Cisco Switch SG 300er Serie Port per Script ausschalten
Automatischer Scritp gesucht, der auch bei der Benutzer- und Passwortabfrage im Cisco Switch durchkommt.
Hallo Zusammmen, ich suche hier Antworten zu einem kleinen Script, damit ich einen Port manuell die Befehle über CLI eingeben muss.
Folgendes Problem versuche ich zu lösen:
Ich besitze einen Cisco SG 300-10MP als PoE Versorger. Dahinter ist eine IP-Kamera mit PoE Unterstützung. DHCP-Server ist meine Firewall Zyxel USG 100. Wenn ich vor Ort bin, benötige ich die Internetkamera nicht und möchte eben über einen Script den Port, an dem die Internetkamera an der Cisco SG 300-10MP angeschlossen ist ausschalten. 1. wegen unnötigen Stromverbrauch und keine Videoaufnahme am Arbeitsplatz. Die einfachste Regel wäre natürlich über die Firewall den Zugang zeitlich zu sperren. Jedoch könnte ich den ökologischen Prozess optimieren und die Kamera gänzlich ausschalten, indem ich eben den Port sperren könnte.
Leider komme ich nicht weiter, wenn ich über Plink.exe (Putty Subdatei) einen Script ausführe der wie folgt aussieht:
plink.exe -ssh cisco@10.1.1.100 -pw admin@564 reload
der Switch meldet sich und zermürbt das Passwort
Using username "cisco".
User Name:
und jetzt muss ich trotzdem mühsam die folgende Parameter einzeln eingeben.
switch#enable (not necessary if user had administrative privileges)
switch#config
switch(config)#interface gi<number>
switch(conf-if)#shutdown (to disable port) | no shutdown (to enable port)
switch(conf-if)#exit
switch(config)#exit
switch#
kann man das ein wenig einfacher gestalten....
Probiert habe ich es auch schon mit dem zusätzlichen Parameter -m und File mit Commandbefehle im Inhalt.
Wie kann man es noch gestalten, dass der Script automatisch den User Name und die folgende Passwort Abfrage abfüllt.
Herzlichen Dank für Eure Unterstützung.
Hallo Zusammmen, ich suche hier Antworten zu einem kleinen Script, damit ich einen Port manuell die Befehle über CLI eingeben muss.
Folgendes Problem versuche ich zu lösen:
Ich besitze einen Cisco SG 300-10MP als PoE Versorger. Dahinter ist eine IP-Kamera mit PoE Unterstützung. DHCP-Server ist meine Firewall Zyxel USG 100. Wenn ich vor Ort bin, benötige ich die Internetkamera nicht und möchte eben über einen Script den Port, an dem die Internetkamera an der Cisco SG 300-10MP angeschlossen ist ausschalten. 1. wegen unnötigen Stromverbrauch und keine Videoaufnahme am Arbeitsplatz. Die einfachste Regel wäre natürlich über die Firewall den Zugang zeitlich zu sperren. Jedoch könnte ich den ökologischen Prozess optimieren und die Kamera gänzlich ausschalten, indem ich eben den Port sperren könnte.
Leider komme ich nicht weiter, wenn ich über Plink.exe (Putty Subdatei) einen Script ausführe der wie folgt aussieht:
plink.exe -ssh cisco@10.1.1.100 -pw admin@564 reload
der Switch meldet sich und zermürbt das Passwort
Using username "cisco".
User Name:
und jetzt muss ich trotzdem mühsam die folgende Parameter einzeln eingeben.
switch#enable (not necessary if user had administrative privileges)
switch#config
switch(config)#interface gi<number>
switch(conf-if)#shutdown (to disable port) | no shutdown (to enable port)
switch(conf-if)#exit
switch(config)#exit
switch#
kann man das ein wenig einfacher gestalten....
Probiert habe ich es auch schon mit dem zusätzlichen Parameter -m und File mit Commandbefehle im Inhalt.
Wie kann man es noch gestalten, dass der Script automatisch den User Name und die folgende Passwort Abfrage abfüllt.
Herzlichen Dank für Eure Unterstützung.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 176000
Url: https://administrator.de/forum/cisco-switch-sg-300er-serie-port-per-script-ausschalten-176000.html
Ausgedruckt am: 23.12.2024 um 09:12 Uhr
12 Kommentare
Neuester Kommentar
kann man das ein wenig einfacher gestalten....
SNMP benutzen.
http://tools.cisco.com/Support/SNMP/do/BrowseOID.do?objectInput=ifAdmin ...
Du kannst dir unter http://www.net-snmp.org/ die SNMP-Programme für Windows runterladen.
Um den Status aller Schnittstellen abzufragen lautet der Befehl:
Dort siehst du auch die Schnittstellen-Nummer (bei meinem ist Port 1 = 49 usw.)
Der Cisco-Tabelle kann man die Werte zum Setzen entnehmen, um also Port 1 zu deaktivieren lautet der Befehl:
Und zum reaktivieren:
Die Befehle kann man in eine Batch-Datei speichern und per Doppelklick ausführen oder wie auch immer
Um den Status aller Schnittstellen abzufragen lautet der Befehl:
snmpwalk -v 1 -c public GERÄTE-IP 1.3.6.1.2.1.2.2.1.7
Dort siehst du auch die Schnittstellen-Nummer (bei meinem ist Port 1 = 49 usw.)
Der Cisco-Tabelle kann man die Werte zum Setzen entnehmen, um also Port 1 zu deaktivieren lautet der Befehl:
snmpset -v 1 -c private GERÄTE-IP 1.3.6.1.2.1.2.2.1.7.49 i 2
snmpset -v 1 -c private GERÄTE-IP 1.3.6.1.2.1.2.2.1.7.49 i 1
public
(Leserecht) und private
(Schreibrecht) sind Community-Strings die im Webinterface des Gerätes konfiguriert werden (dort muss auch der Zugriff aus dem lokalen Netz erlaubt werden).Die Befehle kann man in eine Batch-Datei speichern und per Doppelklick ausführen oder wie auch immer
Richtig ! Ob WAN, VPN oder was auch immer. Alles funktioniert problemlos mit SNMP, denn die Infrastruktur ist vollkommen unabhängig davon.
Nochwas: Das was du fälschlicherweise als "Code" bezeichnest it der SNMP Community String. Davon gibt es in der Regel 2, nämlich einmal den für ro (read only) und einmal den für rw (read write). Letzteren sollte man also besser nicht auf dem Allerwelts String private lassen sondern aus Sicherheitsgründen immer individuell setzen.
Jede Hack Software testet als erstes private und public aus !
Oder willst du das jeder Spieler in deinem Netz dir die Ports abschalten kann ? Vermutlich nicht ?!
http://www.paessler.com/manuals/prtg_traffic_grapher_de/wasisteinsnmpco ...
http://www.synapse.de/ban/HTML/P_TCP_IP/Ger/P_tcp116.html
http://de.wikipedia.org/wiki/Simple_Network_Management_Protocol
Vermutlich hast du schlicht und einfach, wie leider so oft hier, nur vergessen ein default Gateway im Mangementnetz auf deinem SG-300 anzugegeben, so das er auf SNMP Anfragen aus fremden IP Netzen eben gar nicht antworten kann ?!
Nochwas: Das was du fälschlicherweise als "Code" bezeichnest it der SNMP Community String. Davon gibt es in der Regel 2, nämlich einmal den für ro (read only) und einmal den für rw (read write). Letzteren sollte man also besser nicht auf dem Allerwelts String private lassen sondern aus Sicherheitsgründen immer individuell setzen.
Jede Hack Software testet als erstes private und public aus !
Oder willst du das jeder Spieler in deinem Netz dir die Ports abschalten kann ? Vermutlich nicht ?!
http://www.paessler.com/manuals/prtg_traffic_grapher_de/wasisteinsnmpco ...
http://www.synapse.de/ban/HTML/P_TCP_IP/Ger/P_tcp116.html
http://de.wikipedia.org/wiki/Simple_Network_Management_Protocol
Vermutlich hast du schlicht und einfach, wie leider so oft hier, nur vergessen ein default Gateway im Mangementnetz auf deinem SG-300 anzugegeben, so das er auf SNMP Anfragen aus fremden IP Netzen eben gar nicht antworten kann ?!
Hier:
http://www.cisco.com/en/US/docs/switches/lan/csbms/sf30x_sg30x/administ ...
Steht doch genau wie es geht auf Seite 373 und folgenden !
(Oder hier in Deutsch aber komischer beschrieben wie immer bei deutsch übersetzten Handbüchern....)
http://www.cisco.com/en/US/docs/switches/lan/csbms/sf30x_sg30x/administ ...
Wenn du die Advanced Methode nutzt, dann musst du noch eine Group und entsprechende Erlaubnis für bestimmte User einrichten.
Besser also du startest erstmal mit der Basic Methode, die die Abfrage nur auf den Community String macht.
Eine IP basierte Abfrage von wo der Zugriff kommt mancht der Switch zu keiner Zeit und wäre auch total unüblich !
Wenn du von remote also den Switch bzw. dessen Management IP sauber anpingen kannst, dann solte auch der SNMP Zugriff passieren.
Achtung: Du hast einen Layer 3 Switch ! D.h. jede IP Adresse die du dort konfiguriert hast ist potentiell eine Management IP Adresse. Es ist also möglich das du den Switch zwar mit IP x ansprichst, er aber IP y als Absender IP benutzt ! Üblicherweise ist das die am niedrigsten konfigurierte IP Netzadresse auf einem L3 Switch.
Hast du nun eine Firewall oder wird dieses netz über VPN nicht geroutet nimmt das Unglück seinen Lauf, was bei dir vermutlich der Fall ist !?!
Es ist deshalb essentiell wichtig das du auf einem Layer 3 Switch IMMER das Management VLAN definierst, also auf welchem VLAN und dessen korrespondierendem IP Netz er Management Traffic annehmen und beantworten soll !!
Allein aus Sicherheitsgründen ist das schon zwingend, damit nicht jeder x-belibige User in jedem VLAN auf die Switchkonfig zugreifen kann !
Das Handbuch Seite 242 erklärt dir dann genau wie dieses Mangement VLAN einzurichten ist. (Nur ein simpler Klick auf die VLAN ID).
So hast du einen dedizierte Sende und Empfangs IP Adresse für deinen SNMP Traffic bzw. allgemein den Mangement Traffic !
Check das...das wird vermutlich dein Problem auf Schlag lösen !
Ping bzw. Pathping und Traceroute sind immer deine Freunde von Remote !!
http://www.cisco.com/en/US/docs/switches/lan/csbms/sf30x_sg30x/administ ...
Steht doch genau wie es geht auf Seite 373 und folgenden !
(Oder hier in Deutsch aber komischer beschrieben wie immer bei deutsch übersetzten Handbüchern....)
http://www.cisco.com/en/US/docs/switches/lan/csbms/sf30x_sg30x/administ ...
Wenn du die Advanced Methode nutzt, dann musst du noch eine Group und entsprechende Erlaubnis für bestimmte User einrichten.
Besser also du startest erstmal mit der Basic Methode, die die Abfrage nur auf den Community String macht.
Eine IP basierte Abfrage von wo der Zugriff kommt mancht der Switch zu keiner Zeit und wäre auch total unüblich !
Wenn du von remote also den Switch bzw. dessen Management IP sauber anpingen kannst, dann solte auch der SNMP Zugriff passieren.
Achtung: Du hast einen Layer 3 Switch ! D.h. jede IP Adresse die du dort konfiguriert hast ist potentiell eine Management IP Adresse. Es ist also möglich das du den Switch zwar mit IP x ansprichst, er aber IP y als Absender IP benutzt ! Üblicherweise ist das die am niedrigsten konfigurierte IP Netzadresse auf einem L3 Switch.
Hast du nun eine Firewall oder wird dieses netz über VPN nicht geroutet nimmt das Unglück seinen Lauf, was bei dir vermutlich der Fall ist !?!
Es ist deshalb essentiell wichtig das du auf einem Layer 3 Switch IMMER das Management VLAN definierst, also auf welchem VLAN und dessen korrespondierendem IP Netz er Management Traffic annehmen und beantworten soll !!
Allein aus Sicherheitsgründen ist das schon zwingend, damit nicht jeder x-belibige User in jedem VLAN auf die Switchkonfig zugreifen kann !
Das Handbuch Seite 242 erklärt dir dann genau wie dieses Mangement VLAN einzurichten ist. (Nur ein simpler Klick auf die VLAN ID).
So hast du einen dedizierte Sende und Empfangs IP Adresse für deinen SNMP Traffic bzw. allgemein den Mangement Traffic !
Check das...das wird vermutlich dein Problem auf Schlag lösen !
Ping bzw. Pathping und Traceroute sind immer deine Freunde von Remote !!