Hallo zusammen,
ich bin seit letzter Woche ein wenig am Verzweifeln.
Ich versuche meine Umgebung, bestehend ausschließlich aus XS-XXXX Switchen an MACMON anzubinden via SNMPv3.
Allerdings scheitere ich hier an der Skripterstellung. Ziel ist es ein Skript zu erstellen, welches mir die SNMP Konfiguration über die Cloud setzt.
Das ganze nicht als config.addScriptLine (welches funktioniert) sondern so, dass die Konfiguration direkt aus der Cloud ausgerollt und nicht erst im Nachgang hinzugefügt wird.
Hat hier jemand dieses Szenario schon einmal umgesetzt?
Grüße aus dem Münsterland.
Christoph
SNMP via Skript/LMC aktivieren
Moderator: Lancom-Systems Moderatoren
-
schneidersConIT
- Beiträge: 2
- Registriert: 10 Mär 2025, 08:07
Re: SNMP via Skript/LMC aktivieren
Hallo Christoph,
Die SNMP Einstellungen sind für das 5.20 Betriebssystem noch nicht per Detailkonfiguration (bzw. OID Add-In) editierbar.
Scriptline ist leider noch das Mittel der Wahl.
Bei der Macmon-Integration ist nur wichtig, dass
1. NAC-SNMP ist ausdrücklich NICHT mit der LMC unterstützt, weil "wer zu letzt schreibt, gewinnt" Solution-Brief LANCOM-macmon
2. bei NAC-Radius bitte sämtliche RADIUS+ .1x Konfiguration über OID Scripte gemacht wird (Wenn die cloud per Detailkonfiguration etwas schreibt, was du mit scriptline manipulierst, hast du einen sekundenbruchteil die statemachine zurückgestzt, die dann eine neue authentifizierung erzwingt)
Grüße aus Lüdinghausen im Münsterland
Die SNMP Einstellungen sind für das 5.20 Betriebssystem noch nicht per Detailkonfiguration (bzw. OID Add-In) editierbar.
Scriptline ist leider noch das Mittel der Wahl.
Bei der Macmon-Integration ist nur wichtig, dass
1. NAC-SNMP ist ausdrücklich NICHT mit der LMC unterstützt, weil "wer zu letzt schreibt, gewinnt" Solution-Brief LANCOM-macmon
2. bei NAC-Radius bitte sämtliche RADIUS+ .1x Konfiguration über OID Scripte gemacht wird (Wenn die cloud per Detailkonfiguration etwas schreibt, was du mit scriptline manipulierst, hast du einen sekundenbruchteil die statemachine zurückgestzt, die dann eine neue authentifizierung erzwingt)
Grüße aus Lüdinghausen im Münsterland
Gruß Lukas
-
schneidersConIT
- Beiträge: 2
- Registriert: 10 Mär 2025, 08:07
Re: SNMP via Skript/LMC aktivieren
Guten Morgen,
vielen Dank für die Antwort und den Link zum Solution Brief.
Gibt es eventuell eine Quelle für ein entsprechendes OID Skript?
Ich finde nämlich keine entsprechende Doku bzgl. der Anbindung RADISUS NAC und SNMP.
SNMP würde ich gerne für Monitoringzwecke trotzdem in Betrieb nehmen.
Insofern wäre ein OID Skript hilfreich welches RADIUS enthält.
Sind Erfahrungswerte vorhanden, was passiert wenn ich eine Gerätekonfiguration in die Cloud übertrage? Funktioniert dies?
Sprich ich mache eine lokale Änderung und übertrage diese explizit in die Cloud. Ist diese dan persistent?`
Grüße aus Stadlohn.
vielen Dank für die Antwort und den Link zum Solution Brief.
Gibt es eventuell eine Quelle für ein entsprechendes OID Skript?
Ich finde nämlich keine entsprechende Doku bzgl. der Anbindung RADISUS NAC und SNMP.
SNMP würde ich gerne für Monitoringzwecke trotzdem in Betrieb nehmen.
Insofern wäre ein OID Skript hilfreich welches RADIUS enthält.
Sind Erfahrungswerte vorhanden, was passiert wenn ich eine Gerätekonfiguration in die Cloud übertrage? Funktioniert dies?
Sprich ich mache eine lokale Änderung und übertrage diese explizit in die Cloud. Ist diese dan persistent?`
Grüße aus Stadlohn.
Re: SNMP via Skript/LMC aktivieren
Guten Mittag,
Deswegen ist NAC-SNMP mit der LMC zusammen nicht unterstützt. Ohne LMC funktioniert auch NAC-SNMP super (wobei NAC-SNMP auch ohne LMC immer die schlechtere Wahl ist).
Grundsätzlich musst du dir für NAC-Radius überlegen, welche fix eingestellten Portmodi du brauchst.
Typische Fälle:
Alle Frontend-Ports sind für Clients reserviert also Multi Dot1x mit MAB
Alle SFP+ Ports sind vermutlich für Uplinks oder Server die ich nicht authentifizieren möchte also Forced Auth
WLAN Ports sind wild über alle Switches verteilt, also müsste ich über eine Variable vom Standard (Multi Dot1x mit MAB) auf WLAN (Port-Based Dot1x) umschalten.
Das muss dann in ein Add-In überführt werden.
Für die kleineren Switches (2xxx und 3xxx modelle also 3.xx und 4.xx Betriebssystem) habe ich sehr hübsche Add-Ins gebaut, für die 5.20er Switches habe ich einen groben Ansatz, aber weit entfernt von ansehnlich.
meine aktuellen Herausforderungen bei der Serie:
- Stacking (wie nummeriere ich ports der member in einer variable falls ich Ausnahmen vom default bauen möchte).
- VLAN Participation=Auto (nur per Scriptline, aber "confirmed") oder ggf. workaround über deaktivieren von Ingress-Filter (per OID, aber noch nicht ausprobiert)
Im letzten Projekt hatte ich kein Stacking und habe die VLAN Participation per Scriptline gelöst und das ganze mangels Zeit und Notwendigkeit aus den Augen verloren.
LMC ist das führende System. Im Zweifel überschreibt die LMC das beim nächsten Rollout.schneidersConIT hat geschrieben: 12 Mär 2025, 09:18 Sind Erfahrungswerte vorhanden, was passiert wenn ich eine Gerätekonfiguration in die Cloud übertrage? Funktioniert dies?
Sprich ich mache eine lokale Änderung und übertrage diese explizit in die Cloud. Ist diese dan persistent?`
Deswegen ist NAC-SNMP mit der LMC zusammen nicht unterstützt. Ohne LMC funktioniert auch NAC-SNMP super (wobei NAC-SNMP auch ohne LMC immer die schlechtere Wahl ist).
Grundsätzlich musst du dir für NAC-Radius überlegen, welche fix eingestellten Portmodi du brauchst.
Typische Fälle:
- Client-Port: Hier wird ein beliebiges Endgerät angeschlossen, es könnte aber auch ein Telefon mit durchgeschliffenen Client, oder ein Unmanaged Desktopswitch mit mehreren clients kommen. --> Portmode = Multi dot1x mit MAB & Radius-Assigned-VLAN
- WLAN-Port: Hier soll der Accesspoint sich authentifizieren und dann Türsteher spielen (solange der AP da ist, dürfen alle folgenden Sessions rein) => Portmode = Port-Based Dot1x, kein MAB, statische VLAN Konfiguration (Hybrid/Trunk) (wenn der AP Dot1x Suplicant spielt, was die LANCOM Accesspoints alle können)
- Uplinks: Hier wird ein anderer Switch angeschlossen - Baulich besonders geschützt, hier eine Authentifizierung durchzuführen wäre unschön, weil der radius-server "auf der anderen seite" dieses Interfaces ist und nur erreicht werden kann wenn das interface authentifiziert ist. --> Portmode = Forced Authorized
- Sonderfälle: z.B. mal manuell ein Forced-Authorized setzen bis der Client konfiguriert ist --> Portmode = forced Authorized
Alle Frontend-Ports sind für Clients reserviert also Multi Dot1x mit MAB
Alle SFP+ Ports sind vermutlich für Uplinks oder Server die ich nicht authentifizieren möchte also Forced Auth
WLAN Ports sind wild über alle Switches verteilt, also müsste ich über eine Variable vom Standard (Multi Dot1x mit MAB) auf WLAN (Port-Based Dot1x) umschalten.
Das muss dann in ein Add-In überführt werden.
Für die kleineren Switches (2xxx und 3xxx modelle also 3.xx und 4.xx Betriebssystem) habe ich sehr hübsche Add-Ins gebaut, für die 5.20er Switches habe ich einen groben Ansatz, aber weit entfernt von ansehnlich.
meine aktuellen Herausforderungen bei der Serie:
- Stacking (wie nummeriere ich ports der member in einer variable falls ich Ausnahmen vom default bauen möchte).
- VLAN Participation=Auto (nur per Scriptline, aber "confirmed") oder ggf. workaround über deaktivieren von Ingress-Filter (per OID, aber noch nicht ausprobiert)
Im letzten Projekt hatte ich kein Stacking und habe die VLAN Participation per Scriptline gelöst und das ganze mangels Zeit und Notwendigkeit aus den Augen verloren.
Gruß Lukas