Denne artikel indeholder en vejledning i brug af kommandolinjegrænsefladen (CLI) via et konsolkabel med USG FLEX, som også gælder for ATP- og VPN-firewall-modeller. Proceduren kan på samme måde anvendes på switche, som her demonstreres med XGS-Switch, samt professionelle access points såsom WAX510D. Den dækker valg af det rette konsolkabel, login og adgang til konsollen via applikationer som Putty og TeraTerm. Derudover indeholder den instruktioner om adgang til Web GUI CLI og brug af kommandoen `debug kernel console-level 8` til effektiv fejlfinding af genstart- og nedbrudsproblemer.

CLI (Command Line Interface): Command Line Interface er en tekstbaseret grænseflade, der bruges til at interagere med enheder. Kommandolinjegrænsefladen er en administrationsgrænseflade, der kan nås på flere måder, herunder SSH og seriel kabel-/konsolkabelforbindelse. CLI er populært blandt udviklere og systemadministratorer på grund af dets hastighed, præcision og fleksibilitet.

COM-port (kommunikationsport): En COM-port er en seriel kommunikationsgrænseflade på en computer, der ofte bruges til at tilslutte perifere enheder som mus, modemer eller anden hardware. Gennem COM-porte overføres data en bit ad gangen, ofte ved hjælp af RS-232-standarden. COM-porte er stadig vigtige i indlejrede systemer, robotik og kommunikation med ældre hardware.

Konsolkabel: er et specialkabel, der bruges til at oprette direkte forbindelse til en netværksenheds konsolport (normalt en router, switch eller firewall) for at konfigurere eller fejlfinde den. Det har typisk et serielt stik i den ene ende (ofte RS-232 eller USB) og et RJ-45-stik i den anden, hvilket muliggør kommunikation mellem enheden og en computer, der kører en terminalemulator (f.eks. PuTTY). Denne direkte forbindelse er afgørende for den indledende opsætning eller gendannelse, da den giver adgang til enhedens kommandolinjegrænseflade (CLI), selvom netværksforbindelserne endnu ikke er konfigureret.

Software

Du kan enten bruge en terminalkonsolsoftware som PuTTY eller TeraTerm. I denne vejledning bruger vi PuTTY til SSH og TeraTerm til konsolforbindelse. 

Ansvarsfraskrivelse: Vi har ingen tilknytning til hverken PuTTY eller TeraTerm og viser brugen af disse programmer til demonstrations- og læringsformål – brug af disse applikationer sker på egen risiko.

• Download PuTTY
• Download TeraTerm

Konsolkabel

USB-til-RS232	RJ-45-til-RS232	USB Type C til RJ-45	USB til TTL	db9-rs232

Generelt understøtter alle vores firewalls RJ-45-til-RS232- og USB- eller USB Type-C-til-RJ-45-kabler, afhængigt af modellen. Visse switch-modeller har RS232-, USB Type-C-til-RJ-45- eller USB-til-TTL-stik, afhængigt af modellen. Til adgangspunkter bruges der typisk et USB-til-TTL-stik. Se dog den specifikke dokumentation for din enhed for at bekræfte kompatibilitet og krav.

Til USG FLEX H-serien

Standardkonsolparameter, der gælder for alle enheder Hastighed: 115200 bps Databits: 8 Paritet: Ingen Stopbit: 1 Flowkontrol: Fra LAN1-grænseflade: 192.168.168.1/24 RJ-45 til DB-9 rollover-kabel-> Skift konsolkabelets pin-out til generelt

* USG FLEX H-konsolkabel er ikke kompatibelt med ATP/USG FLEX-seriens konsolkabel

Nyttige artikler om dette emne

• Zyxel Access Point [Konsol] - Sådan bruges konsolporten til Access Points
• USG FLEX H-serien [Firewall] – Korrekt konsolkabel og LED-indikation
• Zyxel Firewall [USGFLEX/ATP/VPN] - Opret en diagnostisk fil på ZLD Firewall

Nu hvor hardwaresiden er afklaret, lad os vende tilbage til softwaresiden.

Kabeldriver

I sidste ende kan det være nødvendigt at installere yderligere drivere, der følger med USB-til-RS232-kablet, eller at installere generiske drivere til applikationen. Når dette er gjort, kan du i de fleste tilfælde se en "COM"-grænseflade opført i din enhedsadministrator:

Når dette er gjort, skal du downloade TeraTerm via linket ovenfor og installere applikationen.

Tilslutning med TeraTerm

I TeraTerm bliver du bedt om at vælge indgangen – vælg den serielle indgang og vælg den COM-grænseflade, der tidligere blev vist i enhedshåndteringen. Sørg derefter for at gå ind i menuen Setup > Serial port.

I denne menu kan du indstille forskellige ting vedrørende kommunikationen via den serielle port. Vi er dog kun interesserede i hastigheden; resten forbliver som standard:

Standardkonsolparameter, der gælder for alle enheder Hastighed: 115200 bps Databits: 8 Paritet: Ingen Stopbit: 1 Flowkontrol: Fra LAN1-grænseflade: 192.168.168.1/24 RJ-45 til DB-9 rollover-kabel-> Skift konsolkabelets pin-out til generelt

Hastigheden måles i baud, og hastigheden kaldes også baudrate. Mange af vores switche har en standard baudrate på 9600, mens alle firewalls i vores portefølje og adgangspunkter har en baudrate på 115200. Vælg 115200 og klik på "New Setting" for at gemme indstillingerne, og tilbage i konsolmenuen (den sorte skærm) skal du trykke på en vilkårlig knap for at geninitialisere kommunikationen med den nye baudrate. Du kan derefter indtaste dit firewalls brugernavn og adgangskode (adgangskoden viser ingen tegn, når du skriver, så fortsæt blot med at skrive og tryk på "Enter", når du er færdig). Derefter bør du være logget ind på enheden, hvilket vil blive vist via 

Du kan begynde at indtaste forskellige CLI-kommandoer, som kan læses i CLI-referencevejledningen, der er tilgængelig via https://download.zyxel.com.

CLI-adgang via konsolkabel (ved hjælp af PuTTY)

Download puTTY via ovenstående link og start programmet. I feltet Hostname skal du indtaste IP-adressen på firewallen (normalt LAN1-grænsefladen, som som standard er192.168.1.1). Lad porten være 22, og lad også SSH være som standard som adgangsmetode, og bekræft ved at klikke på knappen "Open":

• Åbn Session -> Logging og juster logindstillingerne for at få en udskrift af de indtastede kommandoer. Hvis du ikke har ændret firewallens certifikat, vil du højst sandsynligt modtage denne advarselsmeddelelse.

Årsagen til dette er, at firewallen bruger selvoprettede nøglefingeraftryk samt selvunderskrevne certifikater. Men dette er ingen grund til bekymring; tillad at fortsætte ved at klikke på "Ja", "Accepter" eller lignende og fortsæt. Du bør derefter kunne logge ind som admin-brugernavn og adgangskoden til admin-kontoen (som standard 1234) og bør igen se et vellykket login ved at se denne linje:

Du kan begynde at indtaste forskellige CLI-kommandoer, som kan læses i CLI-referencevejledningen, der er tilgængelig via https://download.zyxel.com.

CLI-adgang via Web GUI (webgrænseflade)

Mange enheder, især vores firewall-portefølje, giver dig nu også mulighed for at få adgang til kommandolinjegrænsefladen via en webbrowser. For at gøre dette skal du logge ind på enheden og klikke på ikonet længst til venstre i den øverste ikonbjælke:

Dette giver dig adgang til enhedens CLI uden behov for yderligere software.

Hvilke enheder fungerer disse metoder på?

Disse metoder til at få adgang til CLI fungerer på næsten alle vores professionelle enheder, dvs. NWA/WAC/WAX-serien på adgangspunkter, (X)GS1350/1900/1920/1930/2210/2220/3800/4600 for switche og næsten hele vores nuværende ZyWall/USG/USG FLEX/ATP/VPN-portefølje. For de fleste enheder vil også deres forgængere fungere fint via CLI.

Bemærk: På grund af en manglende konsolforbindelse på AP'en er AP CLI'ens tilgængelighed begrænset til SSH.

Hvad kan jeg gøre med CLI?

CLI'en giver mulighed for mere detaljeret analyse og fejlfinding via relevante kommandoer. Men den tilbyder også nogle gode hurtige tjek, såsom pakkesporing, firmwareversioner af forskellige partitioner, visning af den aktuelt anvendte konfiguration osv. blandt mange andre kommandoer. Du kan se en liste over nyttige kommandoer lige her: Oversigt over nyttige CLI-kommandoer til USG-serien (Best Practice)

Fejlfinding af firewallen efter genstart/nedbrud

I tilfælde af fejlfinding på højt niveau kan du med meget enkle trin logge din konsoludgang i en tekstfil ved hjælp af skærmbilleder. Dette afsnit hjælper dig også med at oprette langvarig fejlfinding på Zyxel-firewalls.

Fejlfinding af USG FLEX H-serie-firewall

Fejlfindning af Firewall USG FLEX/ATP/VPN

Indtast de relevante kommandoer, indtast følgende kommando for fejlfindingslogfiler med høj profil:

debug kernel console-level 8

• Lad sessionen være åben, indtil du har logget den relevante trafik (i dette eksempel opstod der desværre ingen problemer, og derfor blev der ikke oprettet nogen log). Når du har registreret/gengivet problemet, og fejlfindingslogfilerne er blevet genereret, kan du analysere/undersøge og lukke PuTTY-sessionen:

• Nu kan du åbne den tekstfil, du har oprettet, og den vil vise dig alle indtastede kommandoer og resultater: