Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Cisco Switch SG 300er Serie Port per Script ausschalten

Mitglied: Rollsky

Rollsky (Level 1) - Jetzt verbinden

09.11.2011, aktualisiert 12:03 Uhr, 9342 Aufrufe, 12 Kommentare

Automatischer Scritp gesucht, der auch bei der Benutzer- und Passwortabfrage im Cisco Switch durchkommt.

Hallo Zusammmen, ich suche hier Antworten zu einem kleinen Script, damit ich einen Port manuell die Befehle über CLI eingeben muss.

Folgendes Problem versuche ich zu lösen:
Ich besitze einen Cisco SG 300-10MP als PoE Versorger. Dahinter ist eine IP-Kamera mit PoE Unterstützung. DHCP-Server ist meine Firewall Zyxel USG 100. Wenn ich vor Ort bin, benötige ich die Internetkamera nicht und möchte eben über einen Script den Port, an dem die Internetkamera an der Cisco SG 300-10MP angeschlossen ist ausschalten. 1. wegen unnötigen Stromverbrauch und keine Videoaufnahme am Arbeitsplatz. Die einfachste Regel wäre natürlich über die Firewall den Zugang zeitlich zu sperren. Jedoch könnte ich den ökologischen Prozess optimieren und die Kamera gänzlich ausschalten, indem ich eben den Port sperren könnte.

Leider komme ich nicht weiter, wenn ich über Plink.exe (Putty Subdatei) einen Script ausführe der wie folgt aussieht:
plink.exe -ssh cisco@10.1.1.100 -pw admin@564 reload

der Switch meldet sich und zermürbt das Passwort
Using username "cisco".

User Name:
und jetzt muss ich trotzdem mühsam die folgende Parameter einzeln eingeben.

switch#enable (not necessary if user had administrative privileges)
switch#config
switch(config)#interface gi<number>
switch(conf-if)#shutdown (to disable port) | no shutdown (to enable port)
switch(conf-if)#exit
switch(config)#exit
switch#

kann man das ein wenig einfacher gestalten....

Probiert habe ich es auch schon mit dem zusätzlichen Parameter -m und File mit Commandbefehle im Inhalt.

Wie kann man es noch gestalten, dass der Script automatisch den User Name und die folgende Passwort Abfrage abfüllt.

Herzlichen Dank für Eure Unterstützung.
Mitglied: dog
09.11.2011 um 12:31 Uhr
kann man das ein wenig einfacher gestalten....

SNMP benutzen.
http://tools.cisco.com/Support/SNMP/do/BrowseOID.do?objectInput=ifAdmin ...
Bitte warten ..
Mitglied: Rollsky
09.11.2011 um 13:22 Uhr
Herzlichen Dank für den Tipp. Jedoch meine ich eine automatisierter Script.
Bitte warten ..
Mitglied: dog
09.11.2011 um 13:42 Uhr
Und?

Genau dafür ist SNMP gedacht.
Geräte überwachen und automatisiert steuern.

Irgendwelche Befehle per plink zu senden ist dagegen keine gute Lösung.
Bitte warten ..
Mitglied: Rollsky
09.11.2011 um 13:50 Uhr
Aha-Effekt von mir! Voilà.
Danke mal für deinen Hinweis.

Hier sehe ich jedoch nur die Befehle wie sie heissen, jedoch kann ich daraus noch keine weitere Schlüsse ziehen, wie ich meine Befehle automatisieren kann.
Gibt es hierfür von Cisco ein Tool, oder sind diese Befehle von dieser Seite ausführbar.

Für eine tiefgründigere Erklärung kann ich einen weiteren Einblick und mich gänzlich selbst schlau machen, jedoch fehlt mir hierzu noch grad das Basiswissen von dieser SNMP-Tabelle....

Vielen Dank für Deine grosszügige Unterstützung!!!!
Bitte warten ..
Mitglied: dog
09.11.2011 um 19:26 Uhr
Du kannst dir unter http://www.net-snmp.org/ die SNMP-Programme für Windows runterladen.

Um den Status aller Schnittstellen abzufragen lautet der Befehl:
01.
snmpwalk -v 1 -c public GERÄTE-IP 1.3.6.1.2.1.2.2.1.7
Dort siehst du auch die Schnittstellen-Nummer (bei meinem ist Port 1 = 49 usw.)
Der Cisco-Tabelle kann man die Werte zum Setzen entnehmen, um also Port 1 zu deaktivieren lautet der Befehl:
01.
snmpset -v 1 -c private GERÄTE-IP 1.3.6.1.2.1.2.2.1.7.49 i 2
Und zum reaktivieren:
01.
snmpset -v 1 -c private GERÄTE-IP 1.3.6.1.2.1.2.2.1.7.49 i 1
public (Leserecht) und private (Schreibrecht) sind Community-Strings die im Webinterface des Gerätes konfiguriert werden (dort muss auch der Zugriff aus dem lokalen Netz erlaubt werden).

Die Befehle kann man in eine Batch-Datei speichern und per Doppelklick ausführen oder wie auch immer
Bitte warten ..
Mitglied: Rollsky
14.11.2011 um 08:29 Uhr
Hallo Dog, es hat wunderbar geklappt. Habe mich übers Wochenende vermehrt mit SNMP beschäftigt und muss sagen, dass ich fasziniert bin. Man lehrt nie aus!!! Dein Tipp ist das One-Plus-Ultra, was ich gesucht habe und bin dir extrem dankbar!!!! Mit diesen Befehlen kann ich sehr gut leben. Nur noch eines, was mich interessieren würde, ob Du Erfahrungen hast, weshalb SNMP Befehle über VPN Netze diese abgeschmettert werden. Habe im Netz gelesen, dass über VPN wie über WAN-Ports die SNMPSET-Befehle statt den Code "private" den Geräte-Code verwendet werden muss. Ist diese Aussage korrekt?

Herzliche Grüsse und vielen vielen Dank für Deine Unterstützung. 1. Sahne!!!!

Rollsky
Bitte warten ..
Mitglied: dog
14.11.2011 um 10:18 Uhr
Über VPN geht (hab ich auch gemacht als ich das getestet habe), aber der SG hat einen IP-Filter.
Du musst also auch das VPN-Subnetz in der SNMP-Konfiguration erlauben.
Bitte warten ..
Mitglied: aqui
14.11.2011 um 10:41 Uhr
Richtig ! Ob WAN, VPN oder was auch immer. Alles funktioniert problemlos mit SNMP, denn die Infrastruktur ist vollkommen unabhängig davon.
Nochwas: Das was du fälschlicherweise als "Code" bezeichnest it der SNMP Community String. Davon gibt es in der Regel 2, nämlich einmal den für ro (read only) und einmal den für rw (read write). Letzteren sollte man also besser nicht auf dem Allerwelts String private lassen sondern aus Sicherheitsgründen immer individuell setzen.
Jede Hack Software testet als erstes private und public aus !
Oder willst du das jeder Spieler in deinem Netz dir die Ports abschalten kann ? Vermutlich nicht ?!
http://www.paessler.com/manuals/prtg_traffic_grapher_de/wasisteinsnmpco ...
http://www.synapse.de/ban/HTML/P_TCP_IP/Ger/P_tcp116.html
http://de.wikipedia.org/wiki/Simple_Network_Management_Protocol
Vermutlich hast du schlicht und einfach, wie leider so oft hier, nur vergessen ein default Gateway im Mangementnetz auf deinem SG-300 anzugegeben, so das er auf SNMP Anfragen aus fremden IP Netzen eben gar nicht antworten kann ?!
Bitte warten ..
Mitglied: Rollsky
15.11.2011 um 16:14 Uhr
Herzlichen Dank Dog und Aqui.

Dog: Ich habe die IP-Adresse des Computer aus dem VPN-Gegenstelle in der SG unter SNMP Community eingestellt. Wenn ich aber das VPN-Subnet eingeben soll, wüsste ich aber nicht wo, da die SG bei der Einstellung nur nach der IP fragt.

Aqui: Das mit dem Passwort nur auf private zu lassen, habe ich schon vorher kapiert, dass dieses Wort mit eigenen Zeichen ersetzen kann. Auch die Default Gateway wurde auch richtig gesetzt. Trotzdem erkennt die Cisco SG 300 die IP Adresse des anderen VPN-Subnetzes nicht. Bin noch ein wenig ratlos, wie der IP-Filter richtig funktioniert.
Bitte warten ..
Mitglied: aqui
15.11.2011 um 16:58 Uhr
Hier:
http://www.cisco.com/en/US/docs/switches/lan/csbms/sf30x_sg30x/administ ...
Steht doch genau wie es geht auf Seite 373 und folgenden !
(Oder hier in Deutsch aber komischer beschrieben wie immer bei deutsch übersetzten Handbüchern....)
http://www.cisco.com/en/US/docs/switches/lan/csbms/sf30x_sg30x/administ ...
Wenn du die Advanced Methode nutzt, dann musst du noch eine Group und entsprechende Erlaubnis für bestimmte User einrichten.
Besser also du startest erstmal mit der Basic Methode, die die Abfrage nur auf den Community String macht.
Eine IP basierte Abfrage von wo der Zugriff kommt mancht der Switch zu keiner Zeit und wäre auch total unüblich !
Wenn du von remote also den Switch bzw. dessen Management IP sauber anpingen kannst, dann solte auch der SNMP Zugriff passieren.
Achtung: Du hast einen Layer 3 Switch ! D.h. jede IP Adresse die du dort konfiguriert hast ist potentiell eine Management IP Adresse. Es ist also möglich das du den Switch zwar mit IP x ansprichst, er aber IP y als Absender IP benutzt ! Üblicherweise ist das die am niedrigsten konfigurierte IP Netzadresse auf einem L3 Switch.
Hast du nun eine Firewall oder wird dieses netz über VPN nicht geroutet nimmt das Unglück seinen Lauf, was bei dir vermutlich der Fall ist !?!
Es ist deshalb essentiell wichtig das du auf einem Layer 3 Switch IMMER das Management VLAN definierst, also auf welchem VLAN und dessen korrespondierendem IP Netz er Management Traffic annehmen und beantworten soll !!
Allein aus Sicherheitsgründen ist das schon zwingend, damit nicht jeder x-belibige User in jedem VLAN auf die Switchkonfig zugreifen kann !
Das Handbuch Seite 242 erklärt dir dann genau wie dieses Mangement VLAN einzurichten ist. (Nur ein simpler Klick auf die VLAN ID).
So hast du einen dedizierte Sende und Empfangs IP Adresse für deinen SNMP Traffic bzw. allgemein den Mangement Traffic !
Check das...das wird vermutlich dein Problem auf Schlag lösen !
Ping bzw. Pathping und Traceroute sind immer deine Freunde von Remote !!
Bitte warten ..
Mitglied: dog
15.11.2011 um 17:32 Uhr
Wenn ich aber das VPN-Subnet eingeben soll, wüsste ich aber nicht wo, da die SG bei der Einstellung nur nach der IP fragt.

Das musst du über die Konsole machen, in der Weboberfläche geht das nicht.
Bitte warten ..
Mitglied: Rollsky
25.11.2011 um 10:28 Uhr
@ aqui danke für Deine Info. Habe mich mal jetzt eingearbeitet.

@ dog wenn ich das Subnet vom anderen Ende des VPN-Tunnels eingeben soll, lautet der Command über das CLI wie folgt?
console(config)# snmp-server community abcd su 1.1.1.121 mask 255.0.0.0
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Cisco SG-300 TCAM
Frage von WaishonRouter & Routing15 Kommentare

Moin, wir sind aktuell dabei unseren Cisco SG300-10 zu testen. Wir haben in diesem 4 VLANs eingericht zwischen diesen ...

Netzwerkmanagement
Cisco SG 300 DHCP Pool maximale Anzahl
Frage von Maik82Netzwerkmanagement4 Kommentare

Hallo ich teste gerade an meinem Cisco SG300 /28 herum. Mir ist aufgefallen das man nur 8 DHCP Pools ...

LAN, WAN, Wireless
SG 300 Layer 3 Switch Feste IP
gelöst Frage von NoxrideeLAN, WAN, Wireless3 Kommentare

Hallo, wie kann ich meinem SG300 Layer 3 Switch eine eigene Feste IP in unserem Netzwerk geben?

Switche und Hubs

Frage zu SFP+ Einschub für Cisco SG-500X Switches

gelöst Frage von the-datzlSwitche und Hubs4 Kommentare

Liebes Forum, ich verwalte als Lehrer die IT einer Schule, die momentan komplett kernsaniert wird. In diesem Zuge bekommen ...

Neue Wissensbeiträge
Datenschutz

Die Datenkrake Google verlängert ihr Arme mal wieder ein wenig, automatische Anmeldung

Tipp von magicteddy vor 20 StundenDatenschutz2 Kommentare

Benutzer mit einem Google Account und gespeicherten Zugangsdaten werden von chrome 69 automatisch bei Google angemeldet, natürlich alles zum ...

Verschlüsselung & Zertifikate
Meine Wissenssammlung zu Bitlocker
Erfahrungsbericht von DerWoWusste vor 1 TagVerschlüsselung & Zertifikate3 Kommentare

Die Motivation für diesen Beitrag waren die vielen Posts rund um dieses Thema, die deutlich machen, wie viele Einzelaspekte ...

E-Mail
Email-Apps und Verhalten bei Pop3
Erfahrungsbericht von kfranzk vor 3 TagenE-Mail11 Kommentare

Hallo Freunde, da mir mein diesbezüglicher Faden als gelöst markiert wurde, muss ich hier neu aufsetzen. Ich arbeite bewusst ...

Hyper-V

Optimiertes Ubuntu per Microsoft Hyper-V-Schnellerstellung verfügbar

Anleitung von Frank vor 4 TagenHyper-V1 Kommentar

Für Microsofts Virtualisierungssoftware Hyper-V ist ab sofort auch ein optimiertes Ubuntu 18.04.1 LTS verfügbar. In der "Hyper-V-Schnellerstellung" App, die ...

Heiß diskutierte Inhalte
Hardware
Sophos SG135 - Routing
gelöst Frage von Xaero1982Hardware22 Kommentare

Moin Zusammen, ich ersetze gerade nen alten Cisco DualWAN Router durch eine SG 135. Ich muss bestimmte Ziele über ...

E-Mail
Welche ist die beste E-Mail Groupware für die Zukunft?
Frage von ITCrowdSupporterE-Mail18 Kommentare

Guten Tag allerseits :) Ich möchte mich mit einer Frage heute mal an die Schwarmintelligenz wenden. Aktuell befasse ich ...

Windows Server
In-Place Upgrade von Windows Server 2008 R2 Datacenter zu Windows Server 2016 Datacenter (Zwischenschritt über 2012 R2)
gelöst Frage von TowerpleaseWindows Server16 Kommentare

Hallo Administratoren, Wir haben uns vor ein paar Monaten Windows Server 2016 Datacenter Lizenzen gekauft und wollen nun unsere ...

Windows 7
Mit gpedit gesetzte Richtlinien in rsop.msc nicht definiert und ausgegraut
gelöst Frage von 137006Windows 715 Kommentare

Hallo zusammen, anfangs verweise ich fairerweise daruf dass ich dieses Thema bereits im Forum angeschnitten habe, nachdem ich hier ...