網路教學與日常學習
網路教學與日常學習
透過無線存取NAS,只能使用單一空間流的速率,無法發揮無線多空間流堆疊起來的速率比1Gbps有線網卡還快的優勢。
只能使用單一空間流,最棒的場景還是使用6GHz頻道,並且開上160MHz。如果有Wi-Fi 7加上6GHz並使用寬度320MHz,單一空間流就能達到驚人的2882Mbps。即使加上其他因素減損一半(把單工無線傳輸切成雙工傳輸時間),仍舊可以吃滿1Gbps有線速率。
不過Wi-Fi 7跟寬度320MHz還是太夢幻了,要換完這些設備,沒個一兩萬跑不掉。更何況Wi-Fi 7還沒實裝,還是老實做個Wi-Fi與乙太網路橋接,省下換設備的錢比較實在。
Airwave在日常維運時,會想將一些客戶端標誌起來,這些客戶端設備可能是重要設備或是已知設備,藉此方便觀察與管理。
如果只有MAC跟IP,這對於查找過去資訊是不夠方便的,因此命名是能幫助管理員快速辨識設備。
Airwave能蒐集資料,但是各項資料都有其清除間隔,所以在倒回過去的備份檔時,可能會因為來不及做完就被定期清理給刪去資料。
在事後要調出過去的資料時,如果把Airwave時間調到當下,就能延緩被清理掉的部分。
Aruba CX Switch在Port-access設定時,一般來說支援802.1x會嘗試去送驗證,而沒有送802.1x訊息的則改用MAC驗證。
正常情況下,網路線一接上,介面起來,終端設備就會嘗試傳送資料,進而得到終端設備MAC資訊。
而在設定Aruba CX Switch的Port-Access時,驗證順序應該是先dot1x再MAC,不過設了驗證順序之後,會發現終端設備卡在dot1x太久,沒有做到MAC驗證。
客戶還是我們在整理設備資訊時,通常都是放在Excel上。而ClearPass Static Host List吃的是xml檔案,就無法直接匯入。
ClearPass Static Host List MAC列表只有兩個欄位,第一欄是MAC位置,第二欄是描述。而MAC格式是取決於NAS設備送來的MAC格式。如果預設是小寫、「:」分隔,在這邊就建議也使用一樣的格式。
發現門禁讀卡機經過存取驗證之後,透過ClearPass Downloadable User Role分派對應VLAN與權限,過一陣子之後,在CX Switch上,「show port-access clients」,居然消失了。
這導致在一開始可以上線,Ping得通,但是,之後就因為VLAN回到Untag VLAN,導致失聯。
MAC隨機化是一個增加安全性的做法,但是對於MAC認證來說,是一個天大的災難。
BYOD要是一直變化MAC,除了造成管控上的困難,還會造成MAC認證失靈。
一般來說,BYOD 是需要透過註冊的,但是使用者未必注意到自己是不是有使用MAC隨機化,可能導致輸入的MAC或是日後裝置的MAC改變。
客戶傳一張圖片說Aruba Controller突然無法使用瀏覽器開啟WebUI,一開始我以為是TLS11.0、1.1、1.2等級的問題,提出可以升級的需求。
後面發現,從六升到八版本後,還是無法解決瀏覽器(Chrome)開啟WebUI的問題,看提示,是「憑證」的議題。
Windows NPS(Network Policy Server)是Microsoft Windows Server中的一個角色,用於提供網絡訪問控制和身份驗證服務。
在AAA架構中,NPS屬於RADIUS Server,而現在主流的驗證方法PEAP-MSCHAPv2中Server必須提供憑證,否則Client會拒絕繼續驗證。
Aruba Local Management Switch(LMS)是一項功能,通常用於異地的Controller群,在AP與本地Controller群失聯時,AP會轉向異地Controller群報到,持續提供功能。
因此,LMS通常用於異地備援架構,如果有MM的話,就不需要使用LMS,被MM納管建Cluster就能簡單地做到負載平衡的備援架構。
使用LMS不常見,還是某些場景還是會用到的。
額外參考: https://arubase.club/archives/7019?btwaf=98220208
一般正常情況之下,FortiClient VPN是不會有FortiSSLVPNclient這程式,若要像參考文章中使用指令,需要透過登入FortiCloud,從Firmware Image下載FortiClient Tools。
前陣子同事的客戶把網段切開來,然後呢?然後AirPrint就找不到了。
AirPrint跟Airplay還是Chromecast都使用mDNS也屬於Multicast,Mutlicast在網路環境中,只適合小範圍使用,像是個人或是家庭環境,只有一個網段,設備數也不多,就不會造成驚人影響。
Multicast預設也作用於一個VLAN中,不會跨網段。
因此,如果要跨網段,就需要特別手法,先撇除很少用的組播。讓多播跨網段有兩種方法:Multicast Forwarding、mDNS repeater。