2018年4月23日 星期一

Aruba/HPE switch查詢/封鎖非法或是中毒的設備


準備研習的時候,某間學校老師預先提出想要了解的功能,十分的有趣
當網路環境沒辦法導入一些高級的solution的時候,我們也可以動動手指用簡單的方式來達成需求

Aruba/HPE switch查詢/封鎖非法或是中毒的設備

有些時候我們會透過防火牆或是其它方式發現網路上有中毒/非法的設備,當沒有導入一些相對應的解決方案時,最簡單的方式就是手動到switch上去尋找並封鎖那個設備,這邊預設我們已經知道了設備的IP/MAC。

1.首先可以先在switch上檢視MAC Table與ARP Table,這兩種Table各家的switch都有
Aruba switch:show arp/show mac-address
HPE switch:display arp/display mac-address

可以看到ARP table與MAC table裡都有各IP/MAC與其對應的port,透過查找的方式可以簡單的得知目標設備是連接在哪一台switch的哪一個port上
(如果資訊太多,後面還可以接上相關指令去做過濾,可以用?號查詢可以帶上那些相關指令,也可以整個複製成文字檔用Ctrl+F的方式搜尋)


2.得知了目標設備是接在哪一台的哪一個port上,我們就有很多方式可以做阻擋
像是走到設備所在的位置將設備物理性的移除/破壞、拔線或是disable port

或是將MAC加入黑名單
Aruba switch:lockout-mac MAC
HPE switch:mac-address blackhole MAC vlan X (要指定vlan)

基本上將MAC加入黑名單的方式可以徹底杜絕此設備在此台switch上使用的可能性

2018年4月16日 星期一

Airwave升級韌體(8.2.4.1選單模式)

Airwave升級韌體(8.2.4.1選單模式)


傳統的方式是將升級版本上傳至Airwave,再進入底層下指令升級,但在8.2.4.1中將指令列移除
,使用選單模式代替,此處說明升級韌體的方式


1.進入選單中的升級韌體處(7upgrade->1upgarde Airwave Management Platform)

輸入要升級的AMP version(此處以8.2.5為例)
不使用代理伺服器,接著輸入Aruba support portal的帳號密碼
接著就可以看到Airwave開始升級(Upgarding AMP to version 8.2.5 from version 8.2.4.1)


之後就升級成功了

PS:原廠是有後門帳號密碼可以登入Airwave的,一登入後就會回到之前正常的Linux底層
模式,但是目前還不流出QQ

Aruba controller設定SSID某段時間無法連線

Aruba controller設定SSID某段時間無法連線


1.首先在configuration->Access Control->Time range
新增一個Time range




2.輸入名稱之後,選擇 固定的時間(Absolute)
接著輸入起始日期/時間與結束日期/時間








或是選擇間隔(Periodic)

可以新增多筆,範例如下,新增完畢之後按下右下角的apply完成設定


3.接著到Configuration->All profile->Wireless LAN->Virtual AP
點擊profile後點Advanced 找到Deny time range

4.展開Deny time range的選單,可以選擇剛剛新增的time range的profile
再按apply確認設定


5.如此一來,此Virtual AP profile發的SSID就會在指定的時間內無法接入,可以參照User guide的說明


6.time range也可以應用在policy上,在編輯policy時加入time range可以做更細微的設定


2018年4月13日 星期五

Aruba controller設定NAT

Aruba controller設定NAT

在某些情況下,Aruba controller會需要設定NAT,通常是在客戶環境不想另外新增一個vlan給wifi使用。這種情況底下可以設定NAT,讓Client將controller當作Gateway,透過controlller對外連線。

1.新增一個vlan
2.給予vlan IP與勾起Enable source NAT inside for this VLAN
Enable source NAT inside for this VLAN

3.為這個vlan設定DHCP


4.在Virtual AP profile分配此vlan

這樣就完成了

使用者連線之後會被分配到此vlan,並收到controller配送的DHCP IP
要做路由的封包會被送到Gateway(controller),然後透過controller IP出去