where do you want LAN bugs today?
Netzwerktechnik
Enterasys Logging & Debugging
0vor 2 Monaten
Kürzlich wurde ich von einem Kunden mit einem Problem konfrontiert das im Enterasys NetSight im Traplog immer wieder “Incorrect Community Name” auftaucht. SNMP war im NetSight korrekt konfiguriert. Der Kunde wollte wissen wer versucht auf dem Switch zuzugreifen per SNMP. In der Trap Meldung wird diese Information leider nicht mitgesendet. Die bekannten Debug Befehle die man von Cisco kennt gibt es nicht aber man kann den Enterasysgeräten auch einige Informationen entlocken wenn man weiß wo man suchen muss.
Man kann bei Enterasys das Loggingverhalten für verschiedene Systemdienste anpassen um mehr Informationen zu bekommen.
Mit dem Kommando “show logging application” oder kurz “sh logg app” angezeigt werden.
Hier eine Liste von den verschiedenen Switch Serien und Applications wo man das Logging ändern kann:
Enterasys B3 Serie:
Application Current Severity Level --------------------------------------------- 89 CLIWEB 6 90 SNMP 7 91 STP 6 92 Driver 6 93 System 7 94 Stacking 6 112 UPN 6 118 Router 6 1(emergencies) 2(alerts) 3(critical) 4(errors) 5(warnings) 6(notifications) 7(information) 8(debugging)
Enterasys C2 Serie:
Application Current Severity Level --------------------------------------------- 89 CLIWEB 6 90 SNMP 6 91 STP 6 92 Driver 6 93 System 6 94 Stacking 6 95 RtrOspf 6 96 RtrMcast 6 97 RtrVrrp 6 112 UPN 6 118 Router 6 1(emergencies) 2(alerts) 3(critical) 4(errors) 5(warnings) 6(notifications) 7(information) 8(debugging)
Enterasys N Serie:
Application Current Severity Level Server List ---------------------------------------------------------- 88 RtrAcl 6 1-8,console,file 89 CLI 6 1-8,console,file 90 SNMP 6 1-8,console,file 91 Webview 6 1-8,console,file 93 System 6 1-8,console,file 95 RtrFe 6 1-8,console,file 96 Trace 6 1-8,console,file 105 RtrLSNat 6 1-8,console,file 111 FlowLimt 6 1-8,console,file 112 UPN 6 1-8,console,file 117 AAA 6 1-8,console,file 118 Router 6 1-8,console,file 140 AddrNtfy 6 1-8,console,file 141 OSPF 6 1-8,console,file 142 VRRP 6 1-8,console,file 145 RtrArpProc 6 1-8,console,file 147 LACP 6 1-8,console,file 148 RtrNat 6 1-8,console,file 151 RtrTwcb 6 1-8,console,file 154 DbgIpPkt 6 1-8,console,file 158 HostDoS 6 1-8,console,file 180 RtrMcast 6 1-8,console,file 183 PIM 6 1-8,console,file 184 DVMRP 6 1-8,console,file 185 BGP 6 1-8,console,file 196 LinkFlap 6 1-8,console,file 199 Spoof 6 1-8,console,file 207 IPmcast 6 1-8,console,file 209 Spantree 6 1-8,console,file 211 trackobj 6 1-8,console,file 213 LinkTrap 6 1-8,console,file 214 CDP 6 1-8,console,file 215 LLDP 6 1-8,console,file 216 CiscoDP 6 1-8,console,file 222 Security 6 1-8,console,file 225 RMON 6 1-8,console,file 231 IPsec 6 1-8,console,file 1(emergencies) 2(alerts) 3(critical) 4(errors) 5(warnings) 6(notifications) 7(information) 8(debugging)
Enterasys S Serie SSA (SW-release mit VSB = Virtual Chassis Bonding):
Application Current Severity Level Server List ---------------------------------------------------------- 88 RtrAcl 6 1-8,console,file 89 CLI 6 1-8,console,file 90 SNMP 6 1-8,console,file 91 Webview 6 1-8,console,file 93 System 6 1-8,console,file 95 RtrFe 6 1-8,console,file 96 Trace 6 1-8,console,file 105 RtrLSNat 6 1-8,console,file 111 FlowLimt 6 1-8,console,file 112 UPN 6 1-8,console,file 117 AAA 6 1-8,console,file 118 Router 6 1-8,console,file 140 AddrNtfy 6 1-8,console,file 141 OSPF 6 1-8,console,file 142 VRRP 6 1-8,console,file 145 RtrArpProc 6 1-8,console,file 147 LACP 6 1-8,console,file 148 RtrNat 6 1-8,console,file 151 RtrTwcb 6 1-8,console,file 154 DbgIpPkt 6 1-8,console,file 158 HostDoS 6 1-8,console,file 180 RtrMcast 6 1-8,console,file 183 PIM 6 1-8,console,file 184 DVMRP 6 1-8,console,file 185 BGP 6 1-8,console,file 196 LinkFlap 6 1-8,console,file 199 Spoof 6 1-8,console,file 207 IPmcast 6 1-8,console,file 209 Spantree 6 1-8,console,file 211 trackobj 6 1-8,console,file 213 LinkTrap 6 1-8,console,file 214 CDP 6 1-8,console,file 215 LLDP 6 1-8,console,file 216 CiscoDP 6 1-8,console,file 218 OAM 6 1-8,console,file 222 Security 6 1-8,console,file 225 RMON 6 1-8,console,file 231 IPsec 6 1-8,console,file 239 Bonding 6 1-8,console,file 242 HAUpgrade 6 1-8,console,file 1(emergencies) 2(alerts) 3(critical) 4(errors) 5(warnings) 6(notifications) 7(information) 8(debugging)
Um jetzt mehr sehen zu können muss der Severity Level angepasst werden für die Application die man “debuggen” will. Ein meinem Fall war es SNMP auf einem B3 Switch also => SNMP.
set logging application SNMP level 7
Wer die Informationen an einen Syslog Server senden will sollte noch einen Syslogserver hinterlegen mit den richtigen Severity Level.
set logging server 1 ip-addr 10.1.1.1 severity 8 description "default" state enable
Alternativ kann man sich die Syslogs auch auf der Console ausgeben lassen:
A/B/C/D/I-Serie auf Console:
set logging local console enable
A/B/C/D/I/N/S-Serie in File:
set logging local console disable file enable
N/S-Serie:
set logging here enable
Im Syslog tauchte dann auch das System auf das versucht hat mit einer falschen SNMP Community auf die Switche zuzugreifen. Es war ein Printer Verwaltungserver (HP Jetadmin) der die komplette IP-Range des Standorts scannt und versucht per SNMP Parameter von den Geräten abzufragen (Tonerstand, etc.)
<166>Feb 1 10:33:06 192.168.1.52-1 TRAPMGR[175072816]: traputil.c(475) 260 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:06 192.168.1.2-1 TRAPMGR[138984840]: traputil.c(475) 430 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:06 192.168.1.4-1 TRAPMGR[138984160]: traputil.c(475) 245 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:06 192.168.1.8-1 TRAPMGR[138983208]: traputil.c(475) 264 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:06 192.168.1.11-1 TRAPMGR[138983560]: traputil.c(475) 327 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:06 192.168.1.14-2 TRAPMGR[138984192]: traputil.c(475) 203 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:06 192.168.1.15-1 TRAPMGR[138983728]: traputil.c(475) 219 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:06 192.168.1.35-1 TRAPMGR[175050544]: traputil.c(475) 205 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:05 192.168.1.39-1 TRAPMGR[126209216]: traputil.c(466) 181 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:07 192.168.1.43-1 TRAPMGR[175061168]: traputil.c(475) 280 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:07 192.168.1.48-1 TRAPMGR[175067568]: traputil.c(475) 446 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:07 192.168.1.52-1 TRAPMGR[175072816]: traputil.c(475) 261 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:07 192.168.1.2-1 TRAPMGR[138984840]: traputil.c(475) 431 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:08 192.168.1.4-1 TRAPMGR[138984160]: traputil.c(475) 246 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:08 192.168.1.8-1 TRAPMGR[138983208]: traputil.c(475) 265 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:07 192.168.1.11-1 TRAPMGR[138983560]: traputil.c(475) 328 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:07 192.168.1.15-1 TRAPMGR[138983728]: traputil.c(475) 220 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:08 192.168.1.14-2 TRAPMGR[138984192]: traputil.c(475) 204 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:08 192.168.1.35-1 TRAPMGR[175050544]: traputil.c(475) 206 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:06 192.168.1.39-1 TRAPMGR[126209216]: traputil.c(466) 182 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:08 192.168.1.43-1 TRAPMGR[175061168]: traputil.c(475) 281 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:08 192.168.1.48-1 TRAPMGR[175067568]: traputil.c(475) 447 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:08 192.168.1.52-1 TRAPMGR[175072816]: traputil.c(475) 262 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:08 192.168.1.2-1 TRAPMGR[138984840]: traputil.c(475) 432 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:09 192.168.1.4-1 TRAPMGR[138984160]: traputil.c(475) 247 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:09 192.168.1.8-1 TRAPMGR[138983208]: traputil.c(475) 266 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:09 192.168.1.11-1 TRAPMGR[138983560]: traputil.c(475) 329 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:09 192.168.1.14-2 TRAPMGR[138984192]: traputil.c(475) 205 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:09 192.168.1.15-1 TRAPMGR[138983728]: traputil.c(475) 221 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:09 192.168.1.35-1 TRAPMGR[175050544]: traputil.c(475) 207 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:08 192.168.1.39-1 TRAPMGR[126209216]: traputil.c(466) 183 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:10 192.168.1.43-1 TRAPMGR[175061168]: traputil.c(475) 282 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:09 192.168.1.48-1 TRAPMGR[175067568]: traputil.c(475) 448 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:09 192.168.1.52-1 TRAPMGR[175072816]: traputil.c(475) 263 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:10 192.168.1.2-1 TRAPMGR[138984840]: traputil.c(475) 433 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:10 192.168.1.4-1 TRAPMGR[138984160]: traputil.c(475) 248 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:10 192.168.1.8-1 TRAPMGR[138983208]: traputil.c(475) 267 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:10 192.168.1.11-1 TRAPMGR[138983560]: traputil.c(475) 330 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:10 192.168.1.14-2 TRAPMGR[138984192]: traputil.c(475) 206 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:10 192.168.1.15-1 TRAPMGR[138983728]: traputil.c(475) 222 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:10 192.168.1.35-1 TRAPMGR[175050544]: traputil.c(475) 208 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:09 192.168.1.39-1 TRAPMGR[126209216]: traputil.c(466) 184 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:11 192.168.1.43-1 TRAPMGR[175061168]: traputil.c(475) 283 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26 <166>Feb 1 10:33:11 192.168.1.48-1 TRAPMGR[175067568]: traputil.c(475) 449 %% Authent. Failure: Unit: 1 IP Address: 192.168.7.26
Massenbackup für Switche via Telnet & TFTP
0vor 1 Jahr
Das Beispiel habe ich für Huaweiswitche erstellt. Es geht scheinbar auch über SNMP aber per Telnet die Befehle absetzen geht bei jedem Hersteller.
Folgende Software wird benötigt:
- TFTP Server (z.B. 3CDaemon -> http://support.3com.com/software/utilities_for_windows_32_bit.htm)
- Tera Term (hier ttpmacro -> http://www.heise.de/software/download/teraterm_pro/51776)
Das einzige was man wissen muss sind die Befehle wie man die Konfiguration bei dem entsprechenden Switch sichert. Bei Huawei liegt per Default die Konfiguration in vrpcfg.cfg. Mit dem Kommando tftp x.x.x.x put flash:/vrpcfg.cfg xxxx.cfg kann man die Konfig auf einen TFTP-Server schicken. Das Macro muss also auf verschiedene Situationen warten und dann Kommandos schicken. Das Macro speichert die Konfigurationen unter der jeweiligen IP-Adresse. Eine Erweiterung das noch ein Datum mit in dem Dateinamen eingebaut wird ist auch möglich.
Bei Huawei sieht das wie folgt aus:
>> Username: << Username senden >> Password: << Password senden >> <Switch-1> << Komando tftp ... senden >> <Switch-1> << quit senden
Batch-Datei (get_cfgs.bat):
cls for /F "eol=; tokens=1,2,3,4 delims=, " %%i in (devices.txt) do ( teraterm\ttpmacro.exe get_cfgs.ttl %%i )
Geräte (devices.txt):
172.20.6.11 172.20.6.12 172.20.6.13 ...
ttl Macro Script für Tera Term Macro Programm (get_cfg.ttl):
; Host & Port host = param2 ; Username username = 'admin' ; Password password = 'admin' strconcat host ':23 /nossh' connect host wait 'Username:' sendln username wait 'Password:' sendln password wait '>' kommando = 'tftp 172.20.16.113 put flash:/vrpcfg.cfg ' strconcat kommando param2 strconcat kommando '.cfg' sendln kommando wait '>' sendln 'quit'
Die Macrosprache von Tera Term ist sehr einfach und lässt sich auf andere Hersteller leicht umbiegen.
Viel Spaß 
HP Procurve Bash Backup
1vor 1 Jahr
Howto für 
Ubuntu und 
Debian
Mit diesem Script können Massenbackups durchgeführt werden. Das Tool ist mandantenfähig, es legt pro Kunde einen Unterordner an.
Benötigte Pakete
sudo apt-get install snmp tftp-hpa
Mandantenfile
# Hostname,IP,SNMP-RW-Community, (r=running-config,s=startup-config,b=both) Switch1,10.1.1.1,geheim,r Switch2,10.1.1.2,geheim,r
Script
hp_load_cfg.sh
#!/bin/bash
#################################################################
# hp_load_cfg.sh - Load HP Procurve Configs via TFTP #
#################################################################
# Version 1.0.0 #
# Written by Maximilian Thoma (c) 2009 - admin@lanbugs.de #
#################################################################
# for Ubuntu/Debian - needed snmp and tftp-hpa package #
#################################################################
# Vars
DATE_TOKEN=$(date +"%Y-%m-%d-%H%M%S")
KUNDE=$(echo $1 | awk -F. '{print $1}')
declare K_DIR=$KUNDE
# Check ob Kundenverzeichnis existiert
if [ ! -e $K_DIR ]; then
mkdir $K_DIR; fi
processLine(){
line="$@"
char_1=${line:0:1}
if [ $char_1 != '#' ]; then
### echo $line
# Variablen laden
SwitchNAME=$(echo $line | awk -F, '{print $1}')
SwitchIP=$(echo $line | awk -F, '{print $2}')
SwitchSNMP=$(echo $line | awk -F, '{print $3}')
SwitchSAV=$(echo $line | awk -F, '{print $4}')
# Nur running-config
if [ $SwitchSAV == 'r' ]; then
echo "###########################################"
echo "Save $SwitchNAME - IP: $SwitchIP - Running "
echo "###########################################"
snmpset -v 2c -c $SwitchSNMP $SwitchIP 1.3.6.1.4.1.11.2.14.11.5.1.7.1.5.6.0 i 2
tftp $SwitchIP -v -c get running-config $K_DIR/$SwitchNAME-running-$DATE_TOKEN.cfg
snmpset -v 2c -c $SwitchSNMP $SwitchIP 1.3.6.1.4.1.11.2.14.11.5.1.7.1.5.6.0 i 1
echo "###########################################"
fi
# Nur startup-config
if [ $SwitchSAV == 's' ]; then
echo "###########################################"
echo "Save $SwitchNAME - IP: $SwitchIP - Startup "
echo "###########################################"
snmpset -v 2c -c $SwitchSNMP $SwitchIP 1.3.6.1.4.1.11.2.14.11.5.1.7.1.5.6.0 i 2
tftp $SwitchIP -v -c get startup-config $K_DIR/$SwitchNAME-startup-$DATE_TOKEN.cfg
snmpset -v 2c -c $SwitchSNMP $SwitchIP 1.3.6.1.4.1.11.2.14.11.5.1.7.1.5.6.0 i 1
echo "###########################################"
fi
# Beides
if [ $SwitchSAV == 'b' ]; then
echo "###########################################"
echo "Save $SwitchNAME - IP: $SwitchIP - Both "
echo "###########################################"
snmpset -v 2c -c $SwitchSNMP $SwitchIP 1.3.6.1.4.1.11.2.14.11.5.1.7.1.5.6.0 i 2
tftp $SwitchIP -v -c get running-config $K_DIR/$SwitchNAME-running-$DATE_TOKEN.cfg
tftp $SwitchIP -v -c get startup-config $K_DIR/$SwitchNAME-startup-$DATE_TOKEN.cfg
snmpset -v 2c -c $SwitchSNMP $SwitchIP 1.3.6.1.4.1.11.2.14.11.5.1.7.1.5.6.0 i 1
echo "###########################################"
fi
fi
}
FILE=""
if [ "$1" == "" ]; then
FILE="/dev/stdin"
else
FILE="$1"
if [ ! -f $FILE ]; then
echo "$FILE : does not exists"
exit 1
elif [ ! -r $FILE ]; then
echo "$FILE: can not read"
exit 2
fi
fi
BAKIFS=$IFS
IFS=$(echo -en "\n\b")
exec 3<&0
exec 0<$FILE
while read line
do
processLine $line
done
exec 0<&3
IFS=$BAKIFS
exit 0
Script anwenden
./hp_load_cfg.sh Kunde1.txt
Test
./hp_load_cfg.sh Kunde1.txt ########################################### Save Switch1 - IP: 10.21.73.241 - Running ########################################### SNMPv2-SMI::enterprises.11.2.14.11.5.1.7.1.5.6.0 = INTEGER: 2 Connected to 10.21.73.241 (10.21.73.241), port 69 getting from 10.21.73.241:running-config to Kunde1/Switch1-running-2009-07-22-234538.cfg [netascii] Received 748 bytes in 2.3 seconds [2610 bit/s] SNMPv2-SMI::enterprises.11.2.14.11.5.1.7.1.5.6.0 = INTEGER: 1 ########################################### ########################################### Save Switch2 - IP: 10.21.73.242 - Running ########################################### SNMPv2-SMI::enterprises.11.2.14.11.5.1.7.1.5.6.0 = INTEGER: 2 Connected to 10.21.73.242 (10.21.73.242), port 69 getting from 10.21.73.242:running-config to Kunde1/Switch2-running-2009-07-22-234538.cfg [netascii] Received 737 bytes in 1.5 seconds [3981 bit/s] SNMPv2-SMI::enterprises.11.2.14.11.5.1.7.1.5.6.0 = INTEGER: 1 ###########################################
Das Kundenverzeichnis
ls -la Kunde1 ... -rw-r--r-- 1 sysadmin sysadmin 721 2009-07-22 23:45 Switch1-running-2009-07-22-234538.cfg -rw-r--r-- 1 sysadmin sysadmin 710 2009-07-22 23:45 Switch2-running-2009-07-22-234538.cfg ...
Einrichten einer NPS Policy für HP Procurve Geräte
0vor 1 Jahr
-
Im Baum auf „Netzwerkrichtlinien“ einen Rechtsklick und „Neu“ auswählen
-
Einen Policy Namen festlegen z.B. „HP Device Access“
-
Folgende Bedinungen werden benötigt
-
Windows-Gruppe: radius_nw_equipment_access
-
NAS-Porttyp: Virtuell (VPN)
-
-
Zugriff gewähren
-
Haken von MS-CHAPv2 und MS-CHAP entfernen und nur PAP auswählen
-
Hier wird nichts verändert, Weiter…
-
Framed-Protocol und Service-Type entfernen
-
Unter „Standard“ den Typ „Service-Type“ mit dem Attributwert „Administrative“ (Manager) oder „NAS Prompt“ (Operator) hinzufügen
-
Fertigstellen
-
Die Policy mit Rechtsklick „Nach oben“ in die oberste Position befördern
Radius Konfiguration für Enterasys Geräte
0vor 1 Jahr
Falls Radius nicht funktioniert sollte man noch einen lokalen Backup User anlegen. (siehe Config)
set system login backupuser read-write enable set password backupuser Please enter new password: <passwort eingeben> Please re-enter new password: <passwort eingeben> Password changed. ... set radius server 1 192.168.10.1 1812 geheim set radius enable set authentication login any
Radius Konfiguration für HP Procurve Geräte
0vor 1 Jahr
Für operator und manager sollte ein Passwort lokal gesetzt werden falls Radius nicht funktioniert.
aaa authentication login privilege-mode aaa authentication console login radius local aaa authentication console enable radius local aaa authentication telnet login radius local aaa authentication telnet enable radius local aaa authentication web login radius local aaa authentication ssh login radius local aaa authentication ssh enable radius local radius-server host 192.168.10.1 key geheim password manager password operator
Einrichten einer NPS Policy für Cisco Geräte
0vor 1 Jahr
-
Im Baum auf „Netzwerkrichtlinien“ einen Rechtsklick und „Neu“ auswählen
-
Einen Policy Namen festlegen z.B. „Cisco Device Access“
-
Folgende Bedinungen werden benötigt
-
Windows-Gruppe: radius_nw_equipment_access
-
Clientanzeigename: CISCO-R?
-
NAS-Porttyp: Virtuell (VPN)
-
-
Zugriff gewähren
-
Haken von MS-CHAPv2 und MS-CHAP entfernen und nur PAP auswählen
-
Hier wird nichts verändert, Weiter…
-
Framed-Protocol und Service-Type entfernen
-
Unter „Herstellerspezifisch“ den Typ „Cisco-AV-Pair“ mit dem Attributwert „shell:priv-lvl=15“ hinzufügen
-
Fertigstellen
-
Die Policy mit Rechtsklick „Nach oben“ in die oberste Position befördern
Fertig.
Radius Konfiguration für Cisco Geräte
0vor 1 Jahr
Konfiguration mit Rescue User falls Radius ausfällt. In dem Fall wird mit Username/Passwort und enable-Secret gearbeitet. Im Fall einer Radiusanmeldung arbeitet der User direkt im Privilege Mode 15.
! aaa new-model aaa group server radius RADIUS_AUTH server 192.168.10.1 auth-port 1812 acct-port 1813 ! aaa authentication login networkaccess group RADIUS_AUTH local aaa authorization exec default group RADIUS_AUTH if-authenticated aaa authorization exec networkaccess group RADIUS_AUTH local if-authenticated enable secret 5 $1$UaiX$0ivA6uWDl0eNoZWv4ciLW. ! username admin privilege 15 secret 5 $1$dArb$Q2sC1uPNaL0QUMlc/V7sF1 ip subnet-zero ! ip radius source-interface FastEthernet0/1 ! radius-server host 192.168.10.1 auth-port 1812 acct-port 1813 key geheim radius-server retransmit 3 ! line con 0 login authentication networkaccess line vty 0 4 exec-timeout 0 0 login authentication networkaccess line vty 5 15 exec-timeout 0 0 login authentication networkaccess !
Installation des Radiusservers (NPS Rolle)
0vor 1 Jahr
- Öffnen Sie den Servermanager
-
Klicken Sie „Rollen hinzufügen“ an
-
Wählen Sie „Netzwerkrichtlinien- und Zugriffsdienste“ aus
-
Wählen Sie „Netzwerkrichtlinienserver“ aus und schließen Sie die Installation ab
Vorbereitungen im AD
-
Einrichten einer Sicherheitsgruppe für die berechtigten User
-
Im User muss der Haken „Kennwort mit umkehrbarer Verschlüsselung speichern“ ausgewählt sein
-
Nach dem setzen des Hakens muss das Passwort zurückgesetzt werden !!!
-
Den User der Sicherheitsgruppe hinzufügen
Einrichten des NPS
NPS
-
Gehen Sie in den Server-Manager und suchen Sie im Baum den Punkt „NPS“
Radius Clients hinzufügen
-
Der Anzeigename kann frei definiert werden
-
Bei IP-Adresse die Adresse des Geräts eingeben (normalerweise die Management IP Adresse des Geräts)
-
Gemeinsamen geheimen Schlüssel eingeben oder generieren (diesen Merken oder Aufschreiben)
Einrichten einer NPS Policy für Enterasys Geräte
0vor 1 Jahr
-
Im Baum auf „Netzwerkrichtlinien“ einen Rechtsklick und „Neu“ auswählen
-
Einen Policy Namen festlegen z.B. „Enterasys Device Access“
-
Folgende Bedinungen werden benötigt
-
Windows-Gruppe: radius_nw_equipment_access
-
NAS-Porttyp: Virtuell (VPN)
-
-
Zugriff gewähren
-
Haken von MS-CHAPv2 und MS-CHAP entfernen und nur PAP auswählen
-
Hier wird nichts verändert, Weiter…
-
Framed-Protocol und Service-Type entfernen; Unter „Standard“ den Typ „Filter-ID“ mit dem Attributwert „Enterasys:version=1:mgmt=su“ (Read Write – Mode) oder „Enterasys:version=1:mgmt=ro“ (Read Only – Mode) hinzufügen
-
Fertigstellen
-
Die Policy mit Rechtsklick „Nach oben“ in die oberste Position befördern