Dieser Artikel enthält eine Anleitung zur Verwendung der Befehlszeilenschnittstelle (CLI) über ein Konsolenkabel mit dem USG FLEX, die auch für ATP- und VPN-Firewall-Modelle gilt. Das Verfahren lässt sich in ähnlicher Weise auf Switches anwenden, wie hier am Beispiel des XGS-Switch gezeigt, sowie auf professionelle Access Points wie den WAX510D. Es behandelt die Auswahl des geeigneten Konsolenkabels, die Anmeldung und den Zugriff auf die Konsole über Anwendungen wie Putty und TeraTerm. Darüber hinaus enthält es Anweisungen zum Zugriff auf die Web-GUI-CLI und zur Verwendung des Befehls `debug kernel console-level 8`, um Probleme mit Neustarts und Abstürzen effektiv zu beheben.

CLI (Command Line Interface): Die Befehlszeilenschnittstelle ist eine textbasierte Schnittstelle zur Interaktion mit Geräten. Die Befehlszeilenschnittstelle ist eine Verwaltungsschnittstelle, die auf verschiedene Weise erreicht werden kann, darunter über SSH und eine serielle Kabel-/Konsolenverbindung. Die CLI ist bei Entwicklern und Systemadministratoren wegen ihrer Geschwindigkeit, Präzision und Flexibilität beliebt.

COM-Port (Kommunikationsport): Ein COM-Port ist eine serielle Kommunikationsschnittstelle an einem Computer, die üblicherweise zum Anschluss von Peripheriegeräten wie Mäusen, Modems oder anderer Hardware verwendet wird. Über COM-Ports werden Daten bitweise übertragen, häufig unter Verwendung des RS-232-Standards. COM-Ports sind nach wie vor unverzichtbar in eingebetteten Systemen, der Robotik und bei der Kommunikation mit älterer Hardware.

Konsolenkabel: Ein spezielles Kabel, das zum direkten Anschluss an den Konsolenport eines Netzwerkgeräts (in der Regel ein Router, Switch oder eine Firewall) verwendet wird, um dieses zu konfigurieren oder Fehler zu beheben. Es verfügt typischerweise an einem Ende über einen seriellen Anschluss (oft RS-232 oder USB) und am anderen Ende über einen RJ-45-Anschluss, wodurch die Kommunikation zwischen dem Gerät und einem Computer mit einem Terminalemulator (z. B. PuTTY) ermöglicht wird. Diese direkte Verbindung ist für die Ersteinrichtung oder Wiederherstellung unerlässlich, da sie den Zugriff auf die Befehlszeilenschnittstelle (CLI) des Geräts ermöglicht, selbst wenn die Netzwerkverbindungen noch nicht konfiguriert sind.

Software

Sie können entweder eine Terminal-Software wie PuTTY oder TeraTerm verwenden. In diesem Tutorial verwenden wir PuTTY für SSH und TeraTerm für die Konsolenverbindung. 

Haftungsausschluss: Wir stehen in keiner Verbindung zu PuTTY oder TeraTerm und stellen die Verwendung dieser Programme zu Demonstrations- und Lernzwecken vor – die Nutzung dieser Anwendungen erfolgt auf eigene Gefahr.

• PuTTY herunterladen
• TeraTerm herunterladen

Konsolenkabel

USB-zu-RS232	RJ-45-zu-RS232	USB Typ C auf RJ-45	USB-zu-TTL	DB9-RS232

Im Allgemeinen unterstützen alle unsere Firewalls RJ-45-zu-RS232- sowie USB- oder USB-Typ-C-zu-RJ-45-Kabel, je nach Modell. Bestimmte Switch-Modelle verfügen je nach Modell über RS232-, USB-Typ-C-zu-RJ-45- oder USB-zu-TTL-Anschlüsse. Bei Access Points wird in der Regel ein USB-zu-TTL-Anschluss verwendet. Bitte lesen Sie jedoch die spezifische Dokumentation zu Ihrem Gerät, um Kompatibilität und Anforderungen zu überprüfen.

Für die USG FLEX H-Serie

Standard-Konsolenparameter, gültig für alle Geräte Geschwindigkeit: 115200 bps Datenbits: 8 Parität: Keine Stoppbit: 1 Flusskontrolle: Aus LAN1-Schnittstelle: 192.168.168.1/24 RJ-45-zu-DB-9-Rollover-Kabel-> Pinbelegung des Konsolenkabels auf Standard ändern

* Das USG FLEX H-Konsolenkabel ist nicht mit Konsolenkabeln der ATP/USG FLEX-Serie kompatibel

Nützliche Artikel zu diesem Thema

• Zyxel Access Point [Konsole] – So verwenden Sie den Konsolenport für Access Points
• USG FLEX H-Serie [Firewall] – Richtiges Konsolenkabel und LED-Anzeige
• Zyxel-Firewall [USGFLEX/ATP/VPN] – Erstellen einer Diagnosedatei auf der ZLD-Firewall

Nachdem nun die Hardware-Seite geklärt ist, wenden wir uns wieder der Software-Seite zu.

Kabeltreiber

Möglicherweise müssen Sie zusätzliche Treiber installieren, die im Lieferumfang des USB-zu-RS232-Kabels enthalten sind, oder generische Treiber für die Anwendung installieren. Sobald dies erledigt ist, sehen Sie in den meisten Fällen in Ihrem Gerätemanager eine „COM“-Schnittstelle aufgeführt:

Laden Sie anschließend TeraTerm über den oben angegebenen Link herunter und installieren Sie die Anwendung.

Verbindung mit TeraTerm

In TeraTerm werden Sie aufgefordert, den Eingang auszuwählen – wählen Sie den seriellen Eingang und die zuvor im Gerätemanager aufgeführte COM-Schnittstelle. Rufen Sie anschließend das Menü „Setup > Serial port“ auf .

In diesem Menü können Sie verschiedene Einstellungen für die Kommunikation über den seriellen Anschluss vornehmen. Uns interessiert jedoch nur die Geschwindigkeit; der Rest bleibt auf den Standardwerten:

Standard-Konsolenparameter für alle Geräte Geschwindigkeit: 115200 bps Datenbits: 8 Parität: Keine Stoppbit: 1 Flusskontrolle: Aus LAN1-Schnittstelle: 192.168.168.1/24 RJ-45-zu-DB-9-Rollover-Kabel-> Pinbelegung des Konsolenkabels auf Standard ändern

Die Geschwindigkeit wird in Baud gemessen und wird auch als Baudrate bezeichnet. Viele unserer Switches haben eine Standard-Baudrate von 9600, während alle Firewalls aus unserem Portfolio und Access Points eine Baudrate von 115200 haben. Wählen Sie 115200 und klicken Sie auf „New Setting“, um die Einstellungen zu speichern. Kehren Sie anschließend zum Konsolenmenü (dem schwarzen Bildschirm) zurück und drücken Sie eine beliebige Taste, um die Kommunikation mit der neuen Baudrate neu zu initialisieren. Sie können dann den Benutzernamen und das Passwort Ihrer Firewall eingeben (das Passwort wird während der Eingabe nicht angezeigt; tippen Sie einfach weiter und drücken Sie „Enter“, sobald Sie fertig sind). Anschließend sollten Sie bei dem Gerät angemeldet sein, was durch 

Sie können nun verschiedene CLI-Befehle eingeben, die Sie im CLI-Referenzhandbuch nachlesen können, das unter https://download.zyxel.com verfügbar ist.

CLI-Zugriff über Konsolenkabel (mit PuTTY)

Laden Sie PuTTY über den obigen Link herunter und starten Sie die Anwendung. Geben Sie im Feld „Hostname“ die IP-Adresse der Firewall ein (in der Regel die LAN1-Schnittstelle, die standardmäßig192.168.1.1 lautet). Belassen Sie den Port auf 22 und wählen Sie als Zugriffsmethode standardmäßig SSH. Bestätigen Sie durch Klicken auf die Schaltfläche „Open“:

• Öffnen Sie „Session“ -> „Logging“ und passen Sie die Protokollierungseinstellungen an, um eine Ausgabe der eingegebenen Befehle zu erhalten. Sofern Sie das Zertifikat der Firewall nicht geändert haben, erhalten Sie höchstwahrscheinlich diese Warnmeldung.

Der Grund dafür ist, dass die Firewall selbst erstellte Schlüssel-Fingerabdrücke sowie selbstsignierte Zertifikate verwendet. Dies ist jedoch kein Grund zur Sorge; erlauben Sie den Vorgang, indem Sie auf „Ja“, „Akzeptieren“ oder Ähnliches klicken und fortfahren. Sie sollten sich dann mit dem Admin-Benutzernamen und dem Passwort des Admin-Kontos (standardmäßig 1234) anmelden können und sollten erneut eine erfolgreiche Anmeldung sehen, indem folgende Zeile angezeigt wird:

Sie können nun verschiedene CLI-Befehle eingeben, die Sie im CLI-Referenzhandbuch nachlesen können, das unter https://download.zyxel.com verfügbar ist.

CLI-Zugriff über die Web-GUI (Web-Schnittstelle)

Viele Geräte, insbesondere unser Firewall-Portfolio, ermöglichen Ihnen nun auch den Zugriff auf die Befehlszeilenschnittstelle über einen Webbrowser. Melden Sie sich dazu am Gerät an und klicken Sie auf das Symbol ganz links in der oberen Symbolleiste:

Dadurch können Sie ohne zusätzliche Software auf die CLI des Geräts zugreifen.

Auf welchen Geräten funktionieren diese Methoden?

Diese Methoden für den Zugriff auf die CLI funktionieren auf fast allen unseren professionellen Geräten, d. h. auf Access Points der NWA/WAC/WAX-Serie, (X)GS1350/1900/1920/1930/2210/2220/3800/4600 bei Switches sowie fast unser gesamtes aktuelles ZyWall/USG/USG FLEX/ATP/VPN-Portfolio. Bei den meisten Geräten funktionieren auch deren Vorgängermodelle problemlos über die CLI.

Bitte beachten Sie: Da am AP keine Konsolenverbindung vorhanden ist, ist der Zugriff auf die AP-CLI auf SSH beschränkt.

Was kann ich mit der CLI machen?

Die CLI ermöglicht eine detailliertere Analyse und Fehlerbehebung über entsprechende Befehle. Sie bietet aber auch einige praktische Schnellprüfungen, wie z. B. Paketverfolgung, Firmware-Versionen verschiedener Partitionen, Anzeige der aktuell angewendeten Konfiguration usw., neben vielen anderen Befehlen. Eine Liste hilfreicher Befehle finden Sie hier: Übersicht über hilfreiche CLI-Befehle für die USG-Serie (Best Practice)

Fehlersuche an der Firewall nach Neustart-/Absturzproblemen

Für komplexere Debugging-Fälle können Sie in wenigen einfachen Schritten Ihre Konsolenausgabe in einer Textdatei protokollieren, unterstützt durch Screenshots. Dieser Abschnitt hilft Ihnen auch dabei, ein langfristiges Debugging auf Zyxel-Firewalls einzurichten.

Debugging der Firewall der USG FLEX H-Serie

Debuggen der Firewall USG FLEX/ATP/VPN

Geben Sie die entsprechenden Befehle ein. Geben Sie den folgenden Befehl für Debug-Protokolle mit hohem Detailgrad ein:

debug kernel console-level 8

• Lassen Sie die Sitzung offen, bis Sie den entsprechenden Datenverkehr protokolliert haben (in diesem Beispiel traten leider keine Probleme auf, daher wurde kein Protokoll erstellt). Nachdem Sie das Problem erfasst/reproduziert haben und die Debug-Protokolle generiert wurden, können Sie diese analysieren/untersuchen und die PuTTY-Sitzung schließen:

• Nun können Sie auf die von Ihnen erstellte Textdatei zugreifen, die Ihnen alle eingegebenen Befehle und Ergebnisse anzeigt: