之前曾經想過,如果兩台不一樣的AP,故意把ssid跟密碼都設定一樣,放在不同的地方,電腦在連過第一台AP後,如果拿到第二台的AP旁,是不是一樣連的上,不需要重新輸入密碼。
之前都是認為可行,也看過別人討論,也可行,但實際上自己從沒測過,今天剛好有設備,所以來測一下,結果是,真的可行~~只是在一開始連線時,比較慢一點才連上。
2019/07/08
2019/06/04
FortiClient SSLVPN 連線失敗 The VPN server may be unreachable (-5)
公司有不同的廠,都是用forti的防火牆,最近在使用fortigate的sslvpn功能時,連上A廠的vpn,正常,連B廠的vpn,會出現 The VPN server may be unreachable (-5)的錯誤,但只有少數的電腦有這些問題,所以判斷問題是在電腦本身的設定上。
直接用電腦去ping vpn的ip,或是直接telnet vpn的port,都是通的,所以這個錯誤訊息只是僅供參考。
後來在查了一下,剛好有查到解法,其實是在IE的設定裡,關於TLS的功能沒啟用到相對應的版本造成的,就到設定中把TLS去啟用就行了,至於要啟用哪一個版,就自行去測試吧,因為自己使用的跟網路上查到的是不一樣的。
直接用電腦去ping vpn的ip,或是直接telnet vpn的port,都是通的,所以這個錯誤訊息只是僅供參考。
後來在查了一下,剛好有查到解法,其實是在IE的設定裡,關於TLS的功能沒啟用到相對應的版本造成的,就到設定中把TLS去啟用就行了,至於要啟用哪一個版,就自行去測試吧,因為自己使用的跟網路上查到的是不一樣的。
2019/03/06
CISCO L2 管理IP設定 不同VLAN
SWITCH在設定時,通常都會設定一個管理IP,這樣在做設定與管理時就不用透過console線來連。
L2的switch管理IP要設在哪個vlan,其實都可以,沒有一定要設定在vlan1,就看整個網路vlan怎麼規劃,管理IP設定完後,會發現一個問題,不同網段的電腦會連不到此台switch。
原因是因為在L2的switch上,要設定default-gateway,這樣才會沒問題,後面的IP就是設定gateway的IP。
Switch(config-if)#ip default-gateway x.x.x.x
2019/02/15
電腦 固定ip ok,dhcp 抓不到ip
最近裝了一台備用的switch,上面有很多vlan,上面的設備都是固定ip,使用沒問題。
但是如果設dhcp,就會抓不到ip,dhcp server確認是ok的,dhcp relay也設定正常。本來以為會不會是port security之類的設定搞鬼,可是Switch是hp低階款的,沒這設定。
搞了好久才發現,原來是這個switch的trunk port,紅色箭頭的地方,有設定dhcp snooping的untrust,所以沒辦法收到dhcp的回應,搞死人了。
但是如果設dhcp,就會抓不到ip,dhcp server確認是ok的,dhcp relay也設定正常。本來以為會不會是port security之類的設定搞鬼,可是Switch是hp低階款的,沒這設定。
搞了好久才發現,原來是這個switch的trunk port,紅色箭頭的地方,有設定dhcp snooping的untrust,所以沒辦法收到dhcp的回應,搞死人了。
2019/01/31
HP A5500 DHCP Relay 設定
在HP A5500 core switch上要設定dhcp relay,啟用relay功能,新增dhcp server的ip後,client pc還是抓不到ip,非常奇怪,後來才發現還要做兩件事
第一就是要將各網段的dhcp relay state改成enable
2019/01/30
HP 5120 switch telnet 閃退 與 登入無法輸入username 問題
最近弄了一台HP 5120 (JE074B)的switch在設定,發生了一個問題,帳號建好,有telnet權限,但就是要telnet登入時,一連進去,馬上閃退,連輸入帳密的機會都沒有,這就是沒設定privilege的問題,所以要輸入下列這兩行指令才行。
[HP]user-interface vty 0 4
[HP-ui-vty0-4]user privilege level 3
之後又發生另一個問題,我有多個帳號,但是在telnet登入時,預設就已經帶了admin的帳號,只能輸入密碼,沒辦法輸入其他的username,原來是在authentication-mode要設成scheme才行。搞死人了。
<HP>system-view
[HP]user-interface vty 0 4
[HP-ui-vty1]authentication-mode scheme
[HP-ui-vty1]quit
[HP]user-interface vty 0 4
[HP-ui-vty0-4]user privilege level 3
之後又發生另一個問題,我有多個帳號,但是在telnet登入時,預設就已經帶了admin的帳號,只能輸入密碼,沒辦法輸入其他的username,原來是在authentication-mode要設成scheme才行。搞死人了。
<HP>system-view
[HP]user-interface vty 0 4
[HP-ui-vty1]authentication-mode scheme
[HP-ui-vty1]quit
2019/01/16
HP Switch 1910 Enabling advanced CLI 啟用進階指令
透過console port連到HP Switch v1910後,預設只有幾個指令,其他型號的Switch也會這樣。
如果需要用到其他指令,就需啟用進階指令,直接執行_cmdline-mode on,然後按下yes,接著輸入密碼"512900"。就可以啟用了,這時後就可以有其他更多的指令可以使用。
同型號的密碼會不同,就要在上網查查了。
如果需要用到其他指令,就需啟用進階指令,直接執行_cmdline-mode on,然後按下yes,接著輸入密碼"512900"。就可以啟用了,這時後就可以有其他更多的指令可以使用。
同型號的密碼會不同,就要在上網查查了。
2018/10/11
HP Switch NQA 設定
HP Switch有一個設定叫NQA,可以讓switch設定兩條通往同一個目的地的不同路由,系統會判斷主要路由是否正常,正常的話,備援的路由就不會啟用。
設定的方式網路上查的到,主要就是先設主要路由,這條路由要track,接著設備援路由,這條路由不用track,然後在設定要用icmp來測主要路由的狀況,如果連續幾次測到這條路由有問題,就會停用這條路由,自動啟用備援路由。
設定時遇到一個問題,就是設定好之後,透過"display track 1"去查詢路由狀況時,status變成 invalid,正常的情況下應該是positive或是negative。
查了一下才發現指令下錯了,把trigger-only下成了trap-only,所以要改回來,但又不能直接重新下正確的指令,會跳出下例這個can't be modified的錯誤訊息。
這時後就要先undo nqa schedule,再undo reaction 1 checked-element,才能重新下"reaction 1 checked-element.....trigger-only"的指令,然後在去下"nqa schedule .......",就可解決此問題。
設定的方式網路上查的到,主要就是先設主要路由,這條路由要track,接著設備援路由,這條路由不用track,然後在設定要用icmp來測主要路由的狀況,如果連續幾次測到這條路由有問題,就會停用這條路由,自動啟用備援路由。
設定時遇到一個問題,就是設定好之後,透過"display track 1"去查詢路由狀況時,status變成 invalid,正常的情況下應該是positive或是negative。
查了一下才發現指令下錯了,把trigger-only下成了trap-only,所以要改回來,但又不能直接重新下正確的指令,會跳出下例這個can't be modified的錯誤訊息。
這時後就要先undo nqa schedule,再undo reaction 1 checked-element,才能重新下"reaction 1 checked-element.....trigger-only"的指令,然後在去下"nqa schedule .......",就可解決此問題。
2017/03/26
架設免費VPN Server:SoftEther 實現外部網路遠端連線到區域網路主機
公司沒有買VPN的軟體,又不想用Teamviewer等常見的單機版遠端連線程式來從家裡連到公司的電腦,所以就上網找找有沒有免費的VPN Server/Client軟體,剛好就找到一套可裝在Windows上的免費VPN軟體SoftEther VPN。
Server/Client端的安裝設定方式可參考
http://blog.xuite.net/sendohshih/blog/73932762-PacketiX+VPN+Server+%E8%A8%AD%E5%AE%9A%E6%95%99%E5%AD%B8
過程就是找一台主機當Server端,把SoftEther VPN Server裝好,並設定,但裡面少提到一點要啟動Secure NAT,因為如果沒啟動這個功能,就不會啟動DHCP Server,Client端如果連進到Server,會沒有IP,就無法從外部連線到區網的主機中。
接著在外部網路的電腦上裝Client程式,並完成設定,之後就可以連線到Server端的區網,進行遠端連線。
Server/Client端的安裝設定方式可參考
http://blog.xuite.net/sendohshih/blog/73932762-PacketiX+VPN+Server+%E8%A8%AD%E5%AE%9A%E6%95%99%E5%AD%B8
過程就是找一台主機當Server端,把SoftEther VPN Server裝好,並設定,但裡面少提到一點要啟動Secure NAT,因為如果沒啟動這個功能,就不會啟動DHCP Server,Client端如果連進到Server,會沒有IP,就無法從外部連線到區網的主機中。
接著在外部網路的電腦上裝Client程式,並完成設定,之後就可以連線到Server端的區網,進行遠端連線。
2015/08/12
win2012 teaming 指定 vlan
在win2012裡,將多個網卡綁定成1個teaming後,可以設定讓teaming裡面特定某張網卡只接收某個vlan的流量,其他vlan則透過剩下的網卡來傳輸。
設定的方式是要用新增網卡至現有的teaming,然後就可以指定這張網卡是預設所有vlan的資料都可傳輸,或指定某vlan就好。
設定的方式是要用新增網卡至現有的teaming,然後就可以指定這張網卡是預設所有vlan的資料都可傳輸,或指定某vlan就好。
2015/07/23
Cisco SG300 頻寬 限制
Cisco SG300可以針對每個 port 做上傳或下載的頻寬限制。
透過 web console,進到QOS的 BandwiDth 裡面 去做設定~
要設定終端設備的上傳流量做限制,就是要設定 port 的 Ingress Rate。
要設定終端設備的下載流量做限制,就是要設定 port 的 Egress Shaping Rate。
至於CBS,因為不太了解有何特別用途,所以都是都設定最小值而已。
CBS的原廠解釋:即使此数据量会暂时增大带宽,使其超出允许的限制,仍可发送这
些数据。
透過 web console,進到QOS的 BandwiDth 裡面 去做設定~
要設定終端設備的上傳流量做限制,就是要設定 port 的 Ingress Rate。
要設定終端設備的下載流量做限制,就是要設定 port 的 Egress Shaping Rate。
至於CBS,因為不太了解有何特別用途,所以都是都設定最小值而已。
CBS的原廠解釋:即使此数据量会暂时增大带宽,使其超出允许的限制,仍可发送这
些数据。
2015/05/06
Juniper 防火牆 Screening 設定說明
Juniper SSG的防火牆,除了對 IP / Port 設Policy做防護外,還有一些安全防護的設定可啟用。
在"Security --> Screening --> Screen"裡面可做設定,關於這些防護,設定的意思大概查了一下,大家可參考看看
在"Security --> Screening --> Screen"裡面可做設定,關於這些防護,設定的意思大概查了一下,大家可參考看看
ICMP Flood Protection | ICMP流量管制 |
UDP Flood Protection | UDP流量管制 |
SYN Flood Protection | TCP流量管制 |
WinNuke Attack Protection | 攻擊Netbios port造成windows當機 |
IP Address Spoof Protection | 仿冒IP連線 |
IP Address Sweep Protection | 用PING來掃IP |
Port Scan Attack Protection | 掃某IP的哪個PORT有回應 |
TCP Sweep Protection | 利用TCP 來找主機漏洞做攻擊 |
UDP Sweep Protection | 利用UDP 來找主機漏洞做攻擊 |
Ping of Death Attack Protection | 用ping攤瘓主機 |
Teardrop Attack Protection | 用有問題的封包讓主機處理時造成系統異常 |
ICMP Fragment Protection | 阻擋異常格式的ICMP封包 |
ICMP Ping ID Zero Protection | 阻擋異常格式的ICMP封包 |
Large Size ICMP Packet (Size > 1024) Protection | 阻擋容量太大的ICMP封包 |
Block Fragment Traffic | 阻擋碎片封包 |
Land Attack Protection | 多種手段的功擊防護 |
SYN-ACK-ACK Proxy Protection | 設定會有衝突,且沒log,不使用 |
Source IP Based Session Limit | 來源連線數管制 |
Destination IP Based Session Limit | 目標連線數管制 |
2015/03/05
CISCO SG300 Port Channel 設定
CISCO SG300 要把幾個 port設成1個channel,然後接在server上。
設定channel時,要加到channel的port,要先設定vlan access,要先設成access到vlan1才行,如果先設成其他的vlan的話,在加到port channel時,會出現 port xx belongs to a vlan的訊息,所以怎麼加到port channel都不會成功。
設好vlan後,接著就繼續,把某個interface加到此port channel
int port-channel 5 ---假設是要加到channel 5
int gi xx
channel-group 5 mode auto ------mode有auto或是on,看狀況而定
設完後,可以下 sh int port-channel 來看有沒有加成功。
如果要退出某個port channel,則是
int port-channel 5 ---假設是要加到channel 5
int gi xx
no channel-group
2015/02/25
Juniper ssg320 alarm led 亮 紅燈
Juniper ssg320 alarm 會亮紅燈,通常就是有critical 等級的事件發生。
這可能是當初在防方牆有做一些防護設定,像是session數的限制,當條件被觸發後,就會發生,但有時後訊息太多,也沒注意alarm是何時發生的,就會無法確認alarm是由哪一個critical事件引起的,有點糟。
如果確認critical裡的訊息對網路環境無害,可以用telnet連到防火牆內下指定把alarm燈號消除。
這可能是當初在防方牆有做一些防護設定,像是session數的限制,當條件被觸發後,就會發生,但有時後訊息太多,也沒注意alarm是何時發生的,就會無法確認alarm是由哪一個critical事件引起的,有點糟。
如果確認critical裡的訊息對網路環境無害,可以用telnet連到防火牆內下指定把alarm燈號消除。
指令為: clear led alarm
2015/02/24
netscreen ssg320 在web 介面 開啟/關閉 telnet/ssh 連線
要在web console裡啟動/關閉 netscreen 防火牆的 telnet/ssh 的功能:
先連到 interface功能裡,選擇要來連線的 interface,然後在 啟動/關閉 telnet/ssh 的功能。
先連到 interface功能裡,選擇要來連線的 interface,然後在 啟動/關閉 telnet/ssh 的功能。
2014/10/07
Ascenlink 負載平衡設備 Virtual Server 與 Multing Homing 用途 / 差異
Ascenlink 用來做對外上網線路的負載平衡。
若對外同時有2條以上的上網線路,就可以使用此設備來做負載平衡或線路備援的機制。
其實有2個設定非常的類似,就是 Virtual Server 與 Multing Homing。
2個都可以設定多個線路對應到同一台主機,也可以設定每個線路的權重來做流量的分流,感覺功能有點重覆。
最大的差異應該是 :
Virtual Server 可用在 1個對外IP,對應到內部不同主機,做的Server loading的分流。
Multing Homing 可用在多個對外IP,對應到內部某1台主機,做為上網流量的分流。
若對外同時有2條以上的上網線路,就可以使用此設備來做負載平衡或線路備援的機制。
其實有2個設定非常的類似,就是 Virtual Server 與 Multing Homing。
2個都可以設定多個線路對應到同一台主機,也可以設定每個線路的權重來做流量的分流,感覺功能有點重覆。
最大的差異應該是 :
Virtual Server 可用在 1個對外IP,對應到內部不同主機,做的Server loading的分流。
Multing Homing 可用在多個對外IP,對應到內部某1台主機,做為上網流量的分流。
2014/08/26
2014/07/15
2014/04/18
CISCO SG300 使用心得
因為老闆小氣,所以不能買比較主流的switch,在廠商業務的推薦之下,買了CISCO SG300,一直不了解為何跟2960差價這麼多,差了一半,看了簡介,該有的功能也都有,廠商業務也說只是做edge,沒差啦。
等到真正買來建環境後,該廠商的工程師弄的很辛苦,因為指令其實長的像,但卻不一樣,下指令的一些順序好像也不同,搞死人了。工程師還說,相同的價位,應該要買Juniper的比較好用,光纖Port也比較多。
希望未來正式上線後,效能不要太爛才好。
2013/10/14
Cisco L3 switch routing 設定
下面是利用L3 switch做路由,來交換內部網路兩個不同網段的資料。
大概的重點有:
L3 switch與外部網路或路由器相接的孔要設一個IP。
其他用來接L2 switch的孔不需要設IP。
但vlan介面都要設IP,做為各網段的Gateway。
L3 switch本身的vlan1要設定IP,這個是做為telnet該L3 switch時用的。
如果在只第三層設備只有L3 switch的環境,直接透過L3做路由,沒有要串到Firewall或Router到其他網段時,不需要建路由,只要有下ip routing這個指令,L3 switch就會啟動路由功能,自動把相連接的vlan做資料的交換。
如果在只第三層設備只有L3 switch的環境,直接透過L3做路由,沒有要串到Firewall或Router到其他網段時,不需要建路由,只要有下ip routing這個指令,L3 switch就會啟動路由功能,自動把相連接的vlan做資料的交換。
Cisco L2 Switch (same configuration for both switches)
! Create VLANs 10 and 20 in the switch databaseLayer2-Switch# configure terminal
Layer2-Switch(config)# vlan 10
Layer2-Switch(config-vlan)# end
Layer2-Switch(config)# vlan 10
Layer2-Switch(config-vlan)# end
Layer2-Switch(config)# vlan 20
Layer2-Switch(config-vlan)# end
Layer2-Switch(config-vlan)# end
! Assign Port Fe0/1 in VLAN 10Layer2-Switch(config)# interface fastethernet0/1
Layer2-Switch(config-if)# switchport mode access
Layer2-Switch(config-if)# switchport access vlan 10
Layer2-Switch(config-if)# end
Layer2-Switch(config-if)# switchport mode access
Layer2-Switch(config-if)# switchport access vlan 10
Layer2-Switch(config-if)# end
! Assign Port Fe0/2 in VLAN 20Layer2-Switch(config)# interface fastethernet0/2
Layer2-Switch(config-if)# switchport mode access
Layer2-Switch(config-if)# switchport access vlan 20
Layer2-Switch(config-if)# end
Layer2-Switch(config-if)# switchport mode access
Layer2-Switch(config-if)# switchport access vlan 20
Layer2-Switch(config-if)# end
! Create Trunk Port Fe0/24
Layer2-Switch(config)# interface fastethernet0/24
Layer2-Switch(config-if)# switchport mode trunk
Layer2-Switch(config-if)# switchport trunk encapsulation dot1q
Layer2-Switch(config-if)# end
Layer2-Switch(config)# interface fastethernet0/24
Layer2-Switch(config-if)# switchport mode trunk
Layer2-Switch(config-if)# switchport trunk encapsulation dot1q
Layer2-Switch(config-if)# end
Cisco Layer 3 Switch
! Enable Layer 3 routing
Layer3-Switch(config) # ip routing
Layer3-Switch(config) # ip routing
! Create VLANs 10 and 20 in the switch databaseLayer3-Switch# configure terminal
Layer3-Switch(config)# vlan 10
Layer3-Switch(config-vlan)# end
Layer3-Switch(config)# vlan 10
Layer3-Switch(config-vlan)# end
Layer3-Switch(config)# vlan 20
Layer3-Switch(config-vlan)# end
Layer3-Switch(config-vlan)# end
! Configure a Routed Port for connecting to the ASA firewall
Layer3-Switch(config)# interface FastEthernet0/48
Layer3-Switch(config-if)# description To Internet Firewall
Layer3-Switch(config-if)# no switchport
Layer3-Switch(config-if)# ip address 10.0.0.1 255.255.255.252
Layer3-Switch(config)# interface FastEthernet0/48
Layer3-Switch(config-if)# description To Internet Firewall
Layer3-Switch(config-if)# no switchport
Layer3-Switch(config-if)# ip address 10.0.0.1 255.255.255.252
! Create Trunk Ports Fe0/47 Fe0/46
Layer3-Switch(config)# interface fastethernet0/47
Layer3-Switch(config-if)# switchport mode trunk
Layer3-Switch(config-if)# switchport trunk encapsulation dot1q
Layer3-Switch(config-if)# end
Layer3-Switch(config)# interface fastethernet0/47
Layer3-Switch(config-if)# switchport mode trunk
Layer3-Switch(config-if)# switchport trunk encapsulation dot1q
Layer3-Switch(config-if)# end
Layer3-Switch(config)# interface fastethernet0/46
Layer3-Switch(config-if)# switchport mode trunk
Layer3-Switch(config-if)# switchport trunk encapsulation dot1q
Layer3-Switch(config-if)# end
Layer3-Switch(config-if)# switchport mode trunk
Layer3-Switch(config-if)# switchport trunk encapsulation dot1q
Layer3-Switch(config-if)# end
! Configure Switch Vlan Interfaces (SVI)
Layer3-Switch(config)# interface vlan10
Layer3-Switch(config-if)# ip address 10.10.10.10 255.255.255.0
Layer3-Switch(config-if)# no shut
Layer3-Switch(config)# interface vlan10
Layer3-Switch(config-if)# ip address 10.10.10.10 255.255.255.0
Layer3-Switch(config-if)# no shut
Layer3-Switch(config)# interface vlan20
Layer3-Switch(config-if)# ip address 10.20.20.20 255.255.255.0
Layer3-Switch(config-if)# no shut
Layer3-Switch(config-if)# ip address 10.20.20.20 255.255.255.0
Layer3-Switch(config-if)# no shut
! Configure default route towards ASA firewall
Layer3-Switch(config)# ip route 0.0.0.0 0.0.0.0 10.0.0.2
Layer3-Switch(config)# ip route 0.0.0.0 0.0.0.0 10.0.0.2
訂閱:
文章 (Atom)