verschlüsselung. Siehe SA.

H HardPhone: Der Begriff HardPhone bezieht sich auf eine IP-Nebenstelle bzw. ein an ein LAN angeschlossenes, H323-kompatibles Gerät.

I IKE: Internet Key Exchange (Internet-Schlüsselaustausch). Das Protokoll, das zum Austausch symmetrischer Schlüssel für IPSec verwendet wird.

IPSec: IP Security (IP-Sicherheit). Das für die Authentifizierung und/oder Verschlüsselung des IP-Datenverkehrs verwendete Protokoll.

ISAKMP: Internet Security Association and Key Management Protocol (Protokoll für Internet-Sicherheitszuweisung und Schlüsselverwaltung). Die Grundlage für IKE.


Seite 66 - Glossar Virtuelles privates Netzwerk (VPN) 40DHB0002DEER Version 3 (23.09.2005)

ISDN: Integrated Services Digital Network (Digitales Netz für integrierte Dienste). Eine Reihe internationaler Standards für ein leitungsvermitteltes Netzwerk, das den Zugriff auf jeden Diensttyp unterstützt.

ISP: Internet Service Provider (Internetdienstanbieter).

K Kryptographie mit öffentlichem Schlüssel: Eine Methode zur Erstellung von zwei Schlüsseln (dem so genannten Schlüsselpaar), die zur Ver- und Entschlüsselung von Nachrichten eingesetzt werden können. Der öffentliche der beiden Schlüssel ist überall bekannt, wohingegen der private Schlüssel geheim gehalten wird. Wenn Sie eine Nachricht für einen Empfänger verschlüsseln, verwenden Sie den öffentlichen Schlüssel des Empfängers. Die Entschlüsselung funktioniert nur mit dem privaten Schlüssel. Wenn Sie eine Nachricht digital signieren möchten, verwenden Sie Ihren privaten Schlüssel. Anhand Ihres öffentlichen Schlüssels kann die Signatur allen Empfängern daraufhin überprüft werden, ob die Nachricht tatsächlich von Ihnen signiert wurde.

L L2TP: Layer 2 Tunneling Protocol (Layer 2-Tunnelprotokoll). Dieses Protokoll bietet die Möglichkeit zur Übertragung von IP-Datenverkehr in Schicht 2 durch einen Tunnel. Kann mit IPSec für die Authentifizierung verwendet werden.

LAC: L2TP Access Concentrator (Zentralumschalter für den L2TP-Zugriff).

LDAP: Lightweight Directory Access Protocol (Protokoll für den verkürzten Verzeichniszugriff). Ein einfacheres Protokoll für den Verzeichniszugriff als X.500.

LDP: Label Distribution Protocol (Protokoll für die Verteilung von Labeln).

LNS: L2TP Network Server (L2TP-Netzwerkserver).

LSR: Label Switching Router (Router für die Label-Vermittlung). Ein Router, der mit Labeln versehene Layer-2-Datagramme lesen und beantworten kann.

M MPLS: MultiProtocol Label Switching Protocol (Mit mehreren Protokollen kompatibles Switching-Protokoll für Label).

N NAS: Network Access Server (Server für den Netzwerkzugriff). Hierbei handelt es sich um ein Gerät, das den Benutzern vorübergehend und auf Anforderung den Zugriff auf ein Netzwerk ermöglicht. Der Zugriff erfolgt in der Regel mit einem Punkt-zu-Punkt-Protokoll über die Telefonleitung (analog oder ISDN).

O Oakley: Ein Protokoll, in dem zwei authentifizierte Seiten geheime Schlüssel vereinbaren können.

P PE: Provider Edge (Anbieterseite). Der Router, der sich auf der Anbieterseite der Schnittstelle zwischen Kunde und Anbieter befindet.

PKI: Public Key Infrastructure (Infrastruktur mit öffentlichem Schlüssel). Der Mechanismus, der es zum einen dem Empfänger einer signierten Nachricht ermöglicht, der Signatur zu vertrauen, und der zum anderen dafür sorgt, dass der Absender den richtigen Verschlüsselungsschlüssel für einen Empfänger verwendet.

PPP: Point-to-Point Protocol (Punkt-zu-Punkt-Protokoll). Ein Protokoll aus der zweiten Schicht (Sicherung), mit dem zwei gleichberechtigte Geräte Datenpakete über eine gemeinsame Verbindung austauschen können.

PPTP: Point-to-Point Tunneling Protocol (Punkt-zu-Punkt-Tunnel-Protokoll). Dieses Protokoll bietet eine Möglichkeit zur Übertragung von IP-Daten durch einen Tunnel in Schicht 2.

Glossar

Virtuelles privates Netzwerk (VPN) Glossar - Seite 67 40DHB0002DEER Version 3 (23.09.2005) Teil 3: VoIP-Konfiguration

PPVPN: Provider-Provisioned VPN (Vom Anbieter bereitgestelltes virtuelles privates Netzwerk). Ein VPN, das von einem Dienstanbieter und nicht vom Benutzer des VPN verwaltet wird.

Q QoS: Quality of Service (Dienstgüte). Dieser Begriff wird in verschiedenen Zusammenhängen verwendet. Im Allgemeinen bezieht er sich auf die Garantie bestimmter Service-Level bei der Internetverbindung. In Bezug auf VPNs steht der Begriff QoS in der Regel für den Durchsatz oder die Anzahl gleichzeitiger Verbindungen, die über eine IPSec-Verbindung aufrechterhalten werden können.

R RAS: Remote Access Server (Remote-Zugriffsserver). Über diesen Server gewähren ISPs ihren Kunden den Zugriff auf ihr Netzwerk.

RFC: Request For Comments (Bitte um Kommentare). Die Hauptmethode der IETF zur Publikation von Dokumenten wie z.B. Standards.

RSA: Rivest-Shamir-Adelman. Ein kryptographischer Schlüsselaustausch-Algorithmus, der in zahlreichen Sicherheitsprotokollen verwendet wird. RSA ist auch der Name des Unternehmens, das in den USA die Patentrechte an diesem Algorithmus hat.

S SA: Security Association (Sicherheitszuweisung). Eine Beziehung zwischen mindestens zwei Kommunikationspartnern über den Schutz der untereinander ausgetauschten Daten. Die Beziehung wird zur Aushandlung der Eigenschaften der Schutzmechanismen verwendet, umfasst jedoch nicht die Mechanismen selbst. Sicherheitszuweisungen werden in IPSec wie folgt eingesetzt: Es wird eine unidirektionale logische Verbindung zu Sicherheitszwecken eingerichtet und mit AH oder ESP implementiert.

SCCRN: Start-Control-Connection-Connected (Start-Steuerung-Verbindung-Verbunden). Antwort auf eine Start-Control-Connection-Reply-Nachricht, die darauf hinweist, dass der Tunnel erfolgreich eingerichtet wurde.

SCCRP: Start-Control-Connection-Reply (Start-Steuerung-Verbindung-Antwort). Wird vom L2TP-Server als Antwort auf die Start-Control-Connection-Request-Nachricht gesendet.

SCCRQ: Start-Control-Connection-Request (Start-Steuerung-Verbindung-Anforderung). Wird vom L2TP-Client zur Einrichtung der Steuerverbindung gesendet.

SoftPhone: Der Begriff SoftPhone bezieht sich auf eine IP-Nebenstelle, ein an ein LAN angeschlossenes, H323-kompatibles Gerät oder eine Software auf einem Multimedia-PC. Ein Beispiel für ein H323-SoftPhone ist MS NetMeeting (3.x).

SSL: Secure Sockets Layer (Sichere Sockets-Schicht). Ein Protokoll zur Verschlüsselung und Authentifizierung von Internetverbindungen. Siehe TLS.

T TCP/IP: Transmission Control Protocol/Internet Protocol (Protokoll zur Übertragungssteuerung/Internetprotokoll). Ein Netzwerkprotokoll, das eine Datenübertragung über miteinander verbundene Netzwerke hinweg zwischen Computern mit unterschiedlicher Hardware-Architektur und verschiedenen Betriebssystemen ermöglicht.

TLS: Transport Layer Security (Sicherheit für die Transportschicht). Die standardisierte Variante von SSL.

V VPN: Ein privates Datennetzwerk, das auf die öffentliche Telekommunikations-Infrastruktur zurückgreift und durch die Verwendung eines Tunnelprotokolls und verschiedener Sicherheitsverfahren den Datenschutz wahrt.

VPNC: Virtual Private Network Consortium (Konsortium für virtuelle private Netzwerke). Der Wirtschaftsverband für Hersteller und Anbieter aus dem VPN-Bereich.

Virtuelles privates Netzwerk (VPN) Index - Seite 69 40DHB0002DEER Version 3 (23.09.2005)

Index 0 0xCFFF 18

OxC000 18 1 1 Mbit/s 24, 26

IP406V2 26 1,Erstellen 49

L2TP 49 168 Bit 30 2 2.1

Ausführen 26 25,2 Kbit/s 24 256 Kbit/s 26 3 3DES 24, 30 4 412

Mittelwert 26 5 50,4 Kbit/s 24, 26 512 Kbit/s 26 56 Bit 30 8 802.11b 19 A AB 20 Abschließen 30, 44, 51

IKE 44 IPSec 51 SA 30

Addieren der Prüfsumme zu UDP 49 Adressierung 12, 54

L2TP 12 ADSL 40, 42, 44

Anschließen 40 Logisches LAN 44 PING 40, 42

AES 30 AH 8, 30 Aktivieren 55

Sicherheitsrichtlinie 55 Aktiviert 38

Multlink PPP 38 Alle 27 Analoges Telefonnetz 17 Analyser 51, 55 Anfang 44

VoIP 44 Anforderung 49, 51 Angeben 44, 51 Anrufe 21

Nummer 21 Anschluss 9

Public Switched Telephone Network 9 Antworten 49, 51 Arp-a 40

Durchführen 40

Aus 38 Ausblenden 30

IDs 30 Ausblenden verwenden 37, 49 Ausführen 21, 22, 24

2.1 26 IPHC 22 IPSec 24 QoS 21

Ausgehend 12 L2TP 12

Aushandlungsmodus 54 Auslöser 27, 30

SA 30 Sicherheitszuweisung 27

Auswählen 24 FAx_Header 24 NUTZLAST 24 VoIP-Header 24

Auswählen der Phase 54 Auswählen des Zertifikats 54 Authentifizieren 49

L2TP 49 Authentifizierung 7 Authentifizierungs-Header 8, 30 Avaya 20, 22 Avaya IP Office 5 B Basis-Internet 44

Siehe 44 Basis-Internetzugang 40, 42 Basis-Internetzugang über LAN2 42 Belegschaft 5 Benutzername 36 Benutzt 44

Schnittstelle des logischen LAN 44 Berechnen der erforderlichen Bandbreite 24 Beschreiben 9, 14

L2TP 9 Logisches LAN 14

Besorgt 17 Bestätigungen 22 beziehen 19, 27

Internes LAN 19 IPSec Main 27

Beziehung 8 Zeigen 8

Bezug 16, 24 IP Office 2.1 VPN 16 VoIP 24

Bezug auf 5, 30 Phase 30 Virtual Private Network Consortium 5

Bit pro Sekunde 22 Bit/s 22 Bit_Umrechnung 21, 22, 24 Bits 22 C Call-Disconnect-Notify 9 Certificate Authority 20 CHAP 36, 38, 49


Seite 70 - Index Virtuelles privates Netzwerk (VPN) 40DHB0002DEER Version 3 (23.09.2005)

CHAP-Anforderungsintervall 38, 49 Cisco IOS® 7 Client 27, 30 CO 17 Codec 22 Connect 40

ADSL 40 CPE 17 CPU 26 CRC 22 D Das Menü 27 Datenkanal 37 Datenverschlüsselung 12 Deaktivieren 49 DES 30, 44, 51, 54, 55, 57

einrichten 44, 51, 55 DFÜ 53 DHCP 18, 19, 42 DHCP-Client-Modus 18 DHCP-Server 19 DH-Gruppe 30, 44, 51, 55, 57 Diffie-Hellman-Gruppe 44, 51, 54, 55 Diffie-Hellman-Schlüsselaustausch 30 DSCP 18, 21, 24 DSL 24 DSL-Router 40 Duales LAN 14 Durchführen 40

arp-a 40 Durchsatz 26 Dynamic 53

Erstellen 53 Dynamischer Modus 53 E Eigene Identität 54 Eigene Verbindung 54 Eigenschaften 22 Einführung 7 Einführung in IPSec 27 Eingehend 9, 18, 49

IP 18 PPP 9 Verkehr 49

Eingehender ungeschützter Pakettyp entdeckt 11 Eingehendes ungeschütztes Paket 11 Einstellungen 21

QoS 21 Einzelnes LAN 14 Empfehlungen 26 Encapsulation Security Payload 8, 30, 44, 51, 55

einrichten 44, 51, 55 Encryp Alg 54 Encrypt Alg 54 Erhalten 18, 40

IP 18 MAC 40 Standard-Gateway-IP-Adresse 40

Erstellen 9, 51, 53 Dynamic 53 IPSec 51

L2TP 9 ESP 8, 11, 12, 22, 27, 30, 44, 51, 55, 57

Inhalt 22 ESP-Paket 54 Ethernet 14, 17, 18, 22, 24, 26, 34 Ethernet MAC 34 Exchange-Typ 44, 51, 55, 57 Externe Schnittstelle 14 F Fax 21, 22, 24 Fax-Header 21, 22, 24

Auswählen 24 Fenstergröße erhalten 37 Festlegen 27, 36, 44, 51, 55, 57

DES 44, 51, 55 Encapsulation Security Payload 44, 51, 55 IP 27 MD5 44, 51, 55 Phase 57 PPP 36

Firewall 18, 34, 42 Firewall-Profil 34, 40, 42, 44, 55 Folgende 18, 55

IKE-Richtlinien 55 IP Office 18 IPSec-Richtlinien 55

Formular 11 SA 11

FR 5 FR12 22 Frame Relay 5, 17, 22, 24, 57

V35 17 Frame Relay Multilink PPP 22 FRF12 17 Funktion 14, 19, 27

IKE 27 Öffentlich 14 VPN 19

G G711 22, 26 G723 22, 26 G723 VoIP 26 G729 22, 24, 26 Gängiges Internetprotokoll 9 Gateway 34, 40, 44, 51, 55 Gateway = <Lokale Schnittstelle 44, 51 Gateway MAC-Adresse des logischen LAN 34 Gateway-IP-Adresse 34, 40, 55 Gateway-MAC-Adresse 34, 40, 55 Geben 55, 57

Subnetz 55, 57 Gemeinsamer geheimer Schlüssel 30, 44, 49, 51, 55, 57 Gemeinsamer geheimer Schlüssel/Passwort bestätigen 37 Gerade 21

Medien 21 Gruppe 54 H H323 18 Hartcodiert 26 Hash-Alg 54 Haupt, IKE 27

Virtuelles privates Netzwerk (VPN) Index - Seite 71 40DHB0002DEER Version 3 (23.09.2005) Teil 3: VoIP-Konfiguration

Header 24 Headerkomprimierung 38 Headerkomprimierungsmodus 57 Hello 9 Herstellen 9, 27

L2TP 9 SA 27

Hinzufügen 18, 20, 34, 42, 55 IP 18, 34 IP-Route 55 IP-Sicherheitsrichtlinie 20 Standard-IP-Route 42

HMAC MD5 30 HMAC SHA 30 Höchstzahl 26 Host 27

Subnetz 27 I IANA 19 ICMP 24, 57 ID 30, 44, 51, 55, 57 Identität des Remote-Gesprächsteilnehmers 54 ID-Prot./Aggressiv 30 IDs 30

Ausblenden 30 ID-Typ 54 IETF 8 IKE 27, 30, 44, 51

Abgeschlossen 44 function 27

IKE-Richtlinien 30, 44, 51, 55, 57 Folgende 55

Implementierung eines logischen LAN 14 Implementierung von IPSec 11 Implementierungen von IPSec 30 in IP Office integrierte Firewall 18 In Manager 40, 42, 55 Installieren 44, 51, 54, 55, 57

IPSec 44 IPSec-Lizenz 51, 55, 57 NetScreen-Remote-VPN-Client (Anwendung) 54

Internes LAN 16, 18, 19, 40, 44 beziehen 19 PING 40 sicher 18

Internes LAN1 34 Internet 5, 8, 14, 16, 17, 18, 19, 20, 21, 27, 34, 40, 42, 44, 48, 53

Zugreifen 17, 34, 40, 42, 44, 48 Internet Assigned Numbers Authority 19 Internet Engineering Task Force 8 Internet LAN 34 Internet-Router 17, 55 Internet-Schlüsselaustausch 30 Internet-Schnittstelle 54 Internet-Sicherheit 7 Internetzugang über 40

Logische Schnittstelle 40 IP 8, 9, 11, 12, 14, 18, 19, 21, 22, 24, 27, 30, 33, 34, 36, 38, 40, 42, 44, 48, 49, 51, 53, 54, 55, 57

Eingehend 18

einrichten 27 Erhalten 18 Hinzufügen 18, 34 Schutz 8 Sperren 19 Teile 30 Tunnel 9 Umfang 22 verwenden 27 Verwendet 57

IP 412 18 IP Office 5, 7, 9, 11, 12, 14, 17, 18, 19, 21, 24, 26, 27, 36, 38, 40, 44, 48, 51, 53, 55, 57

Folgende 18 IP Office 48 Nummer 48

IP Office - Small Office Edition 18, 19 IP Office 2.1 9 IP Office 2.1 VPN 16, 27

Bezug 16 IP Office 3.0 7 IP Office B 44 IP Office L2TP 9 IP Office Phone Manger Pro (Anwendung) 20 IP Office VPN 5, 16, 17, 34 IP Office WAN 57 IP Office-Konfiguration 55 IP Office-Lizenz 30 IP Office-Netzwerk 16 IP Office-Standort 57 IP Office-Standort B 57 IP SEC 27, 30 IP Small Office 26 IP403 14, 18, 26, 34, 40, 44 IP403 und IP406 26 IP406 14, 18, 34, 40 IP406/IP403/IP401/SOE 26 IP406v2 26

1 Mbit/s 26 IP412 14, 18, 26, 48, 55 IP-Adresse 27, 34, 40, 42, 49, 54, 55, 57

UND 27 IP-Adresse 192.168.42.0 Maske 255.255.255.0 27 IP-Adresse 192.168.42.1 Maske 255.255.255.255 27 IP-Adresse/IP-Maske 34 IP-Adresse/-Maske 57

Lokale Konfiguration 57 Ipconfig 40 IP-Datagramme 8

Schutz 8 IPHC 18, 22, 24, 38, 49

Ausführen 22 VoIP 24 VPN 24 WAN 18

IP-Konnektivität 44 Prüfen 44

IP-Leitung 24 IP-Maske 27, 40, 42, 49, 55, 57 IPO VoIP 18

QoS-Charakteristik 18 IPO_CO 48, 49, 51



IP-Route 34, 36, 40, 55 Hinzufügen 55

IP-Routen auf IPO_CO 49 IP-Routen zu Niederlassung 49 IPSec 5, 7, 8, 11, 12, 17, 18, 20, 21, 22, 24, 26, 27, 30, 44, 48, 49, 51, 53, 55, 57

Abgeschlossen 51 Ausführen 24 Erstellen 51 Installieren 44 Mix 21 Name 44, 51, 55, 57 Nummer 26 Überblick 7 Umbruch 8

IPSec Main 27 beziehen 27

IPSec VPN 20 IPSec_Tunnel 44, 51, 55, 57 IPSec-Client-Anwendung 53 IPSec-Gateway 30 IPSec-Grundgerüst 8 IPSec-Konfiguration 51 IPSec-Lizenz 51, 55, 57

Installieren 51, 55, 57 IPSec-Menü 30 IPSec-QoS 21, 24 IPSec-QoS-Mechanismus (Präventivmaßnahme) 21

Verwendung 21 IPSec-Richtlinien 27, 30, 44, 51, 55, 57

Folgende 55 IPSec-Richtlinien (Registerkarte) 30 IPSec-SA 44, 51

Reihenfolge 44, 51 IPSec-Sicherheitsmenü 27 IPSec-Tunnelling 30, 44, 51, 55, 57 IP-Sicherheit 27 IP-Sicherheit (Menü) 27 IP-Sicherheitsrichtlinie 20

Hinzufügen 20 IPSOE 18 IP-Subnetz 54 IP-Subnetze 14 ISAKMP 11 ISAKMP-Hauptmodus 44, 51, 55 ISP 17, 27, 53 K Kennwort 36 Kilobyte 30 Kleinere und mittelständische Firmen 5 Klicken 55

SoftRemote (Symbol) 55 Kompatibilität 17 Komprimierung 38 Komprimierungsmodus 38, 49 Kontoname 36 L L2 21, 22, 24 L2_header 24 L2F 9 L2TP 5, 9, 12, 18, 20, 21, 22, 24, 33, 36, 37, 38, 49, 51

1,Erstellen 49 Abgehen 12 adressiert 12 Anzahl 37 Authentifizieren 49 Beschreibung 9 Enthalten 51 Erstellen 9 Herstellen 9 Name 49 steuern 9 Ursprung 36 Weitergeleitet 12

L2TP - Einführung 33 L2TP Access Concentrator 9

Wählen 9 L2TP in IPSec 12 L2TP obligatorisch/optional 7 L2TP/IPSec 48 L2TP/IPSec zwischen 48 L2TP/L2TP 37 L2TP/Tunnel 37 L2TP/Tunnel (Menü) 33, 36 L2TP-Implementierung 12 L2TP-Konfiguration 49 L2TP-Technologien 7 L2TP-Tunnel 49 LAC 9 LAN 14, 17, 18, 19, 27, 34, 40

LAN 40 LAN IP Office 40 LAN1 14, 18, 34, 40, 42

Schema 42 LAN1 IP 57 LAN2 14, 18, 42, 49, 55 LAN-IP 18 LCP 49 LCP Echo-Anforderungen 38 LCP Echo-Zeitüberschreitung 38 Lebensdauer 30 Life-Typ 30, 44, 51, 55, 57 LLAN 40 LNS 9 Local _NIC_Card_Name 54 LocalInterface 55 Logical_LAN 55 Logisch 14, 17 Logische Schnittstelle 40

Internetzugang über 40 Logisches LAN 14, 18, 34, 40, 44, 55

Abbildung 17 Internetzugang 40

ADSL 44 Beschreiben 14 Name 40 verwenden 14, 34, 55 Zeigen 40

Lokal 27 Lokal/Remote 27 Lokale IP-Adresse 36, 44, 51, 55 Lokale IP-Adresse/-Maske 27, 44, 51, 55 Lokale IP-Maske 44, 51, 55 Lokale Konfiguration 27, 57


IP-Adresse/-Maske 57 Lokale Konfiguration/Remote-Konfiguration 36 Lokale Tunnelendpunkt-IP-Adresse 57 Lokaler Kontoname 49 Lokales Gateway 27 Lokales Kontopasswort 49 Lokales LAN 19 LT2P 12, 21

bestehend 12 Weitergeleitet 12

LT2P-Tunnelmodi 9 LTP2 48 LTP2-Tunnel 33 M MAC 14, 34, 40

Erwerben 40 Manager 55 Manager-Anwendung 27, 33 Maske 27 Maskenfelder 27 Maximalanzahl Tunnel 26 Maximale Bandbreite 26 Maximale Last 16, 26 Maximum 26 Mbit/s 18 MD5 30, 44, 51, 54, 55, 57

einrichten 44, 51, 55 Medien 21

Gerade 21 Menü 34 Microsoft 12 Microsoft Management Console 20

Verwendet 20 Minimale Anrufzeit 36, 49 Minuten 36 Mittelwert 26

412 26 Mix 21, 24

IPSec 21 VoIP 24

MMC 20 MPPC 38, 49 Multicast 36 Multicast-Meldungen weiterleiten 36 Multilink 18, 24 Multilink/QoS 49, 57 Multlink 38 Multlink PPP 38

Aktiviert 38 N Nachrichtentyp 9 Name 40, 44, 49, 51, 55, 57

IPSec 44, 51, 55, 57 L2TP 49 Logisches LAN 40

Name und Kennwort des lokalen Kontos 49 NAS 9 NAT 12, 14, 17, 18, 34, 40, 42, 44, 48

Verwendet 42 NAT einschalten 34, 42 NAT Reverse Translation 18 Net 8K 22 NetScreen Remote VPN Client 7, 54

NetScreen VPN 20 verwenden 20

NetScreen-Remote 10.0.0 54 NetScreen-Remote-VPN-Client (Anwendung) 54

Installieren 54 Netwerkadministrator 7 Neu auswählen 27, 33 Neue Verbindung 54 Neuübertragung 37 Neuübertragungsintervall der gesamten Steuerung 37 Nicht kanalisiert 57 Nicht nummerierte PPP-WAN-Verbindung 57 Nicht-VoIP 21, 24 Niederlassung 49, 51 Niederlassung 1 49 Nummerierte PPP-WAN-Verbindung 57 NUR BEISPIELE 7 Nutzlast 21, 24

Auswählen 24 Nutzlast_pro_Sek 22 O Obligatorischer Tunnel 9 Öffentlich 14

function 14 Öffentliche Netzwerke 16, 17 Öffentliche Schnittstelle 16, 17, 18 Öffentliches Netzwerk 12 OK 27, 33 Optionaler Tunnel 9 Outgoing-Call-Reply 9 Outgoing-Call-Request 9 OXB8 18 OxC000 18

0xCFFF 18 P PABX 19, 21 PABX/Daten 48 Paketweise 30 PAP 38 Parameter (lokal) 36 Passwort verschlüsseln 36, 38, 49 PC 9, 20, 34, 40, 51

Nummer 34, 40 PCs 34

Nummer 34 Phase 30, 57

einrichten 57 nachschlagen 30 Während 30

Phase1 54 Phase2 54 Physisches LAN 14 Physisches LAN2 17 PING 40, 42

ADSL 40, 42 Internes LAN 40

Point-to-Point-Protokoll 9 PPP 9, 17, 18, 22, 24, 27, 33, 36, 37, 38, 49, 51, 57

Eingehend 9 einrichten 36



separat 37 PPP IP-Header 12 PPP-Aushandlung 9 PPTP 9 Präventivmaßnahme 21 Pre-Shared Key 54 Privates Netzwerk 9 Prüfen 44

IP-Konnektivität 44 PSTN 9, 17 Public Switched Telephone Network 9

Anschluss 9 Q QoS 18, 21, 24, 38, 57

Ausführen 21 Unterstützung 24, 38 Zulassen 21

QoS-Charakteristik 18 IPO VoIP 18

R RAS 5 Registerkarte 36, 37, 38 Reihenfolge 44, 51

IPSec-SA 44, 51 Remote 27, 36, 53 Remote-Gateway 27 Remote-IP-Adresse 27, 36, 44, 49, 51, 55 Remote-IP-Adresse/-Maske 27, 57 Remote-IP-Maske 44, 51, 55 Remote-Konfiguration 27, 57 Remote-Kontobenutzername und -Kennwort 49 Remote-Kontoname 49 Remote-Kontopasswort 49 Remote-Tunnelendpunkt-IP-Adresse 57 Remote-Zugriffsserver 5 RFC1490 22 Richtlinien 34 RIP 18, 57 Routing 12

L2TP 12 LT2P 12

Routingfähig 12, 44 Präsentiert 12

RTCP 21 RTP 21, 22 RTP-Bandbreite 21 S SA 11, 27, 30, 44, 54, 57

Abgeschlossen 30 Auslöser 30 Formular 11 Herstellen 27 Übereinstimmen 27 Verhandeln 30

Sample-Rate 22 SA-Schlüssel 30 SCCRN 9 SCCRP 9 SCCRQ 9 Schema 42

LAN1 42 Schicht 14

Schnellmodus 44, 51 Schnittstelle des logischen LAN 44

Benutzt 44 Schritt 1 57 Schritt 2 40 Schritte 44, 51 Schutz 8

IP 8 IP-Datagramme 8

Separat 37 PPP 37

Sequenznummern auf Datenkanal 49 Server 9 Server für den Netzwerkzugriff 9 Set-Link-Info 9 SHA 30 Sicherer Gateway 11

Rufweiterleitung 11 Sicherer Gateway-Tunnel 54 Sicheres IP 44, 48 Sicheres VPN 17, 44, 48 Sicherheitsrichtlinie 54, 55

Aktivieren 55 Sicherheitszuweisung 11, 27

Auslöser 27 Sichern 18

Internes LAN 18 Siehe 44

Basis-Internet 44 Siehe Basis-Internet 55 Siehe Hinweis 22, 40 Signalisieren 18

TCP 18 Small Community Networking 19, 21

Enthalten 19 Small Office Editions 14, 48 SMBs 5 SOE 26, 55 SoftRemote (Symbol) 55

Klicken 55 Softwareversion 7 Sperren 19

IP 19 StackLZS 38 StacLZS 49 Stammen von 17, 36

L2TP 36 VPN 17

Standard-Gateway-IP-Adresse 40 Erhalten 40

Standard-IP-Route 42 Hinzufügen 42

Standort 57 Standort B 57 Start-Control-Connection-Connected 9 Start-Control-Connection-Reply 9 Start-Control-Connection-Request 9 Steuerung 9

L2TP 9 Stop-Control-Connection-Notification 9 Subnet 14, 27, 54, 55, 57

Geben 55, 57 Host 27

Subnetze 14, 27, 57


Support 14, 24, 38 QoS 24, 38 VPN 14

SysMonitor 7 SysMonitor (Anwendung) 57

Verwenden 57 System 42 System/Gatekeeper (Manager-Anwendung) 24 System-LAN 14 T T1 57 TCP 18

Signalisieren 18 TCP/IP 9 Teil 40, 42, 49, 51, 54, 55 Teile 30

IP 30 Telearbeiter 5, 53 Telearbeiter-PC 55 Timeout 49 TOS/Diffserv 18 Transmission Control Protocol/Internet Protocol 9 Tunnel 37 Tunnel, L2TP 33 Tunnelauswahlmenü 27, 33 Tunnelendpunkt-IP-Adresse 57

verwenden 57 Tunneling 9, 21, 26, 27, 33, 49

IP 9 Tunneling_header 24 Tunnelmodus 22 Tunnelprotokoll 9 Typischer Einsatz einer VPN-Verbindung 16 U Überblick 7

IPSec 7 UDP 22, 37 Umbruch 8

IPSec 8 Umfang 22

IP 22 Umfasst 9, 19, 22, 51

ESP 22 L2TP 51 Small Community Networking 19 Zugewiesene Tunnel-ID 9

UND 27 IP-Adresse 27

Unter IP Office 2.1. 24 Unverschlüsselt 11 V V24 17 V35 17

Frame Relay 17 Variablen zur Berechnung der Bandbreite 22 Verbindungssicherheit 54 Verhandeln 30

SA 30 Verkehr 49

Eingehend 49 Vernetzung 48

VPN 48

Vertraulichkeit 8, 30 Verwenden 14, 20, 27, 34, 42, 55, 57

IP 27, 57 Logisches LAN 14, 34, 55 Microsoft Management Console 20 NAT 42 NetScreen VPN 20 SysMonitor (Anwendung) 57 Tunnelendpunkt-IP-Adresse 57

Verwenden von MS Windows 20 Verwendung 21

IPSec-QoS-Mechanismus (Präventivmaßnahme) 21

Verwendung von Ethereal 49 Verwendung von SysMonitor 49, 51 Virtual Private Network Consortium 5

Bezug auf 5 Virtual Private Networks (VPNs) 5 Virtueller Adapter 54 VJ 38, 49 Voice UDP 18 VoIP 16, 18, 20, 21, 22, 24, 26, 44, 51, 55, 57

Anfang 44 Bezug 24 IPHC 24 Mix 24 Zugewiesen 26

VoIP-Header 21, 22, 24 Auswählen 24

Vorhandene 12 LT2P 12

Vorschlag 30 VORSICHT 7 Vorstellen 12

Routingfähig 12 VPN 5, 7, 9, 12, 14, 16, 17, 18, 19, 20, 21, 24, 26, 40, 42, 44, 48, 49

Abbildungen 26 function 19 IPHC 24 Netzwerk 48 Unterstützung 14 Ursprung 17 Weitergeben 18

VPN-Client 16, 20 VPN-Client-Konfiguration 54 W Wählen 9

L2TP Access Concentrator 9 Während 30

Phase 30 WAN 17, 18, 22, 24, 57

IPHC 18 WAN-Dienst 57 WAN-Error-Notify 9 WAN-IP 57 WAN-Verbindung 57 Weitere Referenz 5 Weitergeben 18

VPN 18 Weitergeleitet 11

Sicherer Gateway 11 WIN2000 53 WIN2K PC 53



Windows 20 Windows-PC 55 Wireless-LAN 19 X X Payload_per_sec 21, 24 X21 17 XDSL 14, 17, 18, 21, 34, 40 xDSL mit einem Benutzer 53 XDSL/Internet 48 Z Z.B 21 Zahl 21, 26, 34, 37, 40, 48

Anrufe 21 IP Office 48 IPSec 26 L2TP 37 PC 40

PCs 34 Zeigen 40

Logisches LAN 40 Zeigt 8

Beziehung 8 Zone 19 Zugewiesen 26

VoIP 26 Zugewiesene Anruferkennung 9 Zugewiesene Tunnel-ID 9

einschließlich 9 Zugriff 17, 34, 40, 42, 44, 48

Internet 17, 34, 40, 42, 44, 48 Zuordnen 27

SA 27 Zwischen Tunneln 12 Zwischen zwei IP Office-Systemen 44


Die Leistungsdaten und Angaben in diesem Dokument sind typisch und müssen ausdrücklich schriftlich von Avaya bestätigt werden, bevor sie auf eine Bestellung oder einen Auftrag

angewendet werden dürfen. Änderungen und Ergänzungen an den ausführlichen Spezifikationen vorbehalten. Die Veröffentlichung der Informationen in diesem Dokument

entbindet den Leser nicht von den Patentrechten oder anderen Schutzrechten der Firma Avaya oder anderen Firmen.

Das geistige Eigentum an diesem Produkt (einschließlich Marken), das für Lucent Technologies eingetragen wurde, ist an Avaya weitergegeben oder lizenziert.

Alle durch ® oder ™ gekennzeichneten Marken sind Marken bzw. eingetragene Marken von Avaya Inc. Alle anderen Marken sind das Eigentum ihrer jeweiligen Inhaber.

Dieses Dokument enthält firmeneigene Informationen von Avaya, die nur vertragsgemäß weitergegeben und verwendet werden dürfen.

Anmerkungen oder Vorschläge bezüglich dieses Dokuments können an [email protected] gesendet werden. © 2004 Avaya Inc. Alle Rechte vorbehalten.

Avaya Sterling Court

15 - 21 Mundells Welwyn Garden City

Hertfordshire AL7 1LZ England

Tel: +44 (0) 1707 392200 Fax: +44 (0) 1707 376933 Web: http://www.avaya.com

Documents

IP Office (R3.0) - Avaya Supportsupport.avaya.com/elmodocs2/ip_office/R3.1/german/ip_office_vpn_de.pdf · IP Office kann für den LAC-Betrieb verwendet werden, bietet aber keine PPP-Datenübertragung