不同台無線AP 相同SSID與密碼 可直接連線

之前曾經想過，如果兩台不一樣的AP，故意把ssid跟密碼都設定一樣，放在不同的地方，電腦在連過第一台AP後，如果拿到第二台的AP旁，是不是一樣連的上，不需要重新輸入密碼。
之前都是認為可行，也看過別人討論，也可行，但實際上自己從沒測過，今天剛好有設備，所以來測一下，結果是，真的可行~~只是在一開始連線時，比較慢一點才連上。

FortiClient SSLVPN 連線失敗 The VPN server may be unreachable (-5)

公司有不同的廠，都是用forti的防火牆，最近在使用fortigate的sslvpn功能時，連上A廠的vpn，正常，連B廠的vpn，會出現  The VPN server may be unreachable (-5)的錯誤，但只有少數的電腦有這些問題，所以判斷問題是在電腦本身的設定上。

直接用電腦去ping vpn的ip，或是直接telnet vpn的port，都是通的，所以這個錯誤訊息只是僅供參考。
後來在查了一下，剛好有查到解法，其實是在IE的設定裡，關於TLS的功能沒啟用到相對應的版本造成的，就到設定中把TLS去啟用就行了，至於要啟用哪一個版，就自行去測試吧，因為自己使用的跟網路上查到的是不一樣的。

CISCO L2 管理IP設定 不同VLAN

SWITCH在設定時，通常都會設定一個管理IP，這樣在做設定與管理時就不用透過console線來連。

L2的switch管理IP要設在哪個vlan，其實都可以，沒有一定要設定在vlan1，就看整個網路vlan怎麼規劃，管理IP設定完後，會發現一個問題，不同網段的電腦會連不到此台switch。

原因是因為在L2的switch上，要設定default-gateway，這樣才會沒問題，後面的IP就是設定gateway的IP。

Switch(config-if)#ip default-gateway  x.x.x.x

電腦 固定ip ok，dhcp 抓不到ip

最近裝了一台備用的switch，上面有很多vlan，上面的設備都是固定ip，使用沒問題。
但是如果設dhcp，就會抓不到ip，dhcp server確認是ok的，dhcp relay也設定正常。本來以為會不會是port security之類的設定搞鬼，可是Switch是hp低階款的，沒這設定。
搞了好久才發現，原來是這個switch的trunk port，紅色箭頭的地方，有設定dhcp snooping的untrust，所以沒辦法收到dhcp的回應，搞死人了。

HP A5500 DHCP Relay 設定

在HP A5500  core switch上要設定dhcp relay，啟用relay功能，新增dhcp server的ip後，client pc還是抓不到ip，非常奇怪，後來才發現還要做兩件事

第一就是要將各網段的dhcp relay state改成enable

第二就是要設定server group id要設定，如果空白的話，也會要不到ip

HP 5120 switch telnet 閃退 與 登入無法輸入username 問題

最近弄了一台HP 5120 (JE074B)的switch在設定，發生了一個問題，帳號建好，有telnet權限，但就是要telnet登入時，一連進去，馬上閃退，連輸入帳密的機會都沒有，這就是沒設定privilege的問題，所以要輸入下列這兩行指令才行。
[HP]user-interface vty 0 4
[HP-ui-vty0-4]user privilege level 3
之後又發生另一個問題，我有多個帳號，但是在telnet登入時，預設就已經帶了admin的帳號，只能輸入密碼，沒辦法輸入其他的username，原來是在authentication-mode要設成scheme才行。搞死人了。
<HP>system-view
[HP]user-interface vty 0 4
[HP-ui-vty1]authentication-mode scheme
[HP-ui-vty1]quit

HP Switch 1910 Enabling advanced CLI 啟用進階指令

透過console port連到HP Switch v1910後，預設只有幾個指令，其他型號的Switch也會這樣。

如果需要用到其他指令，就需啟用進階指令，直接執行_cmdline-mode on，然後按下yes，接著輸入密碼"512900"。就可以啟用了，這時後就可以有其他更多的指令可以使用。

同型號的密碼會不同，就要在上網查查了。 

HP Switch NQA 設定

HP Switch有一個設定叫NQA，可以讓switch設定兩條通往同一個目的地的不同路由，系統會判斷主要路由是否正常，正常的話，備援的路由就不會啟用。
設定的方式網路上查的到，主要就是先設主要路由，這條路由要track，接著設備援路由，這條路由不用track，然後在設定要用icmp來測主要路由的狀況，如果連續幾次測到這條路由有問題，就會停用這條路由，自動啟用備援路由。
設定時遇到一個問題，就是設定好之後，透過"display track 1"去查詢路由狀況時，status變成 invalid，正常的情況下應該是positive或是negative。

查了一下才發現指令下錯了，把trigger-only下成了trap-only，所以要改回來，但又不能直接重新下正確的指令，會跳出下例這個can't be modified的錯誤訊息。

這時後就要先undo nqa schedule，再undo reaction 1 checked-element，才能重新下"reaction 1 checked-element.....trigger-only"的指令，然後在去下"nqa schedule ......."，就可解決此問題。

架設免費VPN Server:SoftEther 實現外部網路遠端連線到區域網路主機

公司沒有買VPN的軟體，又不想用Teamviewer等常見的單機版遠端連線程式來從家裡連到公司的電腦，所以就上網找找有沒有免費的VPN Server/Client軟體，剛好就找到一套可裝在Windows上的免費VPN軟體SoftEther VPN。

Server/Client端的安裝設定方式可參考
http://blog.xuite.net/sendohshih/blog/73932762-PacketiX+VPN+Server+%E8%A8%AD%E5%AE%9A%E6%95%99%E5%AD%B8
過程就是找一台主機當Server端，把SoftEther VPN Server裝好，並設定，但裡面少提到一點要啟動Secure NAT，因為如果沒啟動這個功能，就不會啟動DHCP Server，Client端如果連進到Server，會沒有IP，就無法從外部連線到區網的主機中。
接著在外部網路的電腦上裝Client程式，並完成設定，之後就可以連線到Server端的區網，進行遠端連線。

win2012 teaming 指定 vlan

在win2012裡，將多個網卡綁定成1個teaming後，可以設定讓teaming裡面特定某張網卡只接收某個vlan的流量，其他vlan則透過剩下的網卡來傳輸。
設定的方式是要用新增網卡至現有的teaming，然後就可以指定這張網卡是預設所有vlan的資料都可傳輸，或指定某vlan就好。

Cisco SG300 頻寬 限制

Cisco SG300可以針對每個 port 做上傳或下載的頻寬限制。
透過 web console，進到QOS的 BandwiＤth 裡面 去做設定~
要設定終端設備的上傳流量做限制，就是要設定 port 的 Ingress Rate。
要設定終端設備的下載流量做限制，就是要設定 port 的 Egress Shaping Rate。
至於CBS，因為不太了解有何特別用途，所以都是都設定最小值而已。

CBS的原廠解釋:即使此数据量会暂时增大带宽，使其超出允许的限制，仍可发送这
些数据。

Juniper 防火牆 Screening 設定說明

Juniper SSG的防火牆，除了對 IP / Port 設Policy做防護外，還有一些安全防護的設定可啟用。
在"Security --> Screening --> Screen"裡面可做設定，關於這些防護，設定的意思大概查了一下，大家可參考看看

ICMP Flood Protection	ICMP流量管制
UDP Flood Protection	UDP流量管制
SYN Flood Protection	TCP流量管制
WinNuke Attack Protection	攻擊Netbios port造成windows當機
IP Address Spoof Protection	仿冒IP連線
IP Address Sweep Protection	用PING來掃IP
Port Scan Attack Protection	掃某IP的哪個PORT有回應
TCP Sweep Protection	利用TCP 來找主機漏洞做攻擊
UDP Sweep Protection	利用UDP 來找主機漏洞做攻擊
Ping of Death Attack Protection	用ping攤瘓主機
Teardrop Attack Protection	用有問題的封包讓主機處理時造成系統異常
ICMP Fragment Protection	阻擋異常格式的ICMP封包
ICMP Ping ID Zero Protection	阻擋異常格式的ICMP封包
Large Size ICMP Packet (Size > 1024) Protection	阻擋容量太大的ICMP封包
Block Fragment Traffic	阻擋碎片封包
Land Attack Protection	多種手段的功擊防護
SYN-ACK-ACK Proxy Protection	設定會有衝突，且沒log，不使用
Source IP Based Session Limit	來源連線數管制
Destination IP Based Session Limit	目標連線數管制

CISCO SG300 Port Channel 設定

CISCO SG300 要把幾個 port設成1個channel，然後接在server上。

設定channel時，要加到channel的port，要先設定vlan access，要先設成access到vlan1才行，如果先設成其他的vlan的話，在加到port channel時，會出現 port xx belongs to a vlan的訊息，所以怎麼加到port channel都不會成功。

設好vlan後，接著就繼續，把某個interface加到此port channel

int port-channel 5     ---假設是要加到channel 5

int gi xx

channel-group 5 mode auto   ------mode有auto或是on，看狀況而定

設完後，可以下 sh int port-channel 來看有沒有加成功。

如果要退出某個port channel，則是

int port-channel 5     ---假設是要加到channel 5

int gi xx

no channel-group 

Juniper ssg320 alarm led 亮 紅燈

Juniper ssg320  alarm 會亮紅燈，通常就是有critical 等級的事件發生。
這可能是當初在防方牆有做一些防護設定，像是session數的限制，當條件被觸發後，就會發生，但有時後訊息太多，也沒注意alarm是何時發生的，就會無法確認alarm是由哪一個critical事件引起的，有點糟。
如果確認critical裡的訊息對網路環境無害，可以用telnet連到防火牆內下指定把alarm燈號消除。

指令為: clear led alarm

netscreen ssg320 在web 介面 開啟/關閉 telnet/ssh 連線

要在web console裡啟動/關閉 netscreen 防火牆的 telnet/ssh 的功能:
先連到 interface功能裡，選擇要來連線的 interface，然後在 啟動/關閉 telnet/ssh 的功能。

Ascenlink 負載平衡設備 Virtual Server 與 Multing Homing 用途 / 差異

Ascenlink 用來做對外上網線路的負載平衡。
若對外同時有2條以上的上網線路，就可以使用此設備來做負載平衡或線路備援的機制。
其實有2個設定非常的類似，就是 Virtual Server 與 Multing Homing。
2個都可以設定多個線路對應到同一台主機，也可以設定每個線路的權重來做流量的分流，感覺功能有點重覆。
最大的差異應該是 :
Virtual Server 可用在 1個對外IP，對應到內部不同主機，做的Server loading的分流。
Multing Homing  可用在多個對外IP，對應到內部某1台主機，做為上網流量的分流。

Juniper VPN MAG-2600 重開機 / 關機 方法

Juniper MAG2600 設定備份

CISCO SG300 使用心得

因為老闆小氣，所以不能買比較主流的switch，在廠商業務的推薦之下，買了CISCO SG300，一直不了解為何跟2960差價這麼多，差了一半，看了簡介，該有的功能也都有，廠商業務也說只是做edge，沒差啦。

等到真正買來建環境後，該廠商的工程師弄的很辛苦，因為指令其實長的像，但卻不一樣，下指令的一些順序好像也不同，搞死人了。工程師還說，相同的價位，應該要買Juniper的比較好用，光纖Port也比較多。

希望未來正式上線後，效能不要太爛才好。

Cisco L3 switch routing 設定

下面是利用L3 switch做路由，來交換內部網路兩個不同網段的資料。

大概的重點有:

L3 switch與外部網路或路由器相接的孔要設一個IP。

其他用來接L2 switch的孔不需要設IP。

但vlan介面都要設IP，做為各網段的Gateway。

L3 switch本身的vlan1要設定IP，這個是做為telnet該L3 switch時用的。

如果在只第三層設備只有L3 switch的環境，直接透過L3做路由，沒有要串到Firewall或Router到其他網段時，不需要建路由，只要有下ip routing這個指令，L3 switch就會啟動路由功能，自動把相連接的vlan做資料的交換。

 

Cisco L2 Switch (same configuration for both switches)

!  Create VLANs 10 and 20 in the switch databaseLayer2-Switch# configure terminal
Layer2-Switch(config)# vlan 10
Layer2-Switch(config-vlan)# end

Layer2-Switch(config)# vlan 20
Layer2-Switch(config-vlan)# end

!  Assign Port Fe0/1 in VLAN 10Layer2-Switch(config)# interface fastethernet0/1
Layer2-Switch(config-if)# switchport mode access
Layer2-Switch(config-if)# switchport access vlan 10
Layer2-Switch(config-if)# end

!  Assign Port Fe0/2 in VLAN 20Layer2-Switch(config)# interface fastethernet0/2
Layer2-Switch(config-if)# switchport mode access
Layer2-Switch(config-if)# switchport access vlan 20
Layer2-Switch(config-if)# end

!  Create Trunk Port Fe0/24
Layer2-Switch(config)# interface fastethernet0/24
Layer2-Switch(config-if)# switchport mode trunk
Layer2-Switch(config-if)# switchport trunk encapsulation dot1q
Layer2-Switch(config-if)# end

Cisco Layer 3 Switch

! Enable Layer 3 routing
Layer3-Switch(config) # ip routing

!  Create VLANs 10 and 20 in the switch databaseLayer3-Switch# configure terminal
Layer3-Switch(config)# vlan 10
Layer3-Switch(config-vlan)# end

Layer3-Switch(config)# vlan 20
Layer3-Switch(config-vlan)# end

!  Configure a Routed Port for connecting to the ASA firewall 
Layer3-Switch(config)# interface FastEthernet0/48
Layer3-Switch(config-if)# description To Internet Firewall
Layer3-Switch(config-if)# no switchport
Layer3-Switch(config-if)# ip address 10.0.0.1 255.255.255.252

!  Create Trunk Ports Fe0/47 Fe0/46
Layer3-Switch(config)# interface fastethernet0/47
Layer3-Switch(config-if)# switchport mode trunk
Layer3-Switch(config-if)# switchport trunk encapsulation dot1q
Layer3-Switch(config-if)# end

Layer3-Switch(config)# interface fastethernet0/46
Layer3-Switch(config-if)# switchport mode trunk
Layer3-Switch(config-if)# switchport trunk encapsulation dot1q
Layer3-Switch(config-if)# end

!  Configure Switch Vlan Interfaces (SVI)
Layer3-Switch(config)# interface vlan10
Layer3-Switch(config-if)# ip address 10.10.10.10 255.255.255.0
Layer3-Switch(config-if)# no shut

Layer3-Switch(config)# interface vlan20
Layer3-Switch(config-if)# ip address 10.20.20.20 255.255.255.0
Layer3-Switch(config-if)# no shut

!  Configure default route towards ASA firewall
Layer3-Switch(config)# ip route 0.0.0.0 0.0.0.0 10.0.0.2