用Fortigate讓mDNS跨網段

,

參考文章

前陣子同事的客戶把網段切開來,然後呢?然後AirPrint就找不到了。

AirPrint跟Airplay還是Chromecast都使用mDNS也屬於Multicast,Mutlicast在網路環境中,只適合小範圍使用,像是個人或是家庭環境,只有一個網段,設備數也不多,就不會造成驚人影響。

Multicast預設也作用於一個VLAN中,不會跨網段。

因此,如果要跨網段,就需要特別手法,先撇除很少用的組播。讓多播跨網段有兩種方法:Multicast Forwarding、mDNS repeater。

繼續閱讀 “用Fortigate讓mDNS跨網段”

ClearPass導入外部MAC List做認證

,

在做MAC認證時,經常會發生一種狀況,就是MAC清單要放在哪裡?如何管理?以及如何搭配驗證。

維護經常變動的MAC清單需要的是方便管理的平臺,像以圖形化介面提供簡易的操作。而MAC清單可以放置在許多伺服器上,一旦不與認證伺服器相同時,認證伺服器就需要從外部導入MAC清單。

若只以一次性轉移,認證伺服器的MAC清單會停留在最後一次操作的版本,無法實時更新。

因此,需要以某種方式與管理MAC清單的伺服器串接,認證伺服器在進行MAC驗證時,會從管理MAC清單的伺服器上取得最新MAC清單資訊。

繼續閱讀 “ClearPass導入外部MAC List做認證”

Aruba Controller External License Server FireWall Port

,

ArubaOS在六版與八版都能使用另外一台Controller當做外部License Server,如此會共享一個License Pool,全部License都是從外部License Server身上來,自身的就會變成反灰不做計算。

要記得,License Server會用Switch IP(System IP)去回,對於將Loopback當做System IP的控制器,需要確保兩邊以System IP可以路由互通。

繼續閱讀 “Aruba Controller External License Server FireWall Port”

Clearpass在Cluster架構下更換發佈者管理IP

,

最近客戶發現CPPM有兩個IP,一個是虛擬IP、一個是管理IP,而他們記錄上的IP是虛擬IP。如果是Cluster只是異地(跨網段)同步設定,是不需要做虛擬IP,總之就是現況,在接手之前就這樣。

因此客戶希望我們可以將管理IP換成記錄上的IP,並且不再使用虛擬IP。

繼續閱讀 “Clearpass在Cluster架構下更換發佈者管理IP”

Aruba AP與MD無法建立ISAKMP

, ,

在MM架構下,Controller稱為MD。一般使用MM架構,下方會部署兩台控制器。

客戶反應自己連不上,結果仔細看,是自己連的AP的Active Controller在MD1、Standby Controller 為0.0.0.0(理論上要在MD2),而他自己使用者是分到MD2。

透過「show ap client trail-info <MAC>」在MM上可以看到使用者斷線原因寫著「UAC DOWN」。(在MD1、MD2上使用相同指令看不到相同訊息)

因此判斷,是基於某種因素,導致AP可以跟MD1建立連線,而跟MD2無法建立連線。

繼續閱讀 “Aruba AP與MD無法建立ISAKMP”

Aruba OS 特定時段不提供的Wi-Fi

,

Aruba Wi-Fi可以在特定時段才廣播出來,這樣子可以避免非工作時間提供員工網路。

Aruba Wi-Fi的是採取Deny特定時段,因此再做時間範圍時,是設定不給使用Wi-Fi的時間。

一但到了不提供Wi-Fi時段,Wi-Fi仍會廣播出去,也就是能被終端設備掃描到,但是無法連上,已經連上的也會被踢出連線。

最後要注意NTP等校正時間設定要完成,萬一時間偏差太多,會出現意想不到的狀況發生。

繼續閱讀 “Aruba OS 特定時段不提供的Wi-Fi”

Aruba Central Gateway SDWAN

, ,

在Central架構中,Aruba Controller被稱為Gateway。而Central上的設定介面基本上依照本地端OS去設定,因此倍感親切,只要地端OS能設定,Central上大概都能設定。

SDWAN在AOS上,首先,地端AOS並沒有SDWAN。

SDWAN是Software-Defined Wide Area Network,前面兩字是最重要的,軟體要如何決定?肯定要有些指標在。

透過軟體設定指標,指標為狀態A時走WAN A,指標為狀態B時走WAN B。

除了軟體定義,還需要多個WAN介面(實體),只有單一WAN介面也不用特別設定。

SDWAN的組成: 多個WAN、指標、狀態與對應的WAN。
(如果要在單一WAN帶同網段不同IP出外網,要使用Policy帶NAT去進行,並且套用在WAN介面。這行為並不屬於SDWAN的範圍)

繼續閱讀 “Aruba Central Gateway SDWAN”

Aruba Instant AP 初始化流程

, , ,

在5XX系列之後,Aruba AP就只有Instant AP(IAP)一種類型,內有Instant OS,Instant OS可讓AP獨立運作(即Fat AP模式),不用加入Aruba OS控制器。

Aruba AP通常有兩個燈,分別為系統燈以及無線狀態燈,透過系統燈可以分辨AP處於開機中或是已經開機完成。這對於初始化AP是相當有幫助的。

繼續閱讀 “Aruba Instant AP 初始化流程”

目前趨勢

忘記行李後的心情低落
2017.9.23 學習了一個月的python歷程
臺鐵大誤點以及捲簾式快門
嘗試用Python爬蟲技巧抓混音音樂