網路教學與日常學習
網路教學與日常學習
能遠就不要近,能透過網路遠端連線,就不要近端接Console線,這是一個在這行工作省工的訣竅。
在上一篇《Aruba CX Switch Mirror 實踐與設定大全》中,已經講解各種Mirror,如今,為了除錯需求,又希望能夠遠端收集就好,就需要更好的技術去實踐。
Remote Mirror是個很好用的除錯技能,能堅持住「能遠不要近」的名言,畢竟有些重鎮,出入都很麻煩,交通也花時間,所以,要繼續探討Remote Mirror的使用技巧。
本篇會以搭配Wireshark去實作。
將會使用筆電,精確抓包,並透過Remote Mirror去導出流量到筆電,筆電也精確過濾,確保我們收集的都是想要的量。※ Wireshark在大流量時,收錄會缺失。
繼續閱讀 “Aruba CX Switch Remote Mirror 使用訣竅”上一篇文章《Aruba ClearPass Guest從LDAP中驗證Sponsor mail是否存在(20250826發現流程有誤) – JN的電腦網路日常》發布後,過一陣子,發現好像不是這麼一回事。近來工作繁雜,這一陣研究就停擺,交給其他同事進行。趁這陣子有空的時候,鑽研到最準確的樣子。
ClearPass Guest 可以設定 LDAP Server,意即 ClearPass Guest 要填的欄位是可以透過 LDAP 查詢去檢驗,如 Sponsor Mail 是否存在於 LDAP 中。
一個Mail是否存在於所有或特定User的Mail?是可以透過指令查詢,因此,用於 ClearPass Guest 上也會是可行的。
本文將會詳細解說 ClearPass Guest 與 LDAP 要如何搭配。
繼續閱讀 “Aruba ClearPass Guest 從 LDAP 中驗證Sponsor mail是否存在 – 詳細攻略”將企業員工資訊放在雲端目錄上,除了可以享受雲端提供商的HA,另外還能更方便與其他應用程式整合,透過SSO可以暢行各種應用程式使用。
AD出狀況後,由於AD是所有身份驗證的核心,因此整個企業網路都會受到影響。
Azure AD就是一個雲端AD方案,不過雲端與地端不同,ClearPass傳統將AD作為驗證源就無法使用,AD無法作為驗證源,也意味著企業員工電腦也可能沒有加入網域,這會造成無法走最常見的驗證方法,也需要透過其他條件去確定是連線裝置是否為企業設備。
本文將教學如何設定 Aruba ClearPass 利用 Azure AD Social Login辨識身份。
繼續閱讀 “Aruba ClearPass 整合 Azure AD 做網路驗證”關於要規劃 High Availability (HA) 時,突然冒出一個 Gateways 「N+1」的說法,但是習慣上都規劃 Gateways 「2N」,N為AP數目,然後有一些討論。
後面有釐清兩者的差別,確認這些說法是如何來,本文將描述為何有差異,要如何規劃。
繼續閱讀 “ArubaOS 8 與 10 Cluster Plan 差異 – 2N v.s. N+1”先前在做 Guest Wi-Fi 的時候,為了讓 Guest 走獨立外線,因此搭配 Policy Based Routing (RBR) ,然後就造成外部Captive Portal無法跳出來。
HPE Aruba Captive Portal 運作原理:會將Client連線測試網站時,介入,然後再轉導到對應的Captive Portal。
這是怎麼去介入的?由Policy去接入。
而PBR可能會影響這個過程,因此在PBR將特定流量丟往特定下一跳前,需要先開往「controller」走正常路由,才能被正常Redirect到Captive Portal。
繼續閱讀 “HPE Aruba Captive Portal 搭配 Policy Based Routing (PBR) 要如何設定?”通常在無線網路驗證時,還可以使用Wi-Fi去對應預設VLAN。
不過有線網路驗證時,Aruba Gateway 送出的 RADIUS Request訊息中,預設是不會帶VLAN的。如果是Trunk Port,那麼,預設值就沒有辦法針對各VLAN去做不同驗證。
經過調整,可以讓Gateway送出RADIUS Request包含VLAN,本文會教學如何進行。
繼續閱讀 “ArubaOS 新增RADIUS認證時送出的屬性 – 傳送使用者VLAN給AAA Server”根據上篇文章《2.4GHz頻道自動選擇(1,6,11 or 1-11)與頻道使用率 – JN的電腦網路日常》
講到在2.4GHz環境之下,Aruba使用自動選擇頻道並且全開放,是更能夠比只用1,6,11更少干擾。
不過若是高密度環境或是SSID數量眾多之下,由於無線是單工傳輸模式,此時空氣就像一條有進行人流管制的橋樑,傳輸就會更多機會等待,造成服務品質下降。
橋面寬度如頻道寬度,在2.4GHz基本是使用20MHz,5GHz主流為80MHz,此外,5GHz可使用的頻道數也比2.4GHz更多,因此,通常會推薦想要高速使用網路就要使用5GHz頻道。(當然現在6GHz是更好更優秀的)
不過2.4GHz還是會使用,因為2.4GHz兼容性更好以及IoT設備可能只支援單頻2.4GHz。
倘若無線頻道使用率過高,倘若什麼都不做就已經高達50%以上,此時會嚴重影響無線體驗。
(要能看到無線頻道使用率,AP通常就要商用或是企業級別。)
就需要進行優化,降低無線頻道使用率,提高無線服務品質。
繼續閱讀 “Wi-Fi 無線頻道使用率優化”通常會先檢查兩端點設備的Policy,因為這是最容易發生阻擋的部分。
在除錯的階段,我們有好幾招可以使用,這次會使用「從底而上」。
同網段內設備,如果是Isolate,也就是PrivateVLAN,會連同VLAN的ARP與MAC都看不到。這是適用於飯店業的設定,一般通常不會用。
兩個端點設備的熟人都確認過端點設備的Policy無擋,那就會看過程中的設備。
Aruba Gateway <=L2=> Switch <=L2=> Firewall,L2意味著同VLAN。
若是兩端點都看得到彼此MAC與ARP的話,那可能是什麼問題?
繼續閱讀 “20250828 – 同網段內設備,VLAN、MAC、ARP都有通,兩端點Policy都有開,但Ping不到!?”
最近再次規劃機房搬遷案,由於需要更換核心交換器,各VLAN Gateway IP都在舊核心交換器上,到時,新舊並行,Endpoint ARP紀錄中Gateway IP對應的MAC就要從舊核心交換器變成新核心交換器,才能讓網路體驗不中斷。
萬一Endpoint 的ARP沒有順利轉換,這樣Endpoint仍會把跨網段封包丟往舊核心交換器上,直到ARP Cache被清除或是得到新Gateway IP設備的ARP回應之前,Endpoint都是無網際網路能力,過程約在數秒或是分鐘。
之前在做L3切換時,有先預期到以上狀況,實際卻沒有發現有太大異狀,Endpoint有順利更新ARP中的Gateway IP,這是由於Gratuitous ARP作用。
Gratuitous ARP – Definition and Use Cases – Practical Networking .net
CX Switch的IP異動或是啟用時,會發出GARP去宣告變化後IP的MAC(即為CX Switch),讓Endpoint可以更新ARP,可以避免等到ARP過期才更新。
繼續閱讀 “切換 Gateway IP 到 CX Switch 與Gratuitous ARP”這幾週發生一些狀況,雖然Fortigate不是我的主要負責項目,但是還是有蠻多機會可以碰到。
Fortigate SDWAN在多外線的場域,就會使用到,算蠻常見的。
為了更瞭解Fortigate,好讓狀況發生時不要把我Call,所以決定好好研究一番
總之,如果想讓流量透過SDWAN去選擇最佳外線,就要把對應的Static Route指到SDWAN,於是最佳配置就是Default Route指到SDWAN。
繼續閱讀 “Fortigate SDWAN設定概念與路由選擇理解”列出CX Switches:6000, 6100, 6200, 6300, 6400, 8100, 8320, 8325, 8360, 8400, 9300, 10000的MAC Address Table與ARP Table數目,以及資料來源。
可供資料參考使用。
| 型號 | MAC Address Table 大小 | 模式 |
| 6000 | 8192 | Default |
| 6100 | 8192 | Default |
| 6200 | 32768 | Default |
| 6300 | 32768 | Default |
| 6400 | 32,768 212,992 | Default 最高擴充上限 |
| 8100 | 147,456 | Default |
| 8320 | 98,304 | Default |
| 8325 | 98,304 | Default |
| 8360 | 212,992 | Default |
| 8400 | 768,000 | Default |
| 9300 | 81,920 32,768 | Default Unidimensional for Spine |
| 9300S | 48K | Default |
| 10000 | 98304 | Default |
| 型號 | ARP Table 大小 | 模式 |
| 6000 | 1024 | Default |
| 6100 | 1024 | Default |
| 6200F&M | 8192 | Default |
| 6300F&M | 49152 | Default |
| 6400 | 49152 163840 | Default 最高擴充上線 |
| 8100 | 65636 | Default |
| 8320 | 120,000 | Default |
| 8325 | 120,000 | Default |
| 8360 v2 | 145,780 | Default |
| 8400 | 756,000 | Default |
| 9300 | 65,536 1,269,760 | Default Unidimensional for Spine |
| 9300S | 96K 262K | Default for Spine |
| 10000 | 120,000 | Default |
上一篇文章只有寫到如何簡單設定,這一篇會繼續延伸,把HPE Aruba CX Switch Mirror各種方式寫出來。同時也修正一些誤解,建議只看此篇就能得到所有答案。
Mirror是把特定流量複製,並且往特定輸出介面拋出。接上特定介面的設備就能收錄到正常流量的鏡像檔,然後就能進行流量分析。
最近在工作上碰到Mirror的案例,發現有時候規劃者思路沒有做到Mirror流量與正常流量分離。由於Mirror的流量是一模一樣,萬一混入正常流量的線路,會變成重覆封包。
為了簡化與避免風險,Mirror建議額外使用獨立線路。避免Mirror輸出被重覆收錄到。
Aruba CX Switch Mirror 設定 – JN的電腦網路日常
繼續閱讀 “Aruba CX Switch Mirror 實踐與設定大全”