7
Brocade-Router: SNMP-ACL
Hallo,
wir haben zwei Brocade 6610 Router, die wir per CLI administrieren. Ich bin in dem Bereich nur "angelernt".
Wir monitoren die beiden mit PRTG, der Server hat eine feste IP.
Mit
snmp-server community xyz ro 10
wurde "damals" der Community-String übergeben, mit
snmp-client 123.123.123.123
habe ich seitdem mehrmals die zugelassene IP übergeben.
Ich muss nun eine neue/geänderte IP bekanntmachen, erhalte aber nun:
Error - can't add the client entry, 123.123.123.123, the client table is full.
Ich dachte, mit dem Kommando habe ich jeweils die eine zulässige IP genannt.
Offenbar habe ich mit dem Kommando aber immer eine Tabelle erweitert und nun ist sie voll?
Wie kann ich den Inhalt dieser Tabelle einsehen/editieren/löschen?
Oder bin ich hier gedanklich völlig auf dem falschen Gleis?
btw: ich habe natürlich die Dokus bei Brocade und Ruckus vorher untersucht, aber hierzu nichts gefunden, vielleicht auch nur übersehen.
Danke für jeden Tipp
Fred
wir haben zwei Brocade 6610 Router, die wir per CLI administrieren. Ich bin in dem Bereich nur "angelernt".
Wir monitoren die beiden mit PRTG, der Server hat eine feste IP.
Mit
snmp-server community xyz ro 10
wurde "damals" der Community-String übergeben, mit
snmp-client 123.123.123.123
habe ich seitdem mehrmals die zugelassene IP übergeben.
Ich muss nun eine neue/geänderte IP bekanntmachen, erhalte aber nun:
Error - can't add the client entry, 123.123.123.123, the client table is full.
Ich dachte, mit dem Kommando habe ich jeweils die eine zulässige IP genannt.
Offenbar habe ich mit dem Kommando aber immer eine Tabelle erweitert und nun ist sie voll?
Wie kann ich den Inhalt dieser Tabelle einsehen/editieren/löschen?
Oder bin ich hier gedanklich völlig auf dem falschen Gleis?
btw: ich habe natürlich die Dokus bei Brocade und Ruckus vorher untersucht, aber hierzu nichts gefunden, vielleicht auch nur übersehen.
Danke für jeden Tipp
Fred
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 650171
Url: https://administrator.de/contentid/650171
Printed on: April 26, 2024 at 04:04 o'clock
7 Comments
Latest comment
Ich dachte, mit dem Kommando habe ich jeweils die eine zulässige IP genannt.
Nein die "10" am Ende referenziert auf eine Standard Accessliste mit der Nummer 10. Dort wird dann definiert wer darf und wer nicht.http://docs.ruckuswireless.com/fastiron/08.0.60/fastiron-08060-security ...
Lade dir den Ruckus FastIron Security Configuration Guide herunter als PDF, dort ist das haarklein beschrieben.
Hast vermutlich an der falschen Stelle gesucht.
Danke,
ich werde den Guide aufsaugen.
Fred
ich werde den Guide aufsaugen.
Fred
Hier mal ein Beispiel:
!
telnet access-group 23
telnet server enable vlan 1
!
snmp-server community public ro 23
snmp-server contact Hr. Dehmel, Tel.: 123
snmp-server location Rechenzentrum
!
ip access-list standard 23
sequence 10 permit 192.168.10.0 0.0.0.255
sequence 20 permit 10.1.1.161 255.255.255.255
!
Das lässt Telnet und SNMP Zugang auf den Switch nur über VLAN 1 und nur aus dem 192.168.10er Netz und vom Host 10.1.1.161 zu.
!
telnet access-group 23
telnet server enable vlan 1
!
snmp-server community public ro 23
snmp-server contact Hr. Dehmel, Tel.: 123
snmp-server location Rechenzentrum
!
ip access-list standard 23
sequence 10 permit 192.168.10.0 0.0.0.255
sequence 20 permit 10.1.1.161 255.255.255.255
!
Das lässt Telnet und SNMP Zugang auf den Switch nur über VLAN 1 und nur aus dem 192.168.10er Netz und vom Host 10.1.1.161 zu.
Hallo,
vielen Dank für Dein Beispiel.
Ich hoffe, heute oder morgen endlich dazu zu kommen.
Melde mich dann.
Fred
vielen Dank für Dein Beispiel.
Ich hoffe, heute oder morgen endlich dazu zu kommen.
Melde mich dann.
Fred
Wir sind gespannt... 😉
Hallo,
sorry wegen meiner Latenz. Ich wollte dies nicht "nebenbei" tun, vor unseren Routern habe ich Respekt.
Nun aber:
die Syntax im Security-Guide ist ähnlich der, die ich bisher angewandt habe.
Ich definiere eine ACL, beschränke den Zugriff auf eine oder mehrere IPs und verbinde die ACL mit einem Dienst, hier mit SNMPd.
Allerdings habe ich (anders als im Guide) eine IP zugelassen, alle anderen erlaubt. Das sollte aber für die Funktion nicht kriegsentscheidend sein.
Test heute:
access-list 25 permit xxx.xxx.xxx.xxx
snmp-server community yyyyyyyy ro 25
Kein Zugriff.
Neuer Anlauf:
no access-list 25
access-list 25 permit any
snmp-server community yyyyyyyy ro 25
Selbes Ergebnis
Testweise von einem anderen Standort mit anderer IP probiert: meine Router reden nicht (mehr) mit mir.
Dann habe ich Deine Syntax probiert und bekam:
ip access-list standard 25 permit xxx.xxx.xxx.xxx
Invalid input -> permit xxx.xxx.xxx.xxx
Da ich in den letzten Jahren die zulässige IP für SNMP mehrfach geändert habe, bin ich noch einmal in mich gegangen. Dann habe ich meine Doku und meinen Post hier mit Deinem ersten Kommentar zusammengebracht und dann war alles klar:
Meine (von mir geschriebene) Doku hat einen groben Fehler: ich beziehe mich auf die ACL 10, will aber eigentlich nur EINE IP freigeben.
Dafür ist dies richtig:
snmp-server community yyyyyyy ro
snmp-client xxx.xxx.xxx.xxx
Ich hatte irgendwann im letzten Jahr die Doku verändert und mir dabei wohl einen Fehler eingefangen.
Warum Deine Syntax und die aus dem Security-Guide nicht funktioniert? Das wird wohl an der Firmware liegen. Oder?
Dir danke ich, denn letztlich führte die Kommunikation zum Erfolg.
Fred
sorry wegen meiner Latenz. Ich wollte dies nicht "nebenbei" tun, vor unseren Routern habe ich Respekt.
Nun aber:
die Syntax im Security-Guide ist ähnlich der, die ich bisher angewandt habe.
Ich definiere eine ACL, beschränke den Zugriff auf eine oder mehrere IPs und verbinde die ACL mit einem Dienst, hier mit SNMPd.
Allerdings habe ich (anders als im Guide) eine IP zugelassen, alle anderen erlaubt. Das sollte aber für die Funktion nicht kriegsentscheidend sein.
Test heute:
access-list 25 permit xxx.xxx.xxx.xxx
snmp-server community yyyyyyyy ro 25
Kein Zugriff.
Neuer Anlauf:
no access-list 25
access-list 25 permit any
snmp-server community yyyyyyyy ro 25
Selbes Ergebnis
Testweise von einem anderen Standort mit anderer IP probiert: meine Router reden nicht (mehr) mit mir.
Dann habe ich Deine Syntax probiert und bekam:
ip access-list standard 25 permit xxx.xxx.xxx.xxx
Invalid input -> permit xxx.xxx.xxx.xxx
Da ich in den letzten Jahren die zulässige IP für SNMP mehrfach geändert habe, bin ich noch einmal in mich gegangen. Dann habe ich meine Doku und meinen Post hier mit Deinem ersten Kommentar zusammengebracht und dann war alles klar:
Meine (von mir geschriebene) Doku hat einen groben Fehler: ich beziehe mich auf die ACL 10, will aber eigentlich nur EINE IP freigeben.
Dafür ist dies richtig:
snmp-server community yyyyyyy ro
snmp-client xxx.xxx.xxx.xxx
Ich hatte irgendwann im letzten Jahr die Doku verändert und mir dabei wohl einen Fehler eingefangen.
Warum Deine Syntax und die aus dem Security-Guide nicht funktioniert? Das wird wohl an der Firmware liegen. Oder?
Dir danke ich, denn letztlich führte die Kommunikation zum Erfolg.
Fred
Hallo Fred !
Nein, leigt natürlich nicht an der Firmware man müsste die ACL nur anders aufbauen da es sich ja um eine Hostadresse handelt. Das ist dann permit host xyz
Habs eben mal auf einem ICX 7150 mit einer 8.0.9er Firmware getestet und klappt fehlerfrei.
Ob man das bei nur einem SNMP Host dann über die ACL oder das client Kommando löst ist eher eine kosmetische Frage.
Hauptsache es klappt !
Wenn's das denn war bitte
How can I mark a post as solved?
nicht vergessen !
Nein, leigt natürlich nicht an der Firmware man müsste die ACL nur anders aufbauen da es sich ja um eine Hostadresse handelt. Das ist dann permit host xyz
Habs eben mal auf einem ICX 7150 mit einer 8.0.9er Firmware getestet und klappt fehlerfrei.
Ob man das bei nur einem SNMP Host dann über die ACL oder das client Kommando löst ist eher eine kosmetische Frage.
Hauptsache es klappt !
Wenn's das denn war bitte
How can I mark a post as solved?
nicht vergessen !
