Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Cisco Switch SG 300er Serie Port per Script ausschalten

Mitglied: Rollsky

Rollsky (Level 1) - Jetzt verbinden

09.11.2011, aktualisiert 12:03 Uhr, 9611 Aufrufe, 12 Kommentare

Automatischer Scritp gesucht, der auch bei der Benutzer- und Passwortabfrage im Cisco Switch durchkommt.

Hallo Zusammmen, ich suche hier Antworten zu einem kleinen Script, damit ich einen Port manuell die Befehle über CLI eingeben muss.

Folgendes Problem versuche ich zu lösen:
Ich besitze einen Cisco SG 300-10MP als PoE Versorger. Dahinter ist eine IP-Kamera mit PoE Unterstützung. DHCP-Server ist meine Firewall Zyxel USG 100. Wenn ich vor Ort bin, benötige ich die Internetkamera nicht und möchte eben über einen Script den Port, an dem die Internetkamera an der Cisco SG 300-10MP angeschlossen ist ausschalten. 1. wegen unnötigen Stromverbrauch und keine Videoaufnahme am Arbeitsplatz. Die einfachste Regel wäre natürlich über die Firewall den Zugang zeitlich zu sperren. Jedoch könnte ich den ökologischen Prozess optimieren und die Kamera gänzlich ausschalten, indem ich eben den Port sperren könnte.

Leider komme ich nicht weiter, wenn ich über Plink.exe (Putty Subdatei) einen Script ausführe der wie folgt aussieht:
plink.exe -ssh cisco@10.1.1.100 -pw admin@564 reload

der Switch meldet sich und zermürbt das Passwort
Using username "cisco".

User Name:
und jetzt muss ich trotzdem mühsam die folgende Parameter einzeln eingeben.

switch#enable (not necessary if user had administrative privileges)
switch#config
switch(config)#interface gi<number>
switch(conf-if)#shutdown (to disable port) | no shutdown (to enable port)
switch(conf-if)#exit
switch(config)#exit
switch#

kann man das ein wenig einfacher gestalten....

Probiert habe ich es auch schon mit dem zusätzlichen Parameter -m und File mit Commandbefehle im Inhalt.

Wie kann man es noch gestalten, dass der Script automatisch den User Name und die folgende Passwort Abfrage abfüllt.

Herzlichen Dank für Eure Unterstützung.
Mitglied: dog
09.11.2011 um 12:31 Uhr
kann man das ein wenig einfacher gestalten....

SNMP benutzen.
http://tools.cisco.com/Support/SNMP/do/BrowseOID.do?objectInput=ifAdmin ...
Bitte warten ..
Mitglied: Rollsky
09.11.2011 um 13:22 Uhr
Herzlichen Dank für den Tipp. Jedoch meine ich eine automatisierter Script.
Bitte warten ..
Mitglied: dog
09.11.2011 um 13:42 Uhr
Und?

Genau dafür ist SNMP gedacht.
Geräte überwachen und automatisiert steuern.

Irgendwelche Befehle per plink zu senden ist dagegen keine gute Lösung.
Bitte warten ..
Mitglied: Rollsky
09.11.2011 um 13:50 Uhr
Aha-Effekt von mir! Voilà.
Danke mal für deinen Hinweis.

Hier sehe ich jedoch nur die Befehle wie sie heissen, jedoch kann ich daraus noch keine weitere Schlüsse ziehen, wie ich meine Befehle automatisieren kann.
Gibt es hierfür von Cisco ein Tool, oder sind diese Befehle von dieser Seite ausführbar.

Für eine tiefgründigere Erklärung kann ich einen weiteren Einblick und mich gänzlich selbst schlau machen, jedoch fehlt mir hierzu noch grad das Basiswissen von dieser SNMP-Tabelle....

Vielen Dank für Deine grosszügige Unterstützung!!!!
Bitte warten ..
Mitglied: dog
09.11.2011 um 19:26 Uhr
Du kannst dir unter http://www.net-snmp.org/ die SNMP-Programme für Windows runterladen.

Um den Status aller Schnittstellen abzufragen lautet der Befehl:
01.
snmpwalk -v 1 -c public GERÄTE-IP 1.3.6.1.2.1.2.2.1.7
Dort siehst du auch die Schnittstellen-Nummer (bei meinem ist Port 1 = 49 usw.)
Der Cisco-Tabelle kann man die Werte zum Setzen entnehmen, um also Port 1 zu deaktivieren lautet der Befehl:
01.
snmpset -v 1 -c private GERÄTE-IP 1.3.6.1.2.1.2.2.1.7.49 i 2
Und zum reaktivieren:
01.
snmpset -v 1 -c private GERÄTE-IP 1.3.6.1.2.1.2.2.1.7.49 i 1
public (Leserecht) und private (Schreibrecht) sind Community-Strings die im Webinterface des Gerätes konfiguriert werden (dort muss auch der Zugriff aus dem lokalen Netz erlaubt werden).

Die Befehle kann man in eine Batch-Datei speichern und per Doppelklick ausführen oder wie auch immer
Bitte warten ..
Mitglied: Rollsky
14.11.2011 um 08:29 Uhr
Hallo Dog, es hat wunderbar geklappt. Habe mich übers Wochenende vermehrt mit SNMP beschäftigt und muss sagen, dass ich fasziniert bin. Man lehrt nie aus!!! Dein Tipp ist das One-Plus-Ultra, was ich gesucht habe und bin dir extrem dankbar!!!! Mit diesen Befehlen kann ich sehr gut leben. Nur noch eines, was mich interessieren würde, ob Du Erfahrungen hast, weshalb SNMP Befehle über VPN Netze diese abgeschmettert werden. Habe im Netz gelesen, dass über VPN wie über WAN-Ports die SNMPSET-Befehle statt den Code "private" den Geräte-Code verwendet werden muss. Ist diese Aussage korrekt?

Herzliche Grüsse und vielen vielen Dank für Deine Unterstützung. 1. Sahne!!!!

Rollsky
Bitte warten ..
Mitglied: dog
14.11.2011 um 10:18 Uhr
Über VPN geht (hab ich auch gemacht als ich das getestet habe), aber der SG hat einen IP-Filter.
Du musst also auch das VPN-Subnetz in der SNMP-Konfiguration erlauben.
Bitte warten ..
Mitglied: aqui
14.11.2011 um 10:41 Uhr
Richtig ! Ob WAN, VPN oder was auch immer. Alles funktioniert problemlos mit SNMP, denn die Infrastruktur ist vollkommen unabhängig davon.
Nochwas: Das was du fälschlicherweise als "Code" bezeichnest it der SNMP Community String. Davon gibt es in der Regel 2, nämlich einmal den für ro (read only) und einmal den für rw (read write). Letzteren sollte man also besser nicht auf dem Allerwelts String private lassen sondern aus Sicherheitsgründen immer individuell setzen.
Jede Hack Software testet als erstes private und public aus !
Oder willst du das jeder Spieler in deinem Netz dir die Ports abschalten kann ? Vermutlich nicht ?!
http://www.paessler.com/manuals/prtg_traffic_grapher_de/wasisteinsnmpco ...
http://www.synapse.de/ban/HTML/P_TCP_IP/Ger/P_tcp116.html
http://de.wikipedia.org/wiki/Simple_Network_Management_Protocol
Vermutlich hast du schlicht und einfach, wie leider so oft hier, nur vergessen ein default Gateway im Mangementnetz auf deinem SG-300 anzugegeben, so das er auf SNMP Anfragen aus fremden IP Netzen eben gar nicht antworten kann ?!
Bitte warten ..
Mitglied: Rollsky
15.11.2011 um 16:14 Uhr
Herzlichen Dank Dog und Aqui.

Dog: Ich habe die IP-Adresse des Computer aus dem VPN-Gegenstelle in der SG unter SNMP Community eingestellt. Wenn ich aber das VPN-Subnet eingeben soll, wüsste ich aber nicht wo, da die SG bei der Einstellung nur nach der IP fragt.

Aqui: Das mit dem Passwort nur auf private zu lassen, habe ich schon vorher kapiert, dass dieses Wort mit eigenen Zeichen ersetzen kann. Auch die Default Gateway wurde auch richtig gesetzt. Trotzdem erkennt die Cisco SG 300 die IP Adresse des anderen VPN-Subnetzes nicht. Bin noch ein wenig ratlos, wie der IP-Filter richtig funktioniert.
Bitte warten ..
Mitglied: aqui
15.11.2011 um 16:58 Uhr
Hier:
http://www.cisco.com/en/US/docs/switches/lan/csbms/sf30x_sg30x/administ ...
Steht doch genau wie es geht auf Seite 373 und folgenden !
(Oder hier in Deutsch aber komischer beschrieben wie immer bei deutsch übersetzten Handbüchern....)
http://www.cisco.com/en/US/docs/switches/lan/csbms/sf30x_sg30x/administ ...
Wenn du die Advanced Methode nutzt, dann musst du noch eine Group und entsprechende Erlaubnis für bestimmte User einrichten.
Besser also du startest erstmal mit der Basic Methode, die die Abfrage nur auf den Community String macht.
Eine IP basierte Abfrage von wo der Zugriff kommt mancht der Switch zu keiner Zeit und wäre auch total unüblich !
Wenn du von remote also den Switch bzw. dessen Management IP sauber anpingen kannst, dann solte auch der SNMP Zugriff passieren.
Achtung: Du hast einen Layer 3 Switch ! D.h. jede IP Adresse die du dort konfiguriert hast ist potentiell eine Management IP Adresse. Es ist also möglich das du den Switch zwar mit IP x ansprichst, er aber IP y als Absender IP benutzt ! Üblicherweise ist das die am niedrigsten konfigurierte IP Netzadresse auf einem L3 Switch.
Hast du nun eine Firewall oder wird dieses netz über VPN nicht geroutet nimmt das Unglück seinen Lauf, was bei dir vermutlich der Fall ist !?!
Es ist deshalb essentiell wichtig das du auf einem Layer 3 Switch IMMER das Management VLAN definierst, also auf welchem VLAN und dessen korrespondierendem IP Netz er Management Traffic annehmen und beantworten soll !!
Allein aus Sicherheitsgründen ist das schon zwingend, damit nicht jeder x-belibige User in jedem VLAN auf die Switchkonfig zugreifen kann !
Das Handbuch Seite 242 erklärt dir dann genau wie dieses Mangement VLAN einzurichten ist. (Nur ein simpler Klick auf die VLAN ID).
So hast du einen dedizierte Sende und Empfangs IP Adresse für deinen SNMP Traffic bzw. allgemein den Mangement Traffic !
Check das...das wird vermutlich dein Problem auf Schlag lösen !
Ping bzw. Pathping und Traceroute sind immer deine Freunde von Remote !!
Bitte warten ..
Mitglied: dog
15.11.2011 um 17:32 Uhr
Wenn ich aber das VPN-Subnet eingeben soll, wüsste ich aber nicht wo, da die SG bei der Einstellung nur nach der IP fragt.

Das musst du über die Konsole machen, in der Weboberfläche geht das nicht.
Bitte warten ..
Mitglied: Rollsky
25.11.2011 um 10:28 Uhr
@ aqui danke für Deine Info. Habe mich mal jetzt eingearbeitet.

@ dog wenn ich das Subnet vom anderen Ende des VPN-Tunnels eingeben soll, lautet der Command über das CLI wie folgt?
console(config)# snmp-server community abcd su 1.1.1.121 mask 255.0.0.0
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Cisco SG-300 TCAM
Frage von WaishonRouter & Routing15 Kommentare

Moin, wir sind aktuell dabei unseren Cisco SG300-10 zu testen. Wir haben in diesem 4 VLANs eingericht zwischen diesen ...

LAN, WAN, Wireless
SG 300 Layer 3 Switch Feste IP
gelöst Frage von NoxrideeLAN, WAN, Wireless3 Kommentare

Hallo, wie kann ich meinem SG300 Layer 3 Switch eine eigene Feste IP in unserem Netzwerk geben?

Netzwerkmanagement
Cisco SG 300 DHCP Pool maximale Anzahl
Frage von Maik82Netzwerkmanagement4 Kommentare

Hallo ich teste gerade an meinem Cisco SG300 /28 herum. Mir ist aufgefallen das man nur 8 DHCP Pools ...

LAN, WAN, Wireless
12 Port SFP Switch gesucht Cisco
gelöst Frage von Ex0r2k16LAN, WAN, Wireless3 Kommentare

Hallo ! Ich bräuchte mal sowas: Der würde meine Anforderungen schon fast erfüllen. Ich habe allerdings die 300er Serie ...

Neue Wissensbeiträge
Windows Mobile

Support für Windows Mobile endet im Dezember 2019

Information von transocean vor 8 StundenWindows Mobile

Moin, MS empfiehlt als Alternative den Umstieg auf IOS oder Android, wie man hier lesen kann. Gruß Uwe

Internet

Kommentar: Bundesregierung erwägt Ausschluss von Huawei im 5G-Netz - Unsere Presse wird immer sensationsgieriger

Information von Frank vor 2 TagenInternet5 Kommentare

Hier mal wieder ein schönes Beispiel für fehlgeleiteten Journalismus und Politik zugleich. Da werden aus Gerüchten plötzlich Fakten, da ...

Windows 10

Netzwerk-Bug in allen Windows 10-Versionen durch Januar 2019-Updates

Information von kgborn vor 2 TagenWindows 101 Kommentar

Nur ein kurzer Hinweis für Admins, die Windows 10-Clients im Portfolio haben. Mit den Updates vom 8. Januar 2019 ...

Windows 10

Windows 10 V1809: Rollout ist gestartet - kommt per Windows Update

Information von kgborn vor 3 TagenWindows 102 Kommentare

Eine kurze Information für die Admins, die Windows 10 im Programm haben. Microsoft hat die letzte Baustelle (die Inkompatibilität ...

Heiß diskutierte Inhalte
TK-Netze & Geräte
TAPI auf einem Win2016Server installieren und einrichten
Frage von wstabelTK-Netze & Geräte32 Kommentare

Hallo liebe Admins, ich habe folgende Situation: 1 Windows Server 2016 Standard als DC 1 SNOM 710 IP-Telefon 1 ...

Off Topic
Darf ich ein Forum erstellen das Produkte eines Herstellers betrifft?
Frage von cyberwallOff Topic8 Kommentare

Hallo Community, ich habe da eine "rechtliche" bzw. allgemeine Frage zum erstellen von Foren. Darf ich als "normale Person" ...

Router & Routing
Unbekannte IPv4 Adresse im Routerprotokoll(Portweiterleitung)
gelöst Frage von tklustigRouter & Routing6 Kommentare

Hallo Leute, folgender Screenshot(ScanVersusPortForwarding.jpg) zeigt die im Routerprotokoll aufgezeigten Portweiterleitungen und alle von einem IPScanner eruierten IPv4 Adressen in ...

Monitoring
Netzwerk bzw VPN wird lahm
Frage von HenereMonitoring5 Kommentare

Servus zusammen, Netzwerk (bzw die Verbindung) sieht so aus: VM-Daten -> 1GBe -> Zyxel USG60W -> VLAN 1GBe -> ...