SNMP funktioniert nicht auf dem Switch

[JamesDeas]

Hallo zusammen,

mein Switch ist nicht über das SNMP Protokoll erreichbar, getestes wurde das SNMP mit dem Paessler SNMP Tester sowie OidView.
Leider kein Erfolg. Alle anderen Switche im Netz kann ich über das Protokoll ansprechen. Auf der Firewall wird auch nichts blockiert. Es ist der Coreswitch. Ich hatte auch schon mal eine neue Community angelegt und diese dann getestet leider auch kein erfolg.

ich hoffe ihr habt noch eine Idee

Folgender Switch: hp switch 5406rzl2

 

[razzy]

mach mal einen snmpwalk von einem zB linux-gerät auf den switch.
und bitte benutz nicht SNMP v1/v2, vorallem nicht mit den default communitys.
sehr große sicherheitslücke, gerade an einem "core"-switch

Wenn es geht SNMPv3 bzw. zur Not v2 mit anderen communitys

 

[JamesDeas]

einen SNMP walk funktioniert leider nicht. Er ist überhaupt nicht ansprechbar über SNMP.

 

[snaxilian]

Hast du nach ändern der Config auf ein "write config" abgesetzt? Hat der Switch eine explizite Admin- bzw. Management-NIC? Testest du gegen die auf dem Port konfigurierte IP? Gibt es auf dem Port eine ACL? Hängen zwischen diesem Port und deinem Testgerät weitere Switche mit einer ACL? Neben ACLs sonstige Access Restrictions? Wie sieht die Config aus wenn du diese per SSH auf dem Switch abfragst?

 

[razzy]

kannst du die aktuelle konfig mal bitte exportieren und hier zur verfügung stellen, dann kann ich mal drüber gucken.

Passwörter etc natürlich entfernen.

 

[JamesDeas]

Hier einmal die Config:

• ; J9850A Configuration Editor; Created on release #KB.16.06.0006

• ; Ver #13:4f.f8.1c.fb.7f.bf.bb.ff.7c.59.fc.7b.ff.ff.fc.ff.ff.3f.ef:49

• hostname "SW-B1-UG-01"

• module A type j9993a

• module B type j9988a

• module C type j9986a

• module D type j9995a

• module F type j9987a

• timesync ntp

• sntp server priority 1 192.168.16.102 1

• ntp server 192.168.99.2

• ntp enable

• time daylight-time-rule western-europe

• time timezone 60

• ip default-gateway 192.168.16.2

• ip route 0.0.0.0 0.0.0.0 192.168.16.2

• ip route 192.168.100.0 255.255.252.0 192.168.16.150

• ip route 192.168.133.0 255.255.255.0 192.168.16.150

• ip route 192.168.133.0 255.255.255.0 192.168.100.1

• ip route 192.168.133.0 255.255.255.0 192.168.161.1

• ip route 194.187.184.0 255.255.255.0 192.168.15.200

• ip routing

• interface A8

  • name "SW-B2-UG-01"

  • exit

• interface B1

  • name "SW-B1-OG1-02"

  • exit

• interface B2

  • name "SW-B1-EG-01"

  • exit

• interface B3

  • name "SW-B1-OG1-01"

  • exit

• interface B5

  • name "SW-B1-OG4-01"

  • exit

• interface B6

  • name "SW-B1-OG4-02"

  • exit

• interface B7

  • name "DLINK Leih. Migration B1 B2"

  • exit

• interface B11

  • name "SW-B1-OG5-01 100er"

  • exit

• interface B12

  • name "SW-B1-OG1-01"

  • exit

• interface B16

  • name "SW-B1-OG5-01 45er"

  • exit

• interface B19

  • name "Casino direkte Verbindung B2 nach B1"

  • exit

• interface B20

  • name "Etage 1 Ovibell direkte Verbindung B2 nach B1"

  • exit

• interface F7

  • name "Zander Wwan"

  • exit

• snmp-server community "public" unrestricted

• snmp-server community "test123" unrestricted

• no snmp-server enable traps macsec failures

• snmp-server location "RZ"

• oobm

  • no ip address

  • exit

• vlan 1

  • name "DEFAULT_VLAN"

  • no untagged A8,B1-B13,B16,B19-B20,B24,C3-C6,C8-C17,C23-C24,F1-F7,F11-F12

  • untagged A1-A7,B14-B15,B17-B18,B21-B23,C1-C2,C7,C18-C22,D1-D8,F8-F10,F13-F24

  • ip address 192.168.15.1 255.255.255.0

  • exit

• vlan 2

  • name "UG-EG-SW"

  • untagged B4

  • ip address 192.168.40.1 255.255.255.0

  • exit

• vlan 3

  • name "ETG1-SW"

  • tagged A8

  • ip address 192.168.41.1 255.255.255.0

  • exit

• vlan 4

  • name "ETG2-SW"

  • tagged A8

  • ip address 192.168.42.1 255.255.255.0

  • exit

• vlan 5

  • name "ETG3-SW"

  • untagged B8-B10

  • ip address 192.168.43.1 255.255.255.0

  • exit

• vlan 6

  • name "ETG4-SW"

  • untagged B5-B6

  • ip address 192.168.44.1 255.255.255.0

  • exit

• vlan 7

  • name "ETG5-SW"

  • untagged A8,B16,B24

  • ip address 192.168.45.1 255.255.255.0

  • ip helper-address 192.168.16.102

  • ip helper-address 192.168.16.132

  • exit

• vlan 8

  • name "Telekom IP 50.xxx"

  • tagged A8

  • no ip address

  • exit

• vlan 16

  • name "16er-SRVLAN"

  • untagged C4-C6,F12

  • tagged A1-A8,C16-C17

  • ip address 192.168.16.1 255.255.255.0

  • exit

• vlan 20

  • name "WLAN-Mgmt"

  • untagged F1-F6

  • tagged A1-A6,A8

  • ip address 172.16.0.1 255.255.252.0

  • exit

• vlan 21

  • name "WWAN"

  • untagged F7

  • tagged A1-A8,C16-C17,F1-F6

  • ip address 172.16.16.1 255.255.252.0

  • exit

• vlan 22

  • name "WLAN"

  • tagged A1-A8,F1-F6

  • ip address 172.16.32.1 255.255.252.0

  • exit

• vlan 98

  • name "Versatel"

  • untagged C11-C15,C23

  • tagged A8

  • no ip address

  • exit

• vlan 99

  • name "99er"

  • untagged B1-B3,B7,B11-B13,B19-B20,C8-C10,C24

  • tagged A8

  • ip address 192.168.99.1 255.255.255.0

  • exit

• vlan 100

  • name "100er"

  • untagged C3,F11

  • tagged A1-A8,B1-B3,B5-B7,B11-B13,B19-B20,C16-C17

  • no ip address

  • exit

• no tftp server

• no autorun

• no dhcp config-file-update

• no dhcp image-file-update

• password manager

• password operator

 

[razzy]

Den Quatsch mal komplett raus:

snmp-server community "public" unrestricted
snmp-server community "test123" unrestricted

Füg mal das ein, änder aber mal die CAPS inhalte entsprechend.

snmp-server contact "CONTACT@EMAIL" location "LOCATION"
snmp-server community public operator restricted
snmp-server community SECURE-COMMUNITY operator unrestricted
snmp-server host MONITORSRV-IP community SECURE-COMMUNITY
snmp-server trap-source SWITCH-IP

Frage... hast du Ahnung davon, was du da tust?


Ich frag auch mal nicht was du/ihr hiermit bezwecken wollt..

...
ip route 192.168.133.0 255.255.255.0 192.168.16.150
ip route 192.168.133.0 255.255.255.0 192.168.100.1
ip route 192.168.133.0 255.255.255.0 192.168.161.1
...

 

[error]

Aktuell ist wieder Zeit für die Abschlussprüfungen an der IHK.
Und das könnte ein Teil davon sein?

Insgesamt sieht die Config eher nach wildem Copy-Paste aus. Sorry, nicht übel nehmen. Aber ich kenne nur Core-Configs, die normalerweise von mehreren Kollegen abgenommen und dann einmal aufgespielt werden.

 

[razzy]

glaube eher weniger das sowas in IHK Prüfungen vorkommt, da es ja schon unterschiede gibt bei Cisco/Aruba/XY.

Aber dennoch sieht das so aus, als hätte man keine Ahnung von dem was man da konfiguriert (hat) und dann noch bei einem "Core".

 

[snaxilian]

@error Die technisch-fachlichen Fragen sind Hersteller unabhängig und in 95% der Fälle gehts um paar simple VLANs oder Routingtabellen mit mehreren Standorten oder so^^

Aber ja, die Config macht nicht dein Eindruck als hätte da mal jemand drauf geschaut, der nicht nur Netzwerke nebenbei macht. Warten wir mal auf Rückmeldung des TE.

 

[error]

Nuja,
die praktische Abschlussprüfung (FiSi) kann durchaus "der Aufbau und die Konfiguration eines Netzwerks" sein. In welchem Umfang müsste genauer geklärt werden aber es ist dennoch möglich. Ein Azubi bei uns hatte dies mal mit punktuellen Schwerpunkten als eine Art PoC gemacht.

@snaxilian: Öhm, dann kennst du definitv andere Cores als ich. Meine sind in der Regel L3 only, QoS und mehrere Routingprozesse und ein bisschen Sonderkram, der viel Planung und Kontrolle erfordert. Portmäßig ist alles mindestens 100G. Wenn da was schief läuft steht im schlimmsten Fall etwas still.

Aber ja, warten wir auf die Antwort des TE