Aruba CX Konfiguration für macmon (SNMP / API / Radius)

Die Aruba CX Konfiguration für macmon wird in meinen Projekten immer häufiger benötigt, da immer mehr Kunden auf die Aruba CX Switche setzen. In diesem Beitrag stelle ich Euch die nötige Konfiguration der Switche vor.

Einleitung

Insbesondere Dienstleister kennen es: Wieder ein macmon Projekt und wieder ein Aruba CX Switch. Wie war jetzt noch mal die nötige Konfiguration für die Switche? In diesem Beitrag stelle ich Euch die Basiskonfiguration für die Nutzung von SNMP und API vor die ich in meinen Projekten nutze.

Information

Es handelt sich hier wirklich nur um eine Basiskonfiguration die Ihr ggf. an Eure Bedürfnisse anpassen müsst. Dies trifft insbesondere auf die Radius Konfiguration zu.
Falls Ihr mit anderen VRF arbeitet als dem "default", muss die entsprechende Befehlszeile angepasst werden.

Konfiguration für API

Um den Zugriff per API zu ermöglichen benötigt man lediglich nur einen Benutzer. Die Konfiguration sieht dazu wie folgt aus. Wörter in GROßBUCHSTABEN ersetzt Ihr durch eigene Werte.

Aruba CX - API Benutzer
user BENUTZERNAME group administrators password plaintext DEINPASSWORD
https-server vrf default

Konfiguration für SNMP

Für SNMP ist sind ein paar Zeilen mehr notwendig. Aruba hat vor einigen Monaten wieder SNMP lesend und schreibend in sein Betriebssystem integriert. Bis Q3/Q4 2022 war fast alles nur per API möglich.

Information

SNMPv2 ist weiterhin nur lesen möglich. Aus Sicherheitsgründen ist dies auch gut so. Ich habe in vielen Projekten immer wieder SNMPv2 zum Schreiben gesehen. In vielen Fällen wurden hier auch die Standard Communities genutzt (PUBLIC / PRIVAT).
So zwingt Aruba seine Anwender auf sicherer Kommunikation zu setzen: 👍
Bei den Traps habe ich mit SNMPv3 leider schlechte Erfahrungen gemacht mit Aruba CX Firmwares (Stand 05/2023). Teilweise hat der Switch keine Traps gesendet. Daher nutze ich hier noch SNMPv2.

Aruba CX - SNMP Konfiguration
snmp-server vrf default
snmp-server system-location SYSTEM_STANDORT
snmp-server system-contact SYSTEM_KONTAKT
snmp-server community SNMPV2_READ_COMMUNITY

snmpv3 user USERNAME auth sha auth-pass plaintext AUTH_PASSWORD priv aes priv-pass plaintext PRIV_PASSWORT access-level rw
snmp-server host MACMON_IP trap version v2c community TRAP_COMMUNITY

Konfiguration für Radius

Folgend steht meine Basis Konfiguration für die Nutzung von Radius auf den Aruba CX mit macmon. Hier geht natürlich noch mehr. Falls Ihr noch wichtige oder nützliche Konfigurationen kennt, schreibt gerne einen Kommentar.

Aruba CX - Radius Konfiguration
# Radius Server und Key
radius-server host MACMON_IP key plaintext RADIUS_KEY

# Dot1x und MAC-Auth global aktivieren
aaa authentication port-access dot1x authenticator enable
aaa authentication port-access mac-auth enable

# Konfiguration pro Interface
interface 1/1/2
	# Reihenfolge MAC-Auth / Dot1x ändern. Default: dot1x mac-auth
	aaa authentication port-access auth-precedence mac-auth dot1x
	# Dot1x
	aaa authentication port-access dot1x authenticator 
		enable		
		cached-reauth
		cached-reauth-period 60 (default is 30sec)
		max-eapol-requests 1
		max-retries 1
		quiet-period 5
		discovery-period 10
		exit
	# MAC-Auth aktivieren	
	aaa authentication port-access mac-auth enable
	# Client pro Port setzen
	aaa authentication port-access client-limit 2
	# Timeout dot1x Antwort damit MAC-Auth schneller als Fallback genutzt wird. Dies habe ich in einigen Fällen benötigt.
	aaa authentication port-access dot1x authenticator initial-auth-response-timeout 10

Weitere Beiträge zum Thema Aruba CX und macmon

Tags

Andere Beiträge aus dieser Kategorie

Schreibe einen Kommentar

Kommentare werden nicht direkt angezeigt, da sie moderiert freigegeben werden.


Beliebte Beiträge

Sophos Firewall: Objektreferenz für Benutzer und Gruppen
Sophos Firewall Datenbank Tabellen
Sophos Firewall FQDN Objekt Import Generator
Sophos Firewall Host Objekt Import Generator (Powershell)
WordPress Cookie Plugin von Real Cookie Banner