Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Cisco Switch SG 300er Serie Port per Script ausschalten

Frage Hardware Switche und Hubs

Mitglied: Rollsky

Rollsky (Level 1) - Jetzt verbinden

09.11.2011, aktualisiert 12:03 Uhr, 8440 Aufrufe, 12 Kommentare

Automatischer Scritp gesucht, der auch bei der Benutzer- und Passwortabfrage im Cisco Switch durchkommt.

Hallo Zusammmen, ich suche hier Antworten zu einem kleinen Script, damit ich einen Port manuell die Befehle über CLI eingeben muss.

Folgendes Problem versuche ich zu lösen:
Ich besitze einen Cisco SG 300-10MP als PoE Versorger. Dahinter ist eine IP-Kamera mit PoE Unterstützung. DHCP-Server ist meine Firewall Zyxel USG 100. Wenn ich vor Ort bin, benötige ich die Internetkamera nicht und möchte eben über einen Script den Port, an dem die Internetkamera an der Cisco SG 300-10MP angeschlossen ist ausschalten. 1. wegen unnötigen Stromverbrauch und keine Videoaufnahme am Arbeitsplatz. Die einfachste Regel wäre natürlich über die Firewall den Zugang zeitlich zu sperren. Jedoch könnte ich den ökologischen Prozess optimieren und die Kamera gänzlich ausschalten, indem ich eben den Port sperren könnte.

Leider komme ich nicht weiter, wenn ich über Plink.exe (Putty Subdatei) einen Script ausführe der wie folgt aussieht:
plink.exe -ssh cisco@10.1.1.100 -pw admin@564 reload

der Switch meldet sich und zermürbt das Passwort
Using username "cisco".

User Name:
und jetzt muss ich trotzdem mühsam die folgende Parameter einzeln eingeben.

switch#enable (not necessary if user had administrative privileges)
switch#config
switch(config)#interface gi<number>
switch(conf-if)#shutdown (to disable port) | no shutdown (to enable port)
switch(conf-if)#exit
switch(config)#exit
switch#

kann man das ein wenig einfacher gestalten....

Probiert habe ich es auch schon mit dem zusätzlichen Parameter -m und File mit Commandbefehle im Inhalt.

Wie kann man es noch gestalten, dass der Script automatisch den User Name und die folgende Passwort Abfrage abfüllt.

Herzlichen Dank für Eure Unterstützung.
Mitglied: dog
09.11.2011 um 12:31 Uhr
kann man das ein wenig einfacher gestalten....

SNMP benutzen.
http://tools.cisco.com/Support/SNMP/do/BrowseOID.do?objectInput=ifAdmin ...
Bitte warten ..
Mitglied: Rollsky
09.11.2011 um 13:22 Uhr
Herzlichen Dank für den Tipp. Jedoch meine ich eine automatisierter Script.
Bitte warten ..
Mitglied: dog
09.11.2011 um 13:42 Uhr
Und?

Genau dafür ist SNMP gedacht.
Geräte überwachen und automatisiert steuern.

Irgendwelche Befehle per plink zu senden ist dagegen keine gute Lösung.
Bitte warten ..
Mitglied: Rollsky
09.11.2011 um 13:50 Uhr
Aha-Effekt von mir! Voilà.
Danke mal für deinen Hinweis.

Hier sehe ich jedoch nur die Befehle wie sie heissen, jedoch kann ich daraus noch keine weitere Schlüsse ziehen, wie ich meine Befehle automatisieren kann.
Gibt es hierfür von Cisco ein Tool, oder sind diese Befehle von dieser Seite ausführbar.

Für eine tiefgründigere Erklärung kann ich einen weiteren Einblick und mich gänzlich selbst schlau machen, jedoch fehlt mir hierzu noch grad das Basiswissen von dieser SNMP-Tabelle....

Vielen Dank für Deine grosszügige Unterstützung!!!!
Bitte warten ..
Mitglied: dog
09.11.2011 um 19:26 Uhr
Du kannst dir unter http://www.net-snmp.org/ die SNMP-Programme für Windows runterladen.

Um den Status aller Schnittstellen abzufragen lautet der Befehl:
01.
snmpwalk -v 1 -c public GERÄTE-IP 1.3.6.1.2.1.2.2.1.7
Dort siehst du auch die Schnittstellen-Nummer (bei meinem ist Port 1 = 49 usw.)
Der Cisco-Tabelle kann man die Werte zum Setzen entnehmen, um also Port 1 zu deaktivieren lautet der Befehl:
01.
snmpset -v 1 -c private GERÄTE-IP 1.3.6.1.2.1.2.2.1.7.49 i 2
Und zum reaktivieren:
01.
snmpset -v 1 -c private GERÄTE-IP 1.3.6.1.2.1.2.2.1.7.49 i 1
public (Leserecht) und private (Schreibrecht) sind Community-Strings die im Webinterface des Gerätes konfiguriert werden (dort muss auch der Zugriff aus dem lokalen Netz erlaubt werden).

Die Befehle kann man in eine Batch-Datei speichern und per Doppelklick ausführen oder wie auch immer
Bitte warten ..
Mitglied: Rollsky
14.11.2011 um 08:29 Uhr
Hallo Dog, es hat wunderbar geklappt. Habe mich übers Wochenende vermehrt mit SNMP beschäftigt und muss sagen, dass ich fasziniert bin. Man lehrt nie aus!!! Dein Tipp ist das One-Plus-Ultra, was ich gesucht habe und bin dir extrem dankbar!!!! Mit diesen Befehlen kann ich sehr gut leben. Nur noch eines, was mich interessieren würde, ob Du Erfahrungen hast, weshalb SNMP Befehle über VPN Netze diese abgeschmettert werden. Habe im Netz gelesen, dass über VPN wie über WAN-Ports die SNMPSET-Befehle statt den Code "private" den Geräte-Code verwendet werden muss. Ist diese Aussage korrekt?

Herzliche Grüsse und vielen vielen Dank für Deine Unterstützung. 1. Sahne!!!!

Rollsky
Bitte warten ..
Mitglied: dog
14.11.2011 um 10:18 Uhr
Über VPN geht (hab ich auch gemacht als ich das getestet habe), aber der SG hat einen IP-Filter.
Du musst also auch das VPN-Subnetz in der SNMP-Konfiguration erlauben.
Bitte warten ..
Mitglied: aqui
14.11.2011 um 10:41 Uhr
Richtig ! Ob WAN, VPN oder was auch immer. Alles funktioniert problemlos mit SNMP, denn die Infrastruktur ist vollkommen unabhängig davon.
Nochwas: Das was du fälschlicherweise als "Code" bezeichnest it der SNMP Community String. Davon gibt es in der Regel 2, nämlich einmal den für ro (read only) und einmal den für rw (read write). Letzteren sollte man also besser nicht auf dem Allerwelts String private lassen sondern aus Sicherheitsgründen immer individuell setzen.
Jede Hack Software testet als erstes private und public aus !
Oder willst du das jeder Spieler in deinem Netz dir die Ports abschalten kann ? Vermutlich nicht ?!
http://www.paessler.com/manuals/prtg_traffic_grapher_de/wasisteinsnmpco ...
http://www.synapse.de/ban/HTML/P_TCP_IP/Ger/P_tcp116.html
http://de.wikipedia.org/wiki/Simple_Network_Management_Protocol
Vermutlich hast du schlicht und einfach, wie leider so oft hier, nur vergessen ein default Gateway im Mangementnetz auf deinem SG-300 anzugegeben, so das er auf SNMP Anfragen aus fremden IP Netzen eben gar nicht antworten kann ?!
Bitte warten ..
Mitglied: Rollsky
15.11.2011 um 16:14 Uhr
Herzlichen Dank Dog und Aqui.

Dog: Ich habe die IP-Adresse des Computer aus dem VPN-Gegenstelle in der SG unter SNMP Community eingestellt. Wenn ich aber das VPN-Subnet eingeben soll, wüsste ich aber nicht wo, da die SG bei der Einstellung nur nach der IP fragt.

Aqui: Das mit dem Passwort nur auf private zu lassen, habe ich schon vorher kapiert, dass dieses Wort mit eigenen Zeichen ersetzen kann. Auch die Default Gateway wurde auch richtig gesetzt. Trotzdem erkennt die Cisco SG 300 die IP Adresse des anderen VPN-Subnetzes nicht. Bin noch ein wenig ratlos, wie der IP-Filter richtig funktioniert.
Bitte warten ..
Mitglied: aqui
15.11.2011 um 16:58 Uhr
Hier:
http://www.cisco.com/en/US/docs/switches/lan/csbms/sf30x_sg30x/administ ...
Steht doch genau wie es geht auf Seite 373 und folgenden !
(Oder hier in Deutsch aber komischer beschrieben wie immer bei deutsch übersetzten Handbüchern....)
http://www.cisco.com/en/US/docs/switches/lan/csbms/sf30x_sg30x/administ ...
Wenn du die Advanced Methode nutzt, dann musst du noch eine Group und entsprechende Erlaubnis für bestimmte User einrichten.
Besser also du startest erstmal mit der Basic Methode, die die Abfrage nur auf den Community String macht.
Eine IP basierte Abfrage von wo der Zugriff kommt mancht der Switch zu keiner Zeit und wäre auch total unüblich !
Wenn du von remote also den Switch bzw. dessen Management IP sauber anpingen kannst, dann solte auch der SNMP Zugriff passieren.
Achtung: Du hast einen Layer 3 Switch ! D.h. jede IP Adresse die du dort konfiguriert hast ist potentiell eine Management IP Adresse. Es ist also möglich das du den Switch zwar mit IP x ansprichst, er aber IP y als Absender IP benutzt ! Üblicherweise ist das die am niedrigsten konfigurierte IP Netzadresse auf einem L3 Switch.
Hast du nun eine Firewall oder wird dieses netz über VPN nicht geroutet nimmt das Unglück seinen Lauf, was bei dir vermutlich der Fall ist !?!
Es ist deshalb essentiell wichtig das du auf einem Layer 3 Switch IMMER das Management VLAN definierst, also auf welchem VLAN und dessen korrespondierendem IP Netz er Management Traffic annehmen und beantworten soll !!
Allein aus Sicherheitsgründen ist das schon zwingend, damit nicht jeder x-belibige User in jedem VLAN auf die Switchkonfig zugreifen kann !
Das Handbuch Seite 242 erklärt dir dann genau wie dieses Mangement VLAN einzurichten ist. (Nur ein simpler Klick auf die VLAN ID).
So hast du einen dedizierte Sende und Empfangs IP Adresse für deinen SNMP Traffic bzw. allgemein den Mangement Traffic !
Check das...das wird vermutlich dein Problem auf Schlag lösen !
Ping bzw. Pathping und Traceroute sind immer deine Freunde von Remote !!
Bitte warten ..
Mitglied: dog
15.11.2011 um 17:32 Uhr
Wenn ich aber das VPN-Subnet eingeben soll, wüsste ich aber nicht wo, da die SG bei der Einstellung nur nach der IP fragt.

Das musst du über die Konsole machen, in der Weboberfläche geht das nicht.
Bitte warten ..
Mitglied: Rollsky
25.11.2011 um 10:28 Uhr
@ aqui danke für Deine Info. Habe mich mal jetzt eingearbeitet.

@ dog wenn ich das Subnet vom anderen Ende des VPN-Tunnels eingeben soll, lautet der Command über das CLI wie folgt?
console(config)# snmp-server community abcd su 1.1.1.121 mask 255.0.0.0
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
LAN, WAN, Wireless
VLAN Mikrotik keine Verbindung zum Gateway Cisco Switch (16)

Frage von Joshua2go zum Thema LAN, WAN, Wireless ...

Router & Routing
gelöst Kein Zugriff auf Cisco Switch SG300 über OpenVPN (4)

Frage von miuliu zum Thema Router & Routing ...

Switche und Hubs
gelöst Frage zu SFP+ Einschub für Cisco SG-500X Switches (4)

Frage von the-datzl zum Thema Switche und Hubs ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...