有些時候會用到TFTP Client,但是預設是將此功能關閉。於是利用python去進行TFTP Download的傳輸,方便電腦可以去撈TFTP Server上的資料。
Python程式碼跟使用auto-py-to-exe打包後的獨立執行檔都放在我的Github。
注意: 由於Windows防火牆會預設阻擋,需要在設定中允許.exe可以通過防火牆,才能正常使用。
JN的電腦網路日常
網路教學與日常學習
JN的電腦網路日常
網路教學與日常學習
Aruba ClearPass 單一使用者帳號同時只能使用兩個設備連上無線網路
A single user account can only be used on two devices at the same time to connect to the Wi-Fi network.
這個構想相當常見,但卻沒那麼簡單,下面會講到要如何實踐這需求的關鍵知識。
- 需經帳密認證才能存取的無線網路,並且啟用RADIUS Accounting功能。
- 具備RADIUS Accounting功能的RADIUS Server
- 能查詢RADIUS Accounting資料庫作為授權(Authoritzation)的RADIUS Server
- 支援 RADIUS Change of Authorization(CoA) 功能的無線網路與RADIUS Server
功能運作流程:
將使用者透過帳密連線無線網路時,認證伺服器會去查詢目前計量中使用該帳號正在連線的數量,如果在特定值之下則認證通過,反之拒絕。
通過認證後,設下配置,之後若偵測到該使用者的連線數大於特定值,則透過RADIUS CoA讓其一設備連線中斷。被中斷連線的設備將因使用者連線數大於特定值而無法馬上通過驗證,除非有使用者帳號的連線數下降。
Aruba ClearPass 訪客自註冊後自動登入
Aruba ClearPass 有項經典常用功能,就是能提供訪客自註冊網頁,後續可以自動啟用訪客帳號或是經由擔保人啟用,然後訪客就會以訪客帳號登入成功。
因為ClearPass自由度很高,所以也有拿訪客自註冊網頁去改成自己公司想要的樣子,一旦經常使用,就會想要註冊後能自動登入,可以便民。
無線與有線網路測速之差異
結論
無線網路相比有線網路受到更多因子影響,導致實際的無線速率相比理論數值有一大段落差,這是「正常」現象,並非是無線設備的問題。
以下是無線速率比有線速率慢的主要原因:
- 無線傳輸使用更多CPU計算
- 無線訊號傳輸的介質(空氣)並沒有受到保護屏蔽而易受干擾
- 無線傳輸使用天線收發訊號,因此天線組數目,距離遠近都會明顯影響速率表現
- 無線傳輸是半雙工而有線傳輸是全雙工
- 測速只使用一Session,無法發揮無線傳輸的空間多工特性
一個合理的無線速率應落在理論值七成左右,隨著理論值越高,合理速率成數越低。
峰值速率越高,對於無線傳輸的負荷與使用體驗都會有所改善。這幾年對外頻寬速率更上一階,家用300Mbps、商用1Gpbs,更換設備提升WiFi等級能享用更便捷的無線體驗。
Aruba CX 6100系列
以下是使用AI助理的介紹
Aruba CX Switch介紹
Aruba CX Switch系列是由惠普企業公司旗下的Aruba所設計的高效能、高效率且智慧型的網路交換機。這些交換機非常適合現代化的網路環境,提供可擴充性、可靠性和安全性。
Aruba CX Switches交換機以其設計的目的性來滿足今日數位工作場所不斷增長的需求。它們具有智慧自動化、內建安全性和簡化管理等先進功能,非常適合各種規模的企業使用。
Aruba CX Switches交換機的一項傑出特點是其可程式化和自動化能力。它們可以輕鬆整合Aruba的網路管理解決方案─Aruba Central,讓網路管理員能夠集中管理和監控整個網路基礎架構。這種自動化水平不僅簡化了網路運營,還提升了網路性能和效能。
在安全性方面,Aruba CX Switches交換機提供全面的網路保護。它們具有整合的基於角色的存取控制(RBAC),強大的身份驗證方式和強大的網路分段能力。這確保只有獲授權的使用者和裝置能夠存取特定資源,降低網路遭受攻擊的風險。
相較於上一代的2XXX系列與3XXX系列,Aruba這一代交換器6XXX系列與8XXX系列是CX OS,CX版本最主要的特色是能使用Python Script,幫助蒐集資訊跟操作。
Aruba Conductor(Master) Redundancy
在AOS8版中,Aruba Controller架構主要是Standalone和Mobility Conductor(Master)。
MM架構會有台虛擬機Mobility Conductor,負責管理控制器群,藉此形成Cluster,然後達到High Available。
Standalone架構是控制器自行管理,如果有多台控制器要做HA,就是啟動Master Redundancy。
搭配Network Policy Server(NPS)做到一帳號一設備限制
在進行802.1X認證時,並無法在Aruba Controller上設定一個帳號能同時讓幾台設備使用。
如果要做限制,只能在Radius Server上去限制,而Radius Server就要能判斷使用人數。
在管控嚴格的網路環境,會希望能夠讓控管設備使用,最嚴謹的是加入Active Directory(AD)的Windows設備,才能使用內部網路。不過最嚴謹的做法,卻會失去一些彈性,那如果還沒加入AD的設備,是不是就不能使用無線網路去加入AD?
客戶會希望保持彈性跟嚴謹,這是近年越來越常見的要求。如果要高度自定義的認證環境,Aruba ClearPass是非常頂尖的產品,基本上能做到大部分認證需求。如果沒有的話,還能用NPS蹭一下。
使用Certutil檢測一張憑證的註銷狀態
在Windows中,cmd,使用指令「certutil -url <cert path>」,可以從該憑證中抓取資訊,像是AIA、CRL、OCSP等,然後檢查該憑證的狀態,是否被註銷等。
SCP Server – MobaSSH
如何讓Windows當SCP Servder?使用MobaSSH。
AI總結
使用MobaSSH讓您的Windows機器成為SCP服務器,您需要遵循幾個簡單的步驟,包括下載MobaSSH、創建SSH用戶、安裝並啟動服務。重要注意事項包括檢查防火牆設置、禁用臨時帳戶以及卸載軟件。
MobaSSH是一個很棒的工具,特別適用於需要在互聯網上安全傳輸文件的用戶。使用正確的設置,該軟件易於使用且非常安全。按照上面概述的步驟,您可以在Windows機器上快速設置SCP服務器。
在安裝MobaSSH時,請務必檢查防火牆設置,以確保軟件不會被阻擋。您還需要創建SSH用戶,只需按照提供的說明進行即可。用戶創建完成後,您可以安裝並啟動服務,開始安全地傳輸文件。
為確保服務器的安全性,請採取一些措施,包括禁用臨時帳戶以及在使用完畢後卸載軟件。通過這些簡單的預防措施,您可以使用MobaSSH創建一個安全可靠的SCP服務器。
從內部訪問對外服務無法使用
當使用者在公司內部網路,嘗試訪問外部服務時,有時會遇到無法連線的問題。這可能是由於公司防火牆或網路設定所造成的問題。
以下是一些可能的原因和解決方案:
- 防火牆設定:公司防火牆可能會限制哪些連接可以從內部網路連接到外部網路。如果訪問某個外部服務被防火牆阻擋,可以嘗試聯繫公司的 IT 支援團隊,請求他們開放所需的端口或網域名稱,以允許使用者訪問外部服務。
- DNS 設定:DNS 是將網域名稱轉換為 IP 位址的協議。如果公司內部 DNS 設定不正確,使用者可能無法訪問外部服務。可以嘗試將 DNS 設定更改為公共 DNS 伺服器,例如 Google DNS 或 Cloudflare DNS。
- 代理設定:公司可能使用代理伺服器來監視和控制使用者對外部服務的訪問。如果代理設定不正確,使用者可能無法訪問外部服務。可以嘗試檢查代理設定是否正確,或者嘗試更改代理設定以解決問題。
- 網路設定:如果網路設定不正確,使用者可能無法訪問外部服務。可以嘗試重新啟動網路設備,例如路由器或交換機,以解決問題。
如果以上方法都無法解決問題,可以嘗試聯繫公司的 IT 支援團隊,請他們協助解決問題。
(以上為AI生成)
不過我們就是IT人員😂,是被聯繫的,所以要懂得更多。
先說個NAT,
Network Address Translation
NAT是「網路位址轉換」(Network Address Translation)的縮寫,是一種網路協議,用於將私有網路的IP位址轉換為公共網路上的IP位址,以實現多個設備共享一個公共IP位址的目的。
由於要讓服務對外,會讓位於內部伺服器的IP位置去對應一個外部IP位置。連到對應的外部IP位置,透過NAT,就能存取內部伺服器。
如果人在內部,訪問伺服器服務直接找伺服器IP會比較有效率。因此會做內部外部的差異化,也就是內部、外部DNS差異。
同樣是mail,在公司內部解析是內部IP,在外部解析是外部IP。一旦解錯了會怎樣?
使用者連線服務的外部IP,然後因為是內對外,因此防火牆或路由器沒有做目的地轉換,接著防火牆或路由器會發現外部IP不在ARP表內,因此廣播ARP,卻得不到回應,然後就使用者IP位置無法路由到達服務的外部IP。
人在內部卻解析成外部IP的情況,常見於「VPN」。連上VPN後,會優先使用配置的DNS Server,通常是外部DNS,所以內部服務就會被解析成外部IP。
因此我們要做一對一NAT的轉換,而且還是目的地的轉換,讓在內部的使用者即便使用服務的外部IP,也能被NAT導回服務的內部IP。
以下以Fortigate為例,我想把去「118.163.81.63」改成去「192.168.111.2」,192.168.111.2是我的Home Assistant。
新增虛擬IP
這邊新增虛擬IP,做Static NAT的設定。
新增防火牆政策
由於虛擬IP轉換後的IP 192.168.111.2,實質上是會內部網(192.168.111.0/24)去,因此防火牆是介面是內對內,接著目的要選擇剛剛新增的虛擬IP。雖然是內對內,但避免去回不同路,建議開啟NAT功能,不然就要讓Fortigate當根節點。
接著使用瀏覽器輸入118.163.81.63:8123,看到我的Home Assistant網頁登入提示,這代表轉換正常成功。(目的地 118.163.81.63 => 192.168.111.2)
Aruba OS 6 elegantly upgrade to Aruba OS 8 優雅地升大版
分類: Aruba
Aruba OS 6升到 OS 8是整個系統系改寫,沒有向下支援性,於是一旦從6升到8,設定就要重新來過。
Config模組改寫過,以至於8版無法吃進6版時的Config。吃不進Config,密碼加密又會改過值,導致所有Preshared Key都沒辦法直接加到8版上。License放在licensedb,一群SQL,如果匯不進去,就會刪掉該行。
如果要優雅地升版,那就要先將事前作業準備好,才不至於事後缺漏。
閱讀全文: Aruba OS 6 elegantly upgrade to Aruba OS 8 優雅地升大版
準備項目
- 使用PSK的SSID
- 使用PSK的Auth Server
- 管理者帳號密碼
- 6版本flashbackup
- License Key
- UserDB
- CaptivePortal
- OS 6轉OS 8的Config
使用PSK的SSID
使用WPA X Personal的SSID,其Key。
使用PSK的Auth Server
像是Radius Server的PSK,這部份若知道密碼一旦要記錄,如果認證伺服器跟控制器給不同人管,這樣很難隨意更改。
管理者帳號密碼
所有人的帳號密碼。
6版本flashbackup
裡面有Config跟licensedb與userdb,或是上傳檔案以及其他相關。若是失敗,還可以用此恢復。以下要拆成兩類,一類是Config,另一類是非Config的。
License Key
Controller要能使用,第一步就是匯入License。因此先從WebUI把License Key備份,或是從flashbackup中「db-back.licensedb」內容中找到License Key。
UserDB
使用者帳號與密碼。只要在6版本時匯出,升級到8版並不會清除掉自身的flash空間,接著在8版時就能從flash匯入6版本時的資料庫。
CaptivePortal
強制門戶,俗稱網頁登入,這部份有些會把網頁放在控制器上(內部),但是有做了一些修改,像是上傳自己的html或是上傳了logo。這些也須要留意。
OS 6轉OS 8的Config
這裡有很多要轉換的,幸好大部分指令都能直接用,所以把自定義的部分找出來就好。以下為檢查清單,有順序性。
- VLAN&Interface&IP Address
- NTP
- DNS
- SNMP
- LOGGING
- 目前使用的AP Group
前五項幾乎能從Config中直接轉移。但無線網路設定包含AP Group、SSID、Auth Server、 Server Group、Role、Policy等眼花撩亂,很難讓人從上而下就備份出對的檔案。
不過,如果有使用到,它都會相關連。因此使用「AP Group」做為開頭,就能連根拔起所有相關連的設定。
以下是以一個AP Group舉例:
ap-group "Test"
virtual-ap "WiFi"
virtual-ap "Guset-WiFi"如此可以找到該AP Group的非預設設定。像是 Virtual AP。
接著使用 Virtual AP 搜尋,建議使用名稱去搜尋,找到如下:
wlan virtual-ap "WiFi"
aaa-profile "WiFi"
ssid-profile "WiFi"
vlan 11
allowed-band a
no broadcast-filter arp這時我們找到兩種Profile,繼續去搜尋,直到最底層,像是Captive Portal或是Alias(netdestination)等。
如果照著順序抓取的話,AP Group是第一層在最上方,Virtual AP在第二層,Alias(netdestination)在最底層。
倒回設定時,是要從底層先匯入,也就是 Alias(netdestination) > … > Virtual AP > AP Group。這樣才不會出現找不到Profile的報錯。
如果過程有錯誤訊息,請停下,仔細看錯誤訊息是關於什麼,千萬不要一口氣全部倒回去。
Cisco Switch Syslog記錄使用者所下的指令
今天早上碰到客戶的LACP其中一Port有狀況,隨後到公司檢查,發現是Transceiver數值異常,因此更換。更換後發現連不到管理IP,之後發現在排除狀況時加入了同網段IP,去回不同路而導致連不上。
之前也有發生設定被改過而出事,所以最好使用者下的指令都記錄在syslog中,便能方便追蹤是誰下了關鍵指令。
在Cisco中,此項功能稱為「Archive」。
Chapter: Configuration Change Notification and Logging
The Configuration Change Notification and Logging (Config Log Archive) feature allows the tracking of configuration changes entered on a per-session and per-user basis by implementing an archive function. This archive saves configuration logs that track each configuration command that is applied, who applied the command, the parser return code (PRC) for the command, and the time the command was applied. This feature also adds a notification mechanism that sends asynchronous notifications to registered applications whenever the configuration log changes.
Before the introduction of the Configuration Change Notification and Logging feature, the only way to determine if the Cisco software configuration had changed was to save a copy of the running and startup configurations to a local computer and do a line-by-line comparison. This comparison method can identify changes that occurred, but does not specify the sequence in which the changes occurred, or the person responsible for the changes.
如何設定?
參照官方文件流程
DETAILED STEPS
enable configure terminal archive log config logging enable logging size 200 hidekeys notify syslog end
其中最關鍵的指令是「notify syslog」,這將使用者下的指令會通知給syslog。如此讓我們能從syslog追蹤到過去使用者所送出的指令。