發現門禁讀卡機經過存取驗證之後,透過ClearPass Downloadable User Role分派對應VLAN與權限,過一陣子之後,在CX Switch上,「show port-access clients」,居然消失了。
這導致在一開始可以上線,Ping得通,但是,之後就因為VLAN回到Untag VLAN,導致失聯。
繼續閱讀 “Aruba CX Switch針對讀卡機的存取認證Role設定”
JN的電腦網路日常
網路教學與日常學習
JN的電腦網路日常
網路教學與日常學習
Aruba ClearPass 如何針對啟用MAC隨機化的設備
MAC隨機化是一個增加安全性的做法,但是對於MAC認證來說,是一個天大的災難。
BYOD要是一直變化MAC,除了造成管控上的困難,還會造成MAC認證失靈。
一般來說,BYOD 是需要透過註冊的,但是使用者未必注意到自己是不是有使用MAC隨機化,可能導致輸入的MAC或是日後裝置的MAC改變。
繼續閱讀 “Aruba ClearPass 如何針對啟用MAC隨機化的設備”Aruba Controller 7030用Chrome因為憑證而無法開啟WebUI
客戶傳一張圖片說Aruba Controller突然無法使用瀏覽器開啟WebUI,一開始我以為是TLS11.0、1.1、1.2等級的問題,提出可以升級的需求。
後面發現,從六升到八版本後,還是無法解決瀏覽器(Chrome)開啟WebUI的問題,看提示,是「憑證」的議題。
繼續閱讀 “Aruba Controller 7030用Chrome因為憑證而無法開啟WebUI”使用Windows NPS作為認證伺服器良好配置
Windows NPS(Network Policy Server)是Microsoft Windows Server中的一個角色,用於提供網絡訪問控制和身份驗證服務。
在AAA架構中,NPS屬於RADIUS Server,而現在主流的驗證方法PEAP-MSCHAPv2中Server必須提供憑證,否則Client會拒絕繼續驗證。
繼續閱讀 “使用Windows NPS作為認證伺服器良好配置”在CPSec啟用下,Aruba LMS設定與切換流程
Aruba Local Management Switch(LMS)是一項功能,通常用於異地的Controller群,在AP與本地Controller群失聯時,AP會轉向異地Controller群報到,持續提供功能。
因此,LMS通常用於異地備援架構,如果有MM的話,就不需要使用LMS,被MM納管建Cluster就能簡單地做到負載平衡的備援架構。
使用LMS不常見,還是某些場景還是會用到的。
額外參考: https://arubase.club/archives/7019?btwaf=98220208
繼續閱讀 “在CPSec啟用下,Aruba LMS設定與切換流程”Windows透過CLI利用FortiSSLVPNclient連線VPN
一般正常情況之下,FortiClient VPN是不會有FortiSSLVPNclient這程式,若要像參考文章中使用指令,需要透過登入FortiCloud,從Firmware Image下載FortiClient Tools。
用Fortigate讓mDNS跨網段
前陣子同事的客戶把網段切開來,然後呢?然後AirPrint就找不到了。
AirPrint跟Airplay還是Chromecast都使用mDNS也屬於Multicast,Mutlicast在網路環境中,只適合小範圍使用,像是個人或是家庭環境,只有一個網段,設備數也不多,就不會造成驚人影響。
Multicast預設也作用於一個VLAN中,不會跨網段。
因此,如果要跨網段,就需要特別手法,先撇除很少用的組播。讓多播跨網段有兩種方法:Multicast Forwarding、mDNS repeater。
繼續閱讀 “用Fortigate讓mDNS跨網段”ClearPass導入外部MAC List做認證
在做MAC認證時,經常會發生一種狀況,就是MAC清單要放在哪裡?如何管理?以及如何搭配驗證。
維護經常變動的MAC清單需要的是方便管理的平臺,像以圖形化介面提供簡易的操作。而MAC清單可以放置在許多伺服器上,一旦不與認證伺服器相同時,認證伺服器就需要從外部導入MAC清單。
若只以一次性轉移,認證伺服器的MAC清單會停留在最後一次操作的版本,無法實時更新。
因此,需要以某種方式與管理MAC清單的伺服器串接,認證伺服器在進行MAC驗證時,會從管理MAC清單的伺服器上取得最新MAC清單資訊。
繼續閱讀 “ClearPass導入外部MAC List做認證”Aruba Controller External License Server FireWall Port
ArubaOS在六版與八版都能使用另外一台Controller當做外部License Server,如此會共享一個License Pool,全部License都是從外部License Server身上來,自身的就會變成反灰不做計算。
要記得,License Server會用Switch IP(System IP)去回,對於將Loopback當做System IP的控制器,需要確保兩邊以System IP可以路由互通。
繼續閱讀 “Aruba Controller External License Server FireWall Port”Clearpass在Cluster架構下更換發佈者管理IP
最近客戶發現CPPM有兩個IP,一個是虛擬IP、一個是管理IP,而他們記錄上的IP是虛擬IP。如果是Cluster只是異地(跨網段)同步設定,是不需要做虛擬IP,總之就是現況,在接手之前就這樣。
因此客戶希望我們可以將管理IP換成記錄上的IP,並且不再使用虛擬IP。
繼續閱讀 “Clearpass在Cluster架構下更換發佈者管理IP”Aruba AP與MD無法建立ISAKMP
在MM架構下,Controller稱為MD。一般使用MM架構,下方會部署兩台控制器。
客戶反應自己連不上,結果仔細看,是自己連的AP的Active Controller在MD1、Standby Controller 為0.0.0.0(理論上要在MD2),而他自己使用者是分到MD2。
透過「show ap client trail-info <MAC>」在MM上可以看到使用者斷線原因寫著「UAC DOWN」。(在MD1、MD2上使用相同指令看不到相同訊息)
因此判斷,是基於某種因素,導致AP可以跟MD1建立連線,而跟MD2無法建立連線。
繼續閱讀 “Aruba AP與MD無法建立ISAKMP”Ruckus 關於 WIFI 的十大迷思 – 心得
這是Ruckus針對部署在校園環境寫的文案,讓我想到某個校園也是主力使用Ruckus無線網路,於是對這Ruckus寫的白皮書,來分析它所寫的十點。
繼續閱讀 “Ruckus 關於 WIFI 的十大迷思 – 心得”