rollsky
Goto Top

Cisco Switch SG 300er Serie Port per Script ausschalten

Automatischer Scritp gesucht, der auch bei der Benutzer- und Passwortabfrage im Cisco Switch durchkommt.

Hallo Zusammmen, ich suche hier Antworten zu einem kleinen Script, damit ich einen Port manuell die Befehle über CLI eingeben muss.

Folgendes Problem versuche ich zu lösen:
Ich besitze einen Cisco SG 300-10MP als PoE Versorger. Dahinter ist eine IP-Kamera mit PoE Unterstützung. DHCP-Server ist meine Firewall Zyxel USG 100. Wenn ich vor Ort bin, benötige ich die Internetkamera nicht und möchte eben über einen Script den Port, an dem die Internetkamera an der Cisco SG 300-10MP angeschlossen ist ausschalten. 1. wegen unnötigen Stromverbrauch und keine Videoaufnahme am Arbeitsplatz. Die einfachste Regel wäre natürlich über die Firewall den Zugang zeitlich zu sperren. Jedoch könnte ich den ökologischen Prozess optimieren und die Kamera gänzlich ausschalten, indem ich eben den Port sperren könnte.

Leider komme ich nicht weiter, wenn ich über Plink.exe (Putty Subdatei) einen Script ausführe der wie folgt aussieht:
plink.exe -ssh cisco@10.1.1.100 -pw admin@564 reload

der Switch meldet sich und zermürbt das Passwort
Using username "cisco".

User Name:

und jetzt muss ich trotzdem mühsam die folgende Parameter einzeln eingeben.

switch#enable (not necessary if user had administrative privileges)
switch#config
switch(config)#interface gi<number>
switch(conf-if)#shutdown (to disable port) | no shutdown (to enable port)
switch(conf-if)#exit
switch(config)#exit
switch#

kann man das ein wenig einfacher gestalten....

Probiert habe ich es auch schon mit dem zusätzlichen Parameter -m und File mit Commandbefehle im Inhalt.

Wie kann man es noch gestalten, dass der Script automatisch den User Name und die folgende Passwort Abfrage abfüllt.

Herzlichen Dank für Eure Unterstützung.

Content-ID: 176000

Url: https://administrator.de/forum/cisco-switch-sg-300er-serie-port-per-script-ausschalten-176000.html

Ausgedruckt am: 23.12.2024 um 09:12 Uhr

dog
dog 09.11.2011 um 12:31:23 Uhr
Goto Top
kann man das ein wenig einfacher gestalten....

SNMP benutzen.
http://tools.cisco.com/Support/SNMP/do/BrowseOID.do?objectInput=ifAdmin ...
Rollsky
Rollsky 09.11.2011 um 13:22:55 Uhr
Goto Top
Herzlichen Dank für den Tipp. Jedoch meine ich eine automatisierter Script.
dog
dog 09.11.2011 um 13:42:55 Uhr
Goto Top
Und?

Genau dafür ist SNMP gedacht.
Geräte überwachen und automatisiert steuern.

Irgendwelche Befehle per plink zu senden ist dagegen keine gute Lösung.
Rollsky
Rollsky 09.11.2011 um 13:50:03 Uhr
Goto Top
Aha-Effekt von mir! Voilà.
Danke mal für deinen Hinweis.

Hier sehe ich jedoch nur die Befehle wie sie heissen, jedoch kann ich daraus noch keine weitere Schlüsse ziehen, wie ich meine Befehle automatisieren kann.
Gibt es hierfür von Cisco ein Tool, oder sind diese Befehle von dieser Seite ausführbar.

Für eine tiefgründigere Erklärung kann ich einen weiteren Einblick und mich gänzlich selbst schlau machen, jedoch fehlt mir hierzu noch grad das Basiswissen von dieser SNMP-Tabelle....

Vielen Dank für Deine grosszügige Unterstützung!!!!
dog
dog 09.11.2011 um 19:26:23 Uhr
Goto Top
Du kannst dir unter http://www.net-snmp.org/ die SNMP-Programme für Windows runterladen.

Um den Status aller Schnittstellen abzufragen lautet der Befehl:
snmpwalk -v 1 -c public GERÄTE-IP 1.3.6.1.2.1.2.2.1.7

Dort siehst du auch die Schnittstellen-Nummer (bei meinem ist Port 1 = 49 usw.)
Der Cisco-Tabelle kann man die Werte zum Setzen entnehmen, um also Port 1 zu deaktivieren lautet der Befehl:
snmpset -v 1 -c private GERÄTE-IP 1.3.6.1.2.1.2.2.1.7.49 i 2
Und zum reaktivieren:
snmpset -v 1 -c private GERÄTE-IP 1.3.6.1.2.1.2.2.1.7.49 i 1

public (Leserecht) und private (Schreibrecht) sind Community-Strings die im Webinterface des Gerätes konfiguriert werden (dort muss auch der Zugriff aus dem lokalen Netz erlaubt werden).

Die Befehle kann man in eine Batch-Datei speichern und per Doppelklick ausführen oder wie auch immer face-wink
Rollsky
Rollsky 14.11.2011 um 08:29:42 Uhr
Goto Top
Hallo Dog, es hat wunderbar geklappt. Habe mich übers Wochenende vermehrt mit SNMP beschäftigt und muss sagen, dass ich fasziniert bin. Man lehrt nie aus!!! Dein Tipp ist das One-Plus-Ultra, was ich gesucht habe und bin dir extrem dankbar!!!! Mit diesen Befehlen kann ich sehr gut leben. Nur noch eines, was mich interessieren würde, ob Du Erfahrungen hast, weshalb SNMP Befehle über VPN Netze diese abgeschmettert werden. Habe im Netz gelesen, dass über VPN wie über WAN-Ports die SNMPSET-Befehle statt den Code "private" den Geräte-Code verwendet werden muss. Ist diese Aussage korrekt?

Herzliche Grüsse und vielen vielen Dank für Deine Unterstützung. 1. Sahne!!!!

Rollsky
dog
dog 14.11.2011 um 10:18:27 Uhr
Goto Top
Über VPN geht (hab ich auch gemacht als ich das getestet habe), aber der SG hat einen IP-Filter.
Du musst also auch das VPN-Subnetz in der SNMP-Konfiguration erlauben.
aqui
aqui 14.11.2011 um 10:41:11 Uhr
Goto Top
Richtig ! Ob WAN, VPN oder was auch immer. Alles funktioniert problemlos mit SNMP, denn die Infrastruktur ist vollkommen unabhängig davon.
Nochwas: Das was du fälschlicherweise als "Code" bezeichnest it der SNMP Community String. Davon gibt es in der Regel 2, nämlich einmal den für ro (read only) und einmal den für rw (read write). Letzteren sollte man also besser nicht auf dem Allerwelts String private lassen sondern aus Sicherheitsgründen immer individuell setzen.
Jede Hack Software testet als erstes private und public aus !
Oder willst du das jeder Spieler in deinem Netz dir die Ports abschalten kann ? Vermutlich nicht ?!
http://www.paessler.com/manuals/prtg_traffic_grapher_de/wasisteinsnmpco ...
http://www.synapse.de/ban/HTML/P_TCP_IP/Ger/P_tcp116.html
http://de.wikipedia.org/wiki/Simple_Network_Management_Protocol
Vermutlich hast du schlicht und einfach, wie leider so oft hier, nur vergessen ein default Gateway im Mangementnetz auf deinem SG-300 anzugegeben, so das er auf SNMP Anfragen aus fremden IP Netzen eben gar nicht antworten kann ?!
Rollsky
Rollsky 15.11.2011 um 16:14:10 Uhr
Goto Top
Herzlichen Dank Dog und Aqui.

Dog: Ich habe die IP-Adresse des Computer aus dem VPN-Gegenstelle in der SG unter SNMP Community eingestellt. Wenn ich aber das VPN-Subnet eingeben soll, wüsste ich aber nicht wo, da die SG bei der Einstellung nur nach der IP fragt.

Aqui: Das mit dem Passwort nur auf private zu lassen, habe ich schon vorher kapiert, dass dieses Wort mit eigenen Zeichen ersetzen kann. Auch die Default Gateway wurde auch richtig gesetzt. Trotzdem erkennt die Cisco SG 300 die IP Adresse des anderen VPN-Subnetzes nicht. Bin noch ein wenig ratlos, wie der IP-Filter richtig funktioniert.
aqui
aqui 15.11.2011 um 16:58:56 Uhr
Goto Top
Hier:
http://www.cisco.com/en/US/docs/switches/lan/csbms/sf30x_sg30x/administ ...
Steht doch genau wie es geht auf Seite 373 und folgenden !
(Oder hier in Deutsch aber komischer beschrieben wie immer bei deutsch übersetzten Handbüchern....)
http://www.cisco.com/en/US/docs/switches/lan/csbms/sf30x_sg30x/administ ...
Wenn du die Advanced Methode nutzt, dann musst du noch eine Group und entsprechende Erlaubnis für bestimmte User einrichten.
Besser also du startest erstmal mit der Basic Methode, die die Abfrage nur auf den Community String macht.
Eine IP basierte Abfrage von wo der Zugriff kommt mancht der Switch zu keiner Zeit und wäre auch total unüblich !
Wenn du von remote also den Switch bzw. dessen Management IP sauber anpingen kannst, dann solte auch der SNMP Zugriff passieren.
Achtung: Du hast einen Layer 3 Switch ! D.h. jede IP Adresse die du dort konfiguriert hast ist potentiell eine Management IP Adresse. Es ist also möglich das du den Switch zwar mit IP x ansprichst, er aber IP y als Absender IP benutzt ! Üblicherweise ist das die am niedrigsten konfigurierte IP Netzadresse auf einem L3 Switch.
Hast du nun eine Firewall oder wird dieses netz über VPN nicht geroutet nimmt das Unglück seinen Lauf, was bei dir vermutlich der Fall ist !?!
Es ist deshalb essentiell wichtig das du auf einem Layer 3 Switch IMMER das Management VLAN definierst, also auf welchem VLAN und dessen korrespondierendem IP Netz er Management Traffic annehmen und beantworten soll !!
Allein aus Sicherheitsgründen ist das schon zwingend, damit nicht jeder x-belibige User in jedem VLAN auf die Switchkonfig zugreifen kann !
Das Handbuch Seite 242 erklärt dir dann genau wie dieses Mangement VLAN einzurichten ist. (Nur ein simpler Klick auf die VLAN ID).
So hast du einen dedizierte Sende und Empfangs IP Adresse für deinen SNMP Traffic bzw. allgemein den Mangement Traffic !
Check das...das wird vermutlich dein Problem auf Schlag lösen !
Ping bzw. Pathping und Traceroute sind immer deine Freunde von Remote !!
dog
dog 15.11.2011 um 17:32:08 Uhr
Goto Top
Wenn ich aber das VPN-Subnet eingeben soll, wüsste ich aber nicht wo, da die SG bei der Einstellung nur nach der IP fragt.

Das musst du über die Konsole machen, in der Weboberfläche geht das nicht.
Rollsky
Rollsky 25.11.2011 um 10:28:47 Uhr
Goto Top
@ aqui danke für Deine Info. Habe mich mal jetzt eingearbeitet.

@ dog wenn ich das Subnet vom anderen Ende des VPN-Tunnels eingeben soll, lautet der Command über das CLI wie folgt?
console(config)# snmp-server community abcd su 1.1.1.121 mask 255.0.0.0