Take my hand: 2018

2018年11月29日星期四

Aruba switch設定Radius server/Tacas server

不管是要做MAC認證或是802.1X認證，甚至是透過外部Server做switch登入帳號的驗證，都
需要設定Radius server。

設定好Radius server是做外部Server驗證中很重要的一環，也有各種參數可以調整。

基本設定

#radius-server host X.X.X.X 指定Radius Server

#radius-server host X.X.X.X key XXXX 指定Radius Server與Key，後面還可以附加
參數(acct-port/auth-port/oobm)修改radius的port號與指定oobm介面

#ip source-interface radius vlan/ip/loopback 指定來源介面(一台L3設備可能有很多
介面，要指定一個與Radius server溝通的介面)

Server group設定

在Aruba switch裡面存在著Server group的概念，雖然你可以設定15台Radius server，但是
只有前面的三台會加進預設的Server group，(做Radius認證的時候只會去詢問這三台Server)

透過指令將已經設定好的Radius server加進特定的server group

#aaa server-group radius XXX host X.X.X.X

透過指令檢視server-group設定

#show server-group radius

可以注意到一台radius server可以被新增進不同的server group

可以透過指令讓不同的驗證服務找不同Server group的Radius server，可以做到802.1X認證
找某三台Server，登入switch的radius認證找另外三台Server的設定。

#aaa authentication ssh/telnet/web/console login radius server-group XXX

為ssh/telnet/web/console登入指定某個Server group

#aaa authentication port-access eap-radius server-group XXX

為802.1X認證指定某個Server group

Radius server相關時間參數設定

預設Aruba switch會去詢問Radius server，如果5秒內沒有回應(timeout)，則會
再問一次(retransmit)，因為retransmit的預設值是3，所以會連續問1+3次，共20秒。

20秒都問不到Radius server，則會依照Server group裡的radius清單，繼續詢問'
下一台Radius server，三台都問完之後，會從第一台開始問。

這時候可以設定時間間隔(dead-time)，來讓switch不會一直去反覆詢問Radius server

#radius-server timeout <1-15> 設定timeout時間，預設5秒

#radius-server retransmit <1-5> 設定重問次數，預設3次

#radius-server dead-time <1-1440> 設定dead-time(分鐘)

#show radius 檢視相關設定

CPPM 相關指令

radius-server host X.X.X.X dyn-authorization

radius-server host X.X.X.X time-window 0

Radius server tracking

透過啟用Radius server tracking，Aruba switch會成為Radius client
去跟Radius做認證來確保Radius server的可用性

#radius-server tracking enable 啟用tracking

#radius-server tracking interval <60-86400> 設定認證間隔時間

#radius-server tracking user-name 設定user-name

檢視Aruba switch與Radius server互動的狀態

雖然可以透過show radius來檢視radius server是否存活(後面帶*號的)

但是如果想要觀察更細節的狀態，請啟用debug

#debug destination session 將debug的訊息送到session畫面

#debug security radius-server 啟用radius server的debug

Tacas server

#tacacs-server host X.X.X.X key XXX 設定Tacas server的IP/Key

#tacacs-server timeout <1-255>

#tacacs-server dead-time <0-1440>

#show tacacs 檢視設定

Tacas server不支援Server group，最多可以設定3台Tacas server

#aaa authentication telnet enable tacacs 設定telnet進enable mode使用tacas

#aaa authentication telnet login tacacs設定telnet login 使用tacas

#aaa authentication ssh enable tacacs 設定ssh進enable mode使用tacas

#aaa authentication ssh login tacacs設定ssh login 使用tacas

tacas的指令後面可以再接 none/local來指定是否使用第二種認證方式

#show authentication 檢視目前認證設定的狀態

2018年11月26日星期一

Aruba switch default gateway與ip route 0.0.0.0的差別

在使用Aruba switch的時候，很多人會疑惑設定default gateway與設定ip route 0.0.0.0 0.0.0.0
next hop這兩者有什麼差異。為什麼有時候明明設定了default gateway但是下一跳的封包
還是丟不出去，非得要設定靜態路由才行。

可以參考User guide的這段，Default gateway是當switch沒有enable routing功能的時候
才會使用的，下面測試可以幫助理解這件事情。

測試設備:3810M

韌體版本:16.05.0007

在Aruba switch啟用ip routing之前，檢視路由表如下

(這是一台初始化的Aruba switch，有使用DHCP拿到IP與gateway)

封包可以直接透過Gateway出去

但是在啟用ip routing之後，竟然就ping不通了

這是因為啟用了ip routing之後，路由表改變了(原本0.0.0.0/0->172.16.13.254不見了)

這時候就要新增路由表才能傳遞next hop的封包

2018年11月20日星期二

Airwave設定Triggers

Airwave版本:8.2.6.1

透過設定Triggers，可以讓Airwave偵測到某些狀況時發送Mail進行告警，
方便管理者及時察覺網路上的異常狀態。

設定

Airwave的Triggers有很多種可以選擇，這邊以常見的AP down為例。

1.首先先進入Triggers頁面 System->Triggers，並新增Triggers

2.Type選擇Device Down

可以依照需求再進行微調

Matching conditions可以設定命中項目才有Triggers(All=全命中、Any=命中任一條)

圖例為AP down超過5分鐘才發Triggers

可以設定針對的Folder/Group，並增添註記(紀錄這個Trigger的設定邏輯)

設定使用Mail的方式通知，並設定收到Mail時看到的寄件人，
是否在Mail中包含開始與結束的TAG，輸入要寄送的Mail，還有Alert的能見度

能見度的定義可參考

https://community.arubanetworks.com/t5/Monitoring-Management-Location/How-Logged-Alert-Visibility-in-System-gt-Triggers-works/ta-p/216451

驗證

手動拔線讓一顆AP down

可以看到AP在Airwave上down，並在Event log中有紀錄

過了五分鐘可以看到Alert出來了(Event log或是Alert頁面都可以看到)

去信箱收信可以看到信件(第一次收信，可能會在垃圾郵件內，可以手動信任)

另外再設定AP up的時候發Mail，設定如下

手動接回AP，Airwave上看到有觸發Alert

信箱檢查信件

2018年11月12日星期一

關於Aruba AP的變壓器

雖然沒有背書，不過理論上只要符合規範的變壓器都能給網路設備供電，
如果客戶不願意購買原廠變壓器，至少在副廠變壓器的選擇上要符合規範。

相關的資料在Datasheet上都有說明，例如Aruba AP320系列的變壓器規範如下。

也可以透過Datasheet上配件的部份找到原廠變壓器找相對應的規格

但是如果是比較早期的AP，在Datasheet上會找不到變壓器的細節參數(像是孔徑)

例如這份AP124/125的datasheet

https://www.arubanetworks.com/pdf/products/DS_AP124-125.pdf

但是可以透過ordering information得知變壓器的Part Number，再去Aruba support對照文件。

https://support.arubanetworks.com/Documentation/tabid/77/DMXModule/512/EntryId/9001/Default.aspx

可以看到AP124/125使用AP-AC-xxx-2的變壓器，進入相對應的資料夾就可以找到對應變壓器
的參數。

感謝Allen哥提供連結

2018年11月8日星期四

Aruba controller mirroring port

1.先SSH進入controller並進入要做monitor的port (接wireshark或分析軟體的port)

2.輸入想要監控的port，可以指定port也可以指定port-channel

3.show port monitor可以看到設定的狀況

這裡是用0/0/1 port去監控 0/0/0 port的情況

4.使用電腦接上0/0/1並開啟Wireshark即可看到封包

2018年11月5日星期一

Aruba wireless建議韌體版本

客戶常常會詢問建議的韌體版本，除了有需要特殊的功能而使用特別的版本之外，大部份都會使用有修復重大BUG的版本。

如2018/11月的這個藍芽漏洞

https://www.ithome.com.tw/news/126826

官網說明

https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2018-006.txt

官方都會釋出修復漏洞的韌體，這時候這些版本就可以當做建議版本來進行升級

2018年10月18日星期四

VMware安裝Airwave時OS的選擇/Aruba340系列AP的藍色燈號

VMware安裝Airwave時OS的選擇

近日有聽到在VMware上安裝Airwave的時候OS選擇CentOS會有無法安裝的消息
但在選擇Red hat之後便能正常安裝
目前直到8.2.7的Airwave installation guide都有推薦以CentOS 6 (64-bit)來作為安裝時的OS選擇

雖然原廠文件推薦選擇CentOS，但是如果真的裝不起來的話就選擇Red hat試試看吧!!

340系列AP的藍色燈號
340系列的Aruba AP(345/344)有支援dual-5G，所以Radio status的LED燈也新增了顏色來做為辨識
當AP運行dual-5G的時候會是藍色的燈號喔!!!