Befehle für die Konsole

Das LCOS-Kommandozeilen-Interface wird mit den folgenden Befehlen bedient. Die verfügbaren Menübefehle lassen sich z. T. auch durch Aufrufen des HELP-Kommandos auf der Kommandozeile anzeigen.

Anmerkung: Die verfügbaren Befehle sind abhängig vom Funktionsumfang des jeweiligen Gerätes.
Wichtig: Zum Ausführen einiger Befehle sind spezielle Rechte erforderlich, die beim jeweiligen Befehl aufgeführt sind. Befehle ohne Angabe von Rechten besitzen keine Einschränkungen.
Tabelle 1. Übersicht aller auf der Kommandozeile eingebbaren Befehle
Befehl Beschreibung
add|set [<Path>] <Value(s)> Setzt einen Konfigurationsparameter auf einen bestimmten Wert. Handelt es sich beim Konfigurationsparameter um einen Tabellenwert, so muss für jede Spalte ein Wert angegeben werden. Dabei übernimmt das Zeichen * als Eingabewert einen vorhandenen Tabelleneintrag unverändert. Zugriffsrecht: Supervisor-Write,Local-Admin-Write,Limited-Admin-Write
add|set [<Path>] ? Listet alle möglichen Eingabewerte für einen Konfigurationsparameter auf. Wird kein spezifischer Pfad angegeben, so werden die möglichen Eingabewerte für alle Konfigurationsparameter im aktuellen Verzeichnis angegeben. Zugriffsrecht: Supervisor-Write,Local-Admin-Write,Limited-Admin-Write
beginscript [-u] [-C d] [-s <password>] Versetzt eine Konsolensitzung in den Skript-Modus. In diesem Zustand werden die im Folgenden eingegebenen Befehle nicht direkt in den Konfigurations-RAM des Geräts übertragen, sondern zunächst in den Skript-Speicher. Mögliche Optionsschalter sind:
  • -u: Erzwingt die unbedingte ("unconditional") Ausführung eines Skriptes oder einer Konfiguration.
  • -C d: Überspringt die standardmäßige Differenzprüfung ("Check for difference"). Gilt auch, wenn die Option -u gesetzt ist.
  • -s: Entschlüsselt die Skript-Datei auf Basis des bei readscript -s angegebenen Passwortes.
Zugriffsrecht: Supervisor-Write
bootconfig [-s (1|2|all)] [-r (1|2|all)] Ermöglicht das Speichern und Löschen von Boot-Konfigurationen. Mögliche Optionen sind:
  • -s: Speichert die aktuelle Konfiguration eines Gerätes wahlweise als kundenspezifische Standard-Einstellung (1), Rollout-Konfiguration (2) oder beides (all).
  • -r: Löscht wahlweise die aktuelle kundenspezifische Standard-Einstellung (1), die Rollout-Konfiguration (2) oder beide (all).
Zugriffsrecht: Supervisor-Write
Anmerkung: Weitere Informationen zu Boot-Konfigurationen finden Sie im Kapitel Alternative Boot-Konfiguration
ccset Setzt die Gerätekonfiguration auf standardkonforme Default-Werte bzgl. CC-EAL4+ (z. B. ISDN=aus). Voraussetzung hierfür ist, dass auf dem Gerät das entsprechende Feature-Bit (CC-EAL) gesetzt ist.
cctest [-s] Überprüft die Konformität des Gerätes zu CC-EAL4+. Voraussetzung hierfür ist, dass auf dem Gerät das entsprechende Feature-Bit (CC-EAL) gesetzt ist. Durch Hinzufügen des Parameters -s werden die Ergebnisse bzw. Ausgaben in der Syslog-Tabelle angezeigt.
cd <Path> Wechselt das aktuelle Verzeichnis. Verschiedene Kurzformen werden unterstützt, z. B. cd ../.. kann verkürzt werden zu cd ... etc.
clear Löscht die aktuelle Konsolenausgabe. Im Log lassen sich weiter alle bisher eingegebenen Befehle einsehen.
default [-r] [<Path>] Setzt einzelne Parameter, Tabellen oder ganze Menübäume in die Grundkonfiguration zurück. Zeigt <Path> auf einen Zweig des Menübaums, muss zwingend die Option -r (recursive) angegeben werden. Zugriffsrecht: Supervisor-Write
del|delete|rm [<Path>] <Row>|* Löscht die Tabellenzeile <Row> in der aktuellen Tabelle bzw. in der mittels <Path> im Zweig des Menübaums referenzierten Tabelle. Als <Row> geben Sie dabei die Nummer der Zeile an. Das Wildcard-Zeichen * leert eine Tabelle, z. B. del Config/Cron-Tabelle *. Zugriffsrecht: Supervisor-Write,Local-Admin-Write,Limited-Admin-Write
deletebootlog Löscht den Inhalt des persistenten Bootlog-Speichers.
dir|list|ls|llong|l [-a] [-r] [-s] [<Path>] [<Filter>] Zeigt den Inhalt des aktuellen Verzeichnisses an. Mögliche Optionsschalter sind:
  • -a: Gibt zusätzlich zu den Inhalten der Abfrage auch die zugehörigen SNMP-IDs aus. Dabei beginnt die Ausgabe mit der SNMP-ID des Gerätes, gefolgt von der SNMP-ID des aktuellen Menüs. Vor den einzelnen Einträgen finden Sie dann die SNMP-IDs der Unterpunkte.
  • -r: Listet auch alle Unterverzeichnisse sowie die darin befindlichen Tabellen auf.
  • -s: Sortiert die Anzeige des aktuelles Verzeichnisses; gruppiert nach Unterverzeichnissen, Tabellen, Werten und Aktionen; jeweils in aufsteigender alphabetischer Reihenfolge.
dnsquery [-t <type>] [-d <destination>] name[@rtg-tag] Löst DNS-Anfragen auf. Mögliche Parameter:
  • name: Der aufzulösende DNS-Name.
  • @rtg-tag: Optionales Routing Tag, um die DNS-Server erreichen zu können.
  • -t <type>: Typ: A, AAAA, PTR, SRV, NAPTR
  • -d <destination>: Ziel, über das die DNS-Server erreicht werden können. Wie in der Weiterleitungs-Tabelle kann auch ein Routing-Tag mit angegeben werden, wenn das Weiterleitungsziel eine IP-Adresse ist (z. B. 8.8.8.8@4095). Außerdem können auch zwei kommaseparierte IP-Adressen (mit optionalem Routing-Tag) angegeben werden (z. B. 8.8.4.4@4095,8.8.8.8@4095). Der DNS-Client wechselt dann zwischen den Servern, wenn einer nicht antwortet
Wird das Kommando ohne Optionen, also nur mit dem obligatorischen Domainnamen, aufgerufen, dann wird sowohl eine Anfrage vom Typ AAAA als auch eine vom Typ A gemacht. Beispiel:
> dnsquery www.lancom.de

DNS result:
===========
www.lancom.de: type A, class IN, ttl 1 hour, addr 176.9.82.168
www.lancom.de: type AAAA, class IN, ttl 1 hour, addr 2a01:4f8:151:20a3::2
Anmerkung: Die Antwort vom Typ AAAA wird nur ausgegeben, wenn die IPv6-Adresse auch erreichbar ist.
Der Typ kann auch explizit über die Option -t angegeben werden. Möglich sind dabei AAAA, A, PTR, SRV und NAPTR. Bei einer PTR-Anfrage muß die angefragte IP-Adresse direkt angegeben werden und darf nicht in den "ARPA"-String gewandelt werden:
> dnsquery -tptr 176.9.82.168

DNS result:
===========
168.82.9.176.in-addr.arpa: type PTR, class IN, ttl 5 hours, 32 minutes, 30 seconds, www.lancom-systems.de
Da das dnsquery-Kommando den DNS-Client des LANCOM Gerätes benutzt, wird sein Verhalten über die DNS-Konfiguration des Gerätes bestimmt (also Weiterleitungen, Loopback-Adressen etc.). Da sich die DNS-Konfiguration abhängig vom Routing-Tag unterscheiden kann, kann beim dnsquery Kommando das zu verwendende Tag per @-Erweiterung an den angefragten Namen (oder bei PTR-Anfragen an die angefragte Adresse) angehängt werden:
> dnsquery www.lancom.de@4095

DNS result:
===========
www.lancom.de: type A, class IN, ttl 1 hour, addr 176.9.82.168
www.lancom.de: type AAAA, class IN, ttl 1 hour, addr 2a01:4f8:151:20a3::2
Es ist aber auch möglich, die Anfragen an der Weiterleitungskonfiguration vorbei zu senden, indem über den Parameter -d eine Zialangabe gemacht wrid. Als Zielangabe ist alles möglich, was auch in der Weiterleitungs-Tabelle als Ziel angegeben werden kann. Zudem wird auch bei einer manuellen Zielvorgabe die Loopback-Adresse entsprechend der Loopback-Konfiguration bestimmt. Beispiel: AAAA+A Anfrage über WAN-Verbindung INTERNET
> dnsquery -dinternet www.lancom.de

DNS result:
===========
www.lancom.de: type A, class IN, ttl 1 hour, addr 176.9.82.168
www.lancom.de: type AAAA, class IN, ttl 1 hour, addr 2a01:4f8:151:20a3::2
Anmerkung: Dazu muß der WAN-Verbindung INTERNET natürlich ein DNS-Server zuigewiesen worden sein, z. B. per PPP, DHCP oder manuell in der IP-Parameter-Liste.
Beispiel: PTR-Anfrage über Google-Server
> dnsquery -d8.8.8.8 -tptr 176.9.82.168

DNS result:
===========
168.82.9.176.in-addr.arpa: type PTR, class IN, ttl 5 hours, 32 minutes, 30 seconds, www.lancom-systems.de
Wenn kein Server andwortet macht der Client drei Wiederholungen mit sich erhöhender Wartezeit, d. h. nach jeder gesendeten Anfrage wartert er 1, 2, 4 und beim letzten Mal 8 Sekunden. Kommt bis dann keine Antwort, so wird die Anfrage abgebrochen. Wenn während einer laufenden Anfrage <CR> gedrückt wird, so wird diese abgebrochen.
do <Path> [<Parameter>] Führt die angegebene Aktion im aktuellen bzw. referenzierten Verzeichnis aus, z. B. do Sonstiges/Kaltstart. Sofern die Aktion über zusätzliche Parameter verfügt, lassen sich diese nachfolgend angeben.
echo <Argument> Gibt ein Argument auf der Konsole aus.
enable <Parameter> Erweitert die Rechte von angemeldeten TACACS+-Benutzern. Mögliche Parameter sind:
  • 0: Keine Rechte
  • 1: Read-Only
  • 3: Read-Write
  • 5: Read-Only-Limited Admin
  • 7: Read-Write-Limited Admin
  • 9: Read-Only Admin
  • 11: Read-Write Admin
  • 15: Supervisor (Root)
exit|quit|x Beendet die Terminalsitzung.
feature <Code> Schaltet eine Software-Option mit dem angegebenen Aktivierungsschlüssel frei. Zugriffsrecht: Supervisor-Write Optionen: Feature <Aktivierungsschlüssel> Aktivierung mit Aktivierungsschlüssel Feature -Q Abfrage des Status aktueller und vergangener Fernaktivierungsanfragen Feature -q <query-id> Abfrage des Status einer einzelnen Anforderung Feature -l <Lizenz-Schlüssel> -t <Lizenz-Typ> [-i <Lizenz-Index>] [-a <Quell-Adresse>] [-u <Server-URL>] [-c <Kontaktinformationen>] startet eine neue Fernaktivierungsanforderung. Der Fortschritt kann mit -q/-Q verfolgt werden -a <Quell-Adresse> Quell-IP-Adresse oder Schnittstelle, z.B. INT, DMZ, LBx -l <Lizenz-Schlüssel> 16/19 Zeichen langer Lizenzschlüssel -t <Lizenz-Typ> Typ der Lizenz, z.B. VPN25 -i <Lizenz-Index> Index der vorhandenen Lizenz für die Erweiterung, 0 für zusätzliche Lizenz -u <Server-URL> URL des Lizenzservers -c <Kontaktinformationen> kommagetrennte Liste von Kontaktinformationen
find <Begriff> Sucht nach dem <Begriff> und gibt alle Menüeinträge aus, die den Suchbegriff enthalten.
flash yes|no Regelt die Speicherung von Konfigurationsänderungen über die Kommandozeile. Die Änderungen an der Konfiguration über die Befehle an der Kommandozeile werden standardmäßig (yes bzw. ja) direkt in den boot-resistenten Flash-Speicher der Geräte geschrieben. Wenn das Aktualisieren der Konfiguration im Flash unterdrückt wird (no bzw. nein), werden die Änderungen nur im RAM gespeichert, der beim Booten gelöscht wird. Zugriffsrecht: Supervisor-Write
getenv <Name> Gibt den Wert der betreffenden Umgebungsvariable aus (ohne Zeilenvorschub). Beachten Sie dazu auch den Befehl 'printenv'.
history Zeigt eine Liste der letzen ausgeführten Befehle. Mit dem Befehl !# können die Befehle der Liste unter Ihrer Nummer (#) direkt aufgerufen werden: Mit !3 wird z. B. der dritte Befehl der Liste ausgeführt.
ikectl [-[r|d|D] <peer-name-list>] [-[e|r|d] <ipsec-name-list>] [-[r|d] [<ike-cookies-list>|<esp-spi-list>]] [-R <peer-name-list> <redirect-target>] Dieser Befehl erweitert die Analyse-Möglichkeiten, indem z. B. in einem Fehlerfall gezielt Aktionen durchgeführt werden, mit denen sich ein Problem eingrenzen lässt. Diese Funktion erlaubt es u. a., ein VPN schnell automatisiert zu modifizieren und zu testen.
  • -e <ipsec-name-list>: Erzeugt eine Phase 2-SA / CHILD_SA unter Angabe des VPN-Regelnamens
  • -r <peer-name-list>: Führt ein Rekeying der Phase 1-SA / IKE_SA unter Angabe des Namens der VPN-Gegenstelle durch
  • -r <ike-cookies-list>: Führt ein Rekeying unter Angabe des IKE-Cookies durch
  • -r <ipsec-name-list>: Führt ein Rekeying der Phase 2-SA / Child_SA unter Angabe des VPN-Regelnamens durch
  • -r <esp-spi-list>: Führt ein Rekeying der Phase 2-SA / Child_SA unter Angabe der eingehenden oder ausgehenden ESP-SPI durch
  • -d <peer-name-list>: Löscht eine Phase 1-SA / IKE_SA unter Angabe des Namens der VPN-Gegenstelle
  • -d <ike-cookies-list>: Löscht eine Phase 1-SA / IKE_SA unter Angabe von IKEv1-Cookies / IKEv2 SPIs
  • -d <ipsec-name-list>: Löscht eine Phase 2-SA / CHILD_SA unter Angabe des VPN-Regelnamens
  • -d <esp-spi-list>: Löscht eine Phase 2-SA / Child_SA unter Angabe der eingehenden bzw. ausgehenden ESP-SPI
  • -D <peer-name-list>: Start der Liveness-Check-Prozedur (Dead Peer Detection – DPD) unter Angabe des Namens der VPN-Gegenstelle
  • -R <peer-name-list> <redirect-target: Leitet IKEv2-Gegenstellen per IKEv2-Redirect-Mechanismus zu einem neuen Ziel um. Falls die Gegenstellen-Liste leer ist, werden alle Gegenstellen umgeleitet. Mit diesem Befehl können VPN-Gegenstellen zu Wartungszwecken von dem aktuellen VPN-Gateway auf ein anderes Gateway sicher verschoben werden.
  • <peer-name-list>: Durch Leerzeichen getrennte Liste von Gegenstellennamen aus aus max. 16 Zeichen
  • <ipsec-name-list>: Durch Leerzeichen getrennte Liste von Namen der VPN-Regeln, wie sie in "show vpn" als ipsec-0-PEER-pr0-l0-r0 angezeigt werden.
    Wichtig: Um eine bestimmte CHILD_SA / Phase 2-SA eines road-warrior zu finden, ist es wichtig, auch den Gegenstellennamen wie folgt anzugeben: "peer-name ipsec-name".
  • <ike-cookies-list>: Besteht aus einer durch Leerzeichen getrennten Liste von jeweils 16 hexadezimalen Werten, z. B. 0x000102030405060708090A0B0C0D0E0F
  • <esp-spi-list>: Besteht aus einer durch Leerzeichen getrennten Liste von jeweils 4 hexadezimalen Werten, z. B. 0x00010203
  • <redirect-target>: Ziel, zu dem die Gegenstelle(n) umgeleitet werden sollen. Ziel kann eine IPv4-Adresse, IPv6-Adresse oder ein DNS-Name sein
Beispiel: ikectl ‑r peer ipsec-name-peer-2 ‑D peer3    ‑d peer4 0x12345678                          ‑e "RoadWarrior IPSEC-0-DEFAULT-PR0-L0-R0"
importfile -a <application> [-p <passphrase>] [-n] [-h <Hash> -f <Fingerprint>] [-c] [-r] Ihr Gerät unterstützt das Laden von Dateien in Datei-Slots sowohl von der Konsole als auch aus einem Skript. Somit können Dateien komfortabel per Skript zusammen mit der Konfiguration ausgerollt oder z. B. SSH-Schlüssel und VPN-Zertifikate importiert werden. Notwendige Parameter: -a <application> <application> bestimmt den Speicherort und somit die Nutzung für die eingegebenen Daten. Für eine vollständige Liste der in Ihrem Gerät vorhandenen Speicherorte geben Sie importfile -? ein. Optionale Parameter: -n -n startet den nicht-interaktiven Modus. Es gibt keine Eingabeaufforderungen oder andere Ausgaben auf der CLI. Der nicht-interaktive Modus ist für die Nutzung in Skripten vorgesehen. -p <passphrase> <passphrase> ist das Passwort, was zum Entschlüsseln eines eingegebenen privaten Schlüssels benötigt wird. -h <hash> Der Hash-Algorithmus, mit dem der Fingerprint des Root-CA-Zertifikats ermittelt wurde. -f <fingerprint> Der Fingerprint des Root-CA-Zertifikats, erstellt mit –h. Der Fingerprint kann sowohl mit Doppelpunkten eingegebenen werden, als auch ohne. -c Es werden nur CA-Zertifikate hochgeladen. -r Hochgeladene CA-Zertifikate ersetzen bereits vorhandene.
iperf [-s|-c <Host>] [-u] [-p <Port>] [-B <Interface>] [-c] [-b [<Bandw>/]<Bandw>[kKmM]] [-l <Length>] [-t <Time>] [-d] [-r] [-L <Port>] [-h] Startet iPerf auf dem Gerät, um eine Bandbreitenmessung mit einer iPerf2-Gegenstelle durchzuführen. Mögliche Optionsschalter sind:
  • Client/Server
    • -u, --udp: Verwendet UDP statt TCP.
    • -p, --port <Port>: Verbindet mit oder erwartet Datenpakete auf diesem Port (Standard: 5001).
    • -B, --bind <Interface>: Erlaubt die Verbindung nur über die angegebene Schnittstelle (IP-Adresse oder Schnittstellenname).
  • Server-spezifisch
    • -s, --server: Startet iPerf im Server-Modus und wartet auf die Kontaktaufnahme durch einen iPerf-Client.
  • Client-spezifisch
    • -c, --client <Host>: Startet iPerf im Client-Modus und verbindet mit dem iPerf-Server <Host> (IP-Adresse oder DNS-Name).
    • -b, --bandwidth [<Bandw>/]<Bandw>{kKmM}: Begrenzung der Bandbreite bei der Analyse einer UDP-Verbindung im [Down-]/Up-Stream. Die Angabe erfolgt in Kilo- (kK) oder Megabyte (mM) pro Sekunde (Standard: 1 Mbps).
    • -l, --len <Length>: Bestimmt die Länge der UDP-Datenpakete.
    • -t, --time <Time>: Bestimmt die Dauer der Verbindung in Sekunden (Standard: 10 Sekunden).
    • -d, --dualtest: Der Test erfolgt bidirektional: iPerf-Server und -Client senden und empfangen dabei gleichzeitig.
    • -r, --tradeoff: Der Test erfolgt sequentiell: iPerf-Server und -Client senden und empfangen nacheinander.
    • -L, --listenport <Port>: Gibt den Port an, auf dem das Gerät im bidirektionalen Betrieb Datenpakete vom entfernten iPerf-Server erwartet (Standard: 5001).
  • Verschiedenes
    • -h, --help: Gibt den Hilfetext aus.
killscript <Name> Löscht den noch nicht verarbeiteten Inhalt einer Skript-Session. Die Skript-Session wählen Sie über deren Namen aus. Zugriffsrecht: Supervisor-Write
language Wählt eine Sprache für die Konsolen-Anzeige aus. Der Befehl language ? listet die verfügbaren Sprachen auf.
lig [[-i <instance>] | [-m <server>]] [-id <num>] destination-eid [-retries <num>] [-rtg-tag <num>] [-source-eid <num>] LIG (Locator/ID Separation Protocol Internet Groper) ist ein in RFC 6835 spezifiziertes Kommandozeilentool um LISP Mappings bei einem Map-Resolver abzufragen. Mögliche Optionsschalter sind:
  • -i <instance>: Name der LISP-Instanz, die für die Zielabfrage verwendet wird
  • -m <server>: LISP Map-Server, der für die Zielabfrage verwendet wird
  • -id <num>: LISP-Instanz-ID [0-16777215], die für die Zielabfrage verwendet wird
  • destination-eid: Abgefragte Ziel-EID
  • -retries <num>: LISP-Wiederholungen zum Map-Server [0-10]
  • -rtg-tag <num>: Verwendetes Routing-Tag
  • -source-eid <num>: Verwendete Source-EID
Bespiel: lig -i LISP-INST 172.16.200.1
linktest Nur auf WLAN-Geräten verfügbar. Zeigt die Ergebnisse des WLAN Link-Tests an.Zugriffsrecht: Supervisor-Write Ausführungsrecht: WLAN-Linktest
ll2mdetect Sucht Geräte per LL2M im LAN. Weitere Informationen zu dem Befehl erhalten Sie gesondert im Abschnitt Befehle für den LL2M-Client. Zugriffsrecht: Supervisor-Write
ll2mexec Sendet ein Kommando per LL2M an ein Gerät im LAN. Weitere Informationen zu dem Befehl erhalten Sie gesondert im Abschnitt Befehle für den LL2M-Client. Zugriffsrecht: Supervisor-Write
loadconfig (-s <Server-IP-Addresse> -f <Dateiname>)|<URL> Lädt eine Konfigurationsdatei via TFTP in das Gerät. Geben Sie dazu wahlweise die Server-Adresse und den Dateinamen oder die komplette URL an. Weitere Informationen zu dem Befehl erhalten Sie gesondert im Abschnitt Datei-Download von einem TFTP- oder HTTP(S)-Server.
Wichtig: Die Cron-Tabelle verwendet den konfigurierten Benutzer, daher kann "loadconfig", sofern es über die Cron-Tabelle ausgeführt wird, die Konfiguration nur komplett lesen, wenn dies mit dem Root-Administrator erfolgt.
Zugriffsrecht: Supervisor-Write
loadfile [-a <Adresse>] [-s <Server-IP-Adresse>] [-n] [-f <Dateiname>] [-o <Dateiname>] [-c <Dateiname>] [-p <Dateiname>] [-d <Passphrase>] [-C n|d] [-m <Version>] [-u] [-x <Dateiname>] [-i] Lädt eine Zertifikatsdatei in das Gerät. Mögliche Optionsschalter sind:
  • -a: Bestimmt die Quelladresse der Datei:
    • a.b.c.d: Quell-IP-Adresse
    • INT: Adresse des ersten Intranet-Interfaces als Quelladresse verwenden
    • DMZ: Adresse des ersten DMZ-Interfaces als Quelladresse verwenden
    • LBx: Loopback-Adresse x (0..f) als Quelladresse verwenden
    • <Schnittstelle>: Adresse des LAN-Interfaces <Schnittstelle> als Quelladresse verwenden
  • -s: Adresse des TFTP Servers
  • -n: Server-Namen auf SSL/TLS-Verbindungen ignorieren
  • -f: <Dateiname> der Konfigurationsdatei auf dem TFTP-Server
  • -o: Zieldatei <Dateiname> für Datei-Download
  • -c: Datei <Dateiname> mit Root-Zertifikat für HTTPS
  • -p: Datei <Dateiname> mit unverschlüsseltem PKCS#12-Container für HTTPS CA-Zertifikate und / oder Client-seitige Authentisierung
  • -d: <Passphrase>, um heruntergeladenen, verschlüsselten PKCS#12-Container zu entschlüsseln
  • -C: Überprüfe, ob Firmware neuer (n) als oder unterschiedlich (d) zu der momentan vorhandenen ist
  • -m: Minimal-<Version> für Firmware setzen
  • -u: Firmware-Datei unbedingt herunterladen, Versionsüberprüfung überspringen.
  • -x: Datei <Dateiname> mit zusätzlichen CA-Zertifikaten zur Überprüfung bei HTTPS, der Wert 'none' verhindert das Laden der Standardzertifikate
  • -i: Sende Sysinfo als POST request (nur bei HTTP(S))
Anmerkung: Die Optionen [-f] und [-s] sowie die URL sind nicht gleichzeitig nutzbar. Für HTTP(S)-Downloads müssen Sie die Quelle mittels URL spezifizieren. Die Maximallänge der URL beträgt 252 Zeichen.
Zugriffsrecht: Supervisor-Write
loadfirmware [-e] (-s <Server-IP-Addresse> -f <Dateiname>)|<URL> Lädt eine Firmware via TFTP in das Gerät. Geben Sie dazu wahlweise die Server-Adresse und den Dateinamen oder die komplette URL an. Über den Optionsschalter -e wird veranlasst, dass die Firmwaredatei zuerst komplett im lokalen Dateisystem gespeichert wird, bevor das Firmware-Update startet. Weitere Informationen zu dem Befehl erhalten Sie gesondert im Abschnitt Datei-Download von einem TFTP- oder HTTP(S)-Server. Zugriffsrecht: Supervisor-Write
loadscript (-s <Server-IP-Addresse> -f <Dateiname>)|<URL> Lädt ein Konfigurationsskript via TFTP in das Gerät. Geben Sie dazu wahlweise die Server-Adresse und den Dateinamen oder die komplette URL an. Weitere Informationen zu dem Befehl erhalten Sie gesondert im Abschnitt Datei-Download von einem TFTP- oder HTTP(S)-Server.
Wichtig: Die Cron-Tabelle verwendet den konfigurierten Benutzer, daher kann "loadscript", sofern es über die Cron-Tabelle ausgeführt wird, die Konfiguration nur komplett lesen, wenn dies mit dem Root-Administrator erfolgt.
Zugriffsrecht: Supervisor-Write
lspci Ausgabe von Informationen über PCI-Geräte Zugriffsrecht: Supervisor-Read
ping <IPv4-Address|Hostname> ping -6 <IPv6-Address>%<Scope> Sendet einen ICMP echo request an die angegebene IP-Adresse. Weitere Informationen zu dem Befehl und den Besonderheiten beim Anpingen von IPv6-Adressen finden Sie im Kapitel Übersicht der Parameter im ping-Befehl.
printenv Gibt eine Übersicht aller Umgebungsvariablen und deren Werte aus.
readconfig [-h] [-s <password>] Gibt die komplette Konfiguration in Form der Geräte-Syntax aus.
  • -h: Ergänzt die Konfigurationsdatei um eine Prüfsumme.
  • -s <password>: Verschlüsselt die Konfigurationsdatei auf Basis des angegebenen Passwortes.
Zugriffsrecht: Supervisor-Read
readmib Anzeige der SNMP Management Information Base. Nur auf Geräten ohne Unified-MIB vorhanden. Zugriffsrecht: Supervisor-Read,Local-Admin-Read
readscript [-n] [-d] [-i] [-c] [-m] [-h] [-s <password>] [-o] Erzeugt eine Textausgabe aller Befehle und Parameter, die für die Konfiguration des Gerätes im aktuellen Zustand benötigt werden. Dabei können Sie folgende Optionsschalter angeben:
  • -n: Die Textausgabe erfolgt nur auf numerischer Basis ohne Bezeichner. Die Ausgabe enthält somit nur die aktuellen Zustandswerte der Konfiguration sowie die zugehörigen SNMP-IDs.
  • -d: Nimmt die Default-Werte in die Textausgabe mit auf.
  • -i: Nimmt die Bezeichnungen der Tabellen-Felder in die Textausgabe mit auf.
  • -c: Nimmt eventuelle Kommentare, die sich in der Skriptdatei befinden, in die Textausgabe mit auf.
  • -m: Die Textausgabe erfolgt in einer kompakten, am Bildschirm jedoch schwer lesbaren Darstellung (ohne Einrückungen).
  • -h: Ergänzt die Skriptdatei um eine Prüfsumme.
  • -s <password>: Verschlüsselt die Skriptdatei auf Basis des angegebenen Passwortes.
  • -o: Ersetzt die Passwörter durch ein "*", sodass diese nicht in der Textausgabe sichtbar sind.
Zugriffsrecht: Supervisor-Read
readstatus Gibt den Status aller SNMP-IDs des Gerätes aus.
release [-x] *|<Interface_1…Interface_n> Der DHCPv6-Client gibt seine IPv6-Adresse und / oder sein Präfix an den DHCPv6-Server zurück. Anschließend fragt er erneut den DHCPv6-Server nach einer Adresse oder einem Präfix. Je nach Provider vergibt der Server dem Client eine neue oder die vorherige Adresse. Ob der Client eine andere Adresse oder ein anderes Präfix erhält, bestimmt alleine der Server. Der Optionsschalter -x unterdrückt eine Bestätigungsmeldung. Der Platzhalter * wendet das Kommando auf alle Interfaces und Präfix-Delegationen an. Alternativ können Sie ein oder mehrere spezifische Interfaces angeben.
repeat <Interval> <Command> IPv6-Adressfreigabe: Wiederholt das angegebene Kommando alle <Interval> Sekunden, bis der Vorgang durch neue Eingaben beendet wird.
rollout (-r|-remove) <RelatedFile> Löscht die Dateien des benutzerdefinierten Rollout-Assistenten aus dem Dateisystem des Gerätes. Mögliche Dateien sind:
  • wizard: Löscht den Assistenten
  • template: Löscht das Template
  • logo: Löscht das Logo
  • alle: Löscht den Assistenten, das Template und das Logo
Zugriffsrecht: Supervisor-Write
setenv <Name> <Value> Setzt eine Umgebungsvariable auf den angegebenen Wert. Zugriffsrecht: Supervisor-Write, Local-Admin-Write, Limited-Admin-Write
setpass|passwd [-u <User>][-n <new> <old>] Ändert das Passwort des aktuellen Benutzerkontos. Um das Passwort ohne die darauf folgende Eingabeaufforderung zu ändern, verwenden Sie den Optionsschalter -n mit Angabe des neuen und alten Passwortes.
Anmerkung:

Das Passwort darf maximal 128 Zeichen haben und den folgenden Zeichensatz verwenden:

#ABCDEFGHIJKLMNOPQRSTUVWXYZ@{|}~!$%&'()*+-,/:;<=>?[\]^_.0123456789abcdefghijklmnopqrstuvwxyz `

Wird der Befehl passwd in einem Skript eingesetzt und ein $ im Passwort verwendet, muss ein weiteres $ vorangestellt werden, da dies ansonsten als Variable interpretiert wird und das Setzen des Passworts fehlschlägt.

Um bei aktivierter TACACS+-Authentifizierung das Passwort des lokalen Benutzerkontos zu ändern, verwenden Sie den Optionsschalter -u mit dem Namen des entsprechenden Benutzers. Existiert der lokale Benutzer nicht oder fehlt die Angabe des Benutzernamens, bricht der Befehl ab. Der Benutzer benötigt außerdem Supervisorrechte bzw. die TACACS-Autorisierung muss aktiv sein.
show <Options> <Filter> Zeigt ausgewählte interne Daten, wie z. B.
  • admin-distance – zeigt die administrative (Routing-)Distanz aller internen Anwendungen bzw. Routing-Protokolle
  • bootlog – die letzten Boot-Vorgänge
  • filter – Firewall-Filterregeln
  • fw-dns-destinations – nimmt optional eine leerzeichen-separierte Liste von Namen der DNS-Ziele der Firewall an. Es werden alle DNS-Ziele oder die in der Parameterliste angegebenen in ihrer Reihenfolge aufgeführt. Für jedes Ziel werden die Zähler aus Status > Firewall > DNS-Datenbank > Zielverwendung angezeigt, gefolgt von der Liste ihrer Wildcardausdrücke. Für jeden Wildcardausdruck werden die aktuell aufgelösten Adressen und die direkt oder indirekt passenden Datensätze angezeigt.
  • ip-addresses – zeigt alle IPv4- und IPv6-Adressen des Gerätes für LAN- und WAN-Schnittstellen mit erweiterten Status-Informationen an
  • ipv4-addresses – zeigt alle IPv4-Adressen des Gerätes für LAN- und WAN-Schnittstellen mit erweiterten Status-Informationen an
  • lisp instance – zeigt Statusinformationen über alle konfigurierten LISP-Instanzen an
  • lisp instance [instance] – zeigt Statusinformationen über die LISP-Instanz mit dem Namen [instance] an
  • lisp map-cache – zeigt Statusinformationen über die vorhandenen Map-Cache-Einträge aller Instanzen an
  • lisp map-cache [instance] – zeigt Statusinformationen über die vorhandenen Map-Cache-Einträge der Instanz mit dem Namen [instance] an
  • lisp registrations – zeigt Statusinformationen über die beim Map-Server registrierten EIDs / RLOCs aller Instanzen an
  • lisp registrations [instance] – zeigt Statusinformationen über die beim Map-Server registrierten EIDs / RLOCs der Instanz mit dem Namen [instance] an
  • lta – zeigt Informationen zu Gruppen oder Benutzern des LANCOM Trusted Access. Dieser wird über die LANCOM Management Cloud eingerichtet und verwaltet.
  • mem, heap – Speicherauslastung
  • netflow collectors – Zeigt Informationen über die konfigurierten NetfFlow-Kollektoren
  • netflow interfaces – Zeigt Informationen über Interfaces sowie die entsprechenden NetFlow-Parameter an
  • netflow metering-profiles – Zeigt Informationen über die Mess-Profile von NetFlow / IPFIX an
    Anmerkung: Mehr Informationen zu NetFlow / IPFIX finden Sie unter Netflow / IPFIX.
  • VLAN – dynamisch hinzugefügte VLANs und VLAN-Mitgliedschaften, die z. B. vom CAPWAP oder vom WLAN/802.1X zur Laufzeit zur statischen Konfiguration hinzugefügt wurden
  • VPN – VPN-Regeln
Über zusätzliche Filter-Argumente lässt sich die Ausgabe weiter einschränken. Um eine Übersicht aller möglichen Optionen zu erhalten, geben Sie show ? ein. Die jeweils möglichen Filter einer Option erhalten Sie über show <Option> ?. show VPN ? zeigt z. B. die möglichen Filter für die VPN-Regeln. Für die Anzeige IPv6-spezifischer Daten lesen Sie auch das Kapitel Übersicht der IPv6-spezifischen show-Befehle. Zugriffsrecht: Supervisor-Read, Local-Admin-Read
sleep [-u] <Value><Suffix> Verzögert die Verarbeitung der Konfigurationsbefehle um eine bestimmte Zeitspanne oder terminiert sie auf einen bestimmten Zeitpunkt. Als <Suffix> sind s, m oder h für Sekunden, Minuten oder Stunden erlaubt; ohne Suffix arbeitet der Befehl in Millisekunden. Mit dem Optionsschalter -u nimmt das sleep-Kommando Zeitpunkte im Format MM/DD/YYYY hh:mm:ss (englisch) oder im Format TT.MM.JJJJ hh:mm:ss (deutsch) entgegen. Die Parametrierung als Termin wird nur akzeptiert, wenn die Systemzeit gesetzt ist.
smssend [-s <SMSC-Number>] (-d <Destination>) (-t <Text>) Nur auf Geräten mit 3G- / 4G / 5G-WWAN-Modul verfügbar: Versendet eine Kurznachricht an die angegebene Ziel-Rufnummer.
  • -s <SMSC-Number>: Alternative SMSC-Rufnummer (optional). Wenn Sie diesen Befehlsbestandteil weglassen, verwendet das Gerät die in der USIM-Karte hinterlegte oder die unter SNMP-ID 2.83.1 konfigurierte Rufnummer.
  • -d <Destination>: Ziel-Rufnummer
  • -t <Text>: Inhalt der Kurznachricht mit <=160 Zeichen. Eine Übersicht der verfügbaren Zeichen finden Sie im Abschnitt Zeichensatz für den SMS-Versand. Sonderzeichen sind nur in UTF8-kodierter Form möglich.
ssh [-?|h] [-o "option=value"] [-<a|b> Loopback-Adresse] [-p Port] [-C] [-j Keepalive-Intervall] <Host> Stellt eine SSH-Verbindung zum <Host> her. Mögliche Optionsschalter sind:
  • -?|h: gibt den Hilfetext aus.
  • -o "option=value": es können zusätzliche Optionen mit entsprechenden Werten angegeben werden.
  • -a|b: erlaubt die Angabe einer Route bzw. Loopback-Adresse, die das Gerät verwenden soll, wenn das Ziel auf mehreren Routen erreichbar ist. Die Funktion von -a und -b ist identisch. -b ist die übliche Option eines OpenSSH-Clients auf UNIX-Systemen, während einige andere im LCOS eingebaute Kommandos das -a zur Angabe einer Loopback-Adresse benutzen.
  • -p: bestimmt den <Port> des Hosts
  • -C: erzwingt eine komprimierte Datenübertragung
  • -j: gibt an, in welchen Abständen der Client ein Keepalive senden soll.
sshcopyid Zur Speicherung des SSH-Public-Keys per SSH Zugriffsrecht: Supervisor-Write
sshkeygen [-h] [-q] [-t dsa|rsa|ecdsa] [-b <bits>] [-f <Dateiname>] [-R <Hostname>] Erzeugt oder löscht SSH-Schlüssel im Gerät. Mögliche Optionsschalter sind:
  • -h: Zeigt eine kurze Hilfe der möglichen Parameter.
  • -q: Das Gerät überschreibt bereits existierende Schlüssel ohne Rückfrage (Quiet-Modus)
  • -t: Dieser Parameter bestimmt den Typ des erzeugten Schlüssels. Insgesamt unterstützt SSH folgende Typen von Schlüsseln:
    • RSA
    • DSA
    • ECDSA
  • -b: Dieser Parameter bestimmt die Länge des Schlüssels in Bit für RSA-Schlüssel. Wenn Sie keine Länge angeben, erzeugt das Kommando immer einen Schlüssel mit einer Länge von 1024 Bit.
  • -f: Über diesen Parametern geben Sie den Mountingpoint der erzeugten Schlüsseldatei im Dateisystem des Gerätes an. Die Wahl des Mountingpoints hängt davon ab, was für einen Schlüssel Sie erzeugen. Zur Auswahl stehen Ihnen in diesem Fall:
    • ssh_rsakey für RSA-Schlüssel
    • ssh_dsakey für DSA-Schlüssel
    • ssh_ecdsakey für ECDSA-Schlüssel
Anmerkung: Weitere Informationen zu geräteinternen SSH / SSL-Schlüsseln finden Sie im Kapitel Geräteinterne SSH- / SSL-Schlüssel
ssldefaults [-j] Dieses Kommando setzt nach einer Sicherheitsabfrage die SSL- / TLS-Einstellungen in allen Untermenüs der aktuellen Konfiguration auf die Standardwerte zurück. Im LCOS bringt jedes Modul sein eigenes Untermenü für SSL- / TLS-Einstellungen mit. Hiermit gibt es eine Methode, alle Einstellungen in diesen verteilten Untermenüs auf die aktuellen sicheren Voreinstellungen zurückzusetzen. Mit dem Parameter -j wird die Sicherheitsabfrage automatisch beantwortet, sodass das Kommando aus Skripten heraus non-interaktiv aufgerufen werden kann.
stop Beendet den ping-Befehl
sysinfo Zeigt Systeminformationen an (z. B. Hardware-Release, Softwareversion, MAC-Adresse, Seriennummer etc.).
tab Zur Verwendung in Skript-Dateien: Setzt für ein nachfolgendes Kommando in einer Tabelle die Reihenfolge der Spalten für die Argumente, falls die Spalten in der Tabelle vom Standard abweichen (z. B. eine zusätzliche Spalte). Zugriffsrecht: Supervisor-Write,Local-Admin-Write,Limited-Admin-Write
telnet <Adresse> Stellt eine Telnet-Verbindung zur angegebenen <Adresse> her.
testmail <From> <To_1…To_n> [<Realname> <Subject> <Body>] Verschickt eine Test-E‑Mail. Notwendige Angaben sind eine Absendeadresse und Empfängeradresse; Realname, Betreffzeile und Nachrichteninhalt sind optional. Zugriffsrecht: Supervisor-Write,Local-Admin-Write,Limited-Admin-Write
time <DateTime> Setzt einen Zeitpunkt im Format MM/DD/YYYY hh:mm:ss (englisch) oder im Format TT.MM.JJJJ hh:mm:ss (deutsch). Zugriffsrecht: Supervisor-Write,Local-Admin-Write,Limited-Admin-Write Ausführungsrecht: Time-Wizard
trace <Parameter> <Filter> Startet einen Trace-Befehl zur Ausgaben von Diagnose-Daten. Über zusätzliche Filter-Argumente lässt sich die Ausgabe weiter einschränken. Weitere Informationen zu dem Befehl erhalten Sie gesondert im Abschnitt Übersicht der Parameter im trace-Befehl. Zugriffsrecht: Supervisor-Read,Limited-Admin-Read,Limited-Admin-Write
unmount [-?][-f] <Volume> Gibt die aktuelle Volumetabelle aus.
  • -f: Gibt das angegebene Volume frei. <Volume> kann die Volume-ID oder ein beliebiger Mountpunkt sein.
  • -?: Gibt den Hilfetext aus.
unsetenv <Name> Löscht die angegebene Umgebungsvariable. Zugriffsrecht: Supervisor-Write,Local-Admin-Write,Limited-Admin-Write
wakeup [MAC] Führt ein Wake-On-LAN für das Gerät mit der MAC-Adresse [MAC] aus. Zugriffsrecht: Supervisor-Write,Local-Admin-Write,Limited-Admin-Write
who Listet aktive Konfigurationssitzungen auf.
writeconfig [-u] [-C d] [-s password] [-b index] Schreibt eine neue Konfiguration in Form der Geräte-Syntax in das Gerät. Das System interpretiert alle folgenden Zeilen solange als Konfigurationswerte, bis zwei Leerzeilen auftreten. Mögliche Optionsschalter sind:
  • -u: Erzwingt die unbedingte ("unconditional") Ausführung eines Skriptes oder einer Konfiguration.
  • -C d: Überspringt die standardmäßige Differenzprüfung ("Check for difference"). Gilt auch, wenn die Option -u gesetzt ist.
  • -s password: Entschlüsselt die Konfigurationsdatei auf Basis des angegebenen Passwortes.
  • -b index: Schreibt die Konfiguration als alternative Bootkonfiguration. Index muss 1, 2 oder all sein.
Zugriffsrecht: Supervisor-Write
writeflash Laden einer neuen Firmware-Datei (nur via TFTP). Zugriffsrecht: Supervisor-Write
!! Letztes Kommando wiederholen
!<num> Kommando <num> wiederholen
!<prefix> Letztes mit <prefix> beginnendes Kommando wiederholen
#<blank> Kommentar

Legende

Erläuterungen zur Adressierung, Schreibweise und Befehlseingabe

Kommandospezifische Hilfe

www.lancom-systems.de

LANCOM Systems GmbH | A Rohde & Schwarz Company | Adenauerstr. 20/B2 | 52146 Würselen | Deutschland | E‑Mail info@lancom.de

LANCOM Logo