2018年11月29日 星期四

Aruba switch設定Radius server/Tacas server

Aruba switch設定Radius server/Tacas server


不管是要做MAC認證或是802.1X認證,甚至是透過外部Server做switch登入帳號的驗證,都
需要設定Radius server。
設定好Radius server是做外部Server驗證中很重要的一環,也有各種參數可以調整。


基本設定
#radius-server host X.X.X.X 指定Radius Server
#radius-server host X.X.X.X key XXXX 指定Radius Server與Key,後面還可以附加
參數(acct-port/auth-port/oobm)修改radius的port號與指定oobm介面
#ip source-interface radius vlan/ip/loopback 指定來源介面(一台L3設備可能有很多
介面,要指定一個與Radius server溝通的介面)


Server group設定
在Aruba switch裡面存在著Server group的概念,雖然你可以設定15台Radius server,但是
只有前面的三台會加進預設的Server group,(做Radius認證的時候只會去詢問這三台Server)











透過指令將已經設定好的Radius server加進特定的server group
#aaa server-group radius XXX host X.X.X.X
透過指令檢視server-group設定
#show server-group radius
可以注意到一台radius server可以被新增進不同的server group


可以透過指令讓不同的驗證服務找不同Server group的Radius server,可以做到802.1X認證
找某三台Server,登入switch的radius認證找另外三台Server的設定。
#aaa authentication ssh/telnet/web/console login radius server-group XXX
為ssh/telnet/web/console登入指定某個Server group
#aaa authentication port-access eap-radius server-group XXX
為802.1X認證指定某個Server group

Radius server相關時間參數設定
預設Aruba switch會去詢問Radius server,如果5秒內沒有回應(timeout),則會
再問一次(retransmit),因為retransmit的預設值是3,所以會連續問1+3次,共20秒。
20秒都問不到Radius server,則會依照Server group裡的radius清單,繼續詢問'
下一台Radius server,三台都問完之後,會從第一台開始問。
這時候可以設定時間間隔(dead-time),來讓switch不會一直去反覆詢問Radius server


#radius-server timeout <1-15>  設定timeout時間,預設5秒
#radius-server retransmit <1-5> 設定重問次數,預設3次
#radius-server dead-time <1-1440> 設定dead-time(分鐘)
#show radius 檢視相關設定


CPPM 相關指令
radius-server host X.X.X.X dyn-authorization
radius-server host X.X.X.X time-window 0


Radius server tracking
透過啟用Radius server tracking,Aruba switch會成為Radius client
去跟Radius做認證來確保Radius server的可用性
#radius-server tracking enable 啟用tracking
#radius-server tracking interval <60-86400> 設定認證間隔時間
#radius-server tracking user-name 設定user-name


檢視Aruba switch與Radius server互動的狀態
雖然可以透過show radius來檢視radius server是否存活(後面帶*號的)
但是如果想要觀察更細節的狀態,請啟用debug
#debug destination session 將debug的訊息送到session畫面
#debug security radius-server 啟用radius server的debug


Tacas server
#tacacs-server host X.X.X.X key XXX 設定Tacas server的IP/Key
#tacacs-server timeout <1-255>
#tacacs-server dead-time <0-1440>
#show tacacs 檢視設定
Tacas server不支援Server group,最多可以設定3台Tacas server


#aaa authentication telnet enable tacacs 設定telnet進enable mode使用tacas
#aaa authentication telnet login tacacs設定telnet login 使用tacas
#aaa authentication ssh enable tacacs 設定ssh進enable mode使用tacas
#aaa authentication ssh login tacacs設定ssh login 使用tacas
tacas的指令後面可以再接 none/local來指定是否使用第二種認證方式

#show authentication 檢視目前認證設定的狀態

2018年11月26日 星期一

Aruba switch default gateway與ip route 0.0.0.0的差別



在使用Aruba switch的時候,很多人會疑惑設定default gateway與設定ip route 0.0.0.0 0.0.0.0
next hop這兩者有什麼差異。為什麼有時候明明設定了default gateway但是下一跳的封包
還是丟不出去,非得要設定靜態路由才行。
可以參考User guide的這段,Default gateway是當switch沒有enable routing功能的時候
才會使用的,下面測試可以幫助理解這件事情。

測試設備:3810M
韌體版本:16.05.0007

在Aruba switch啟用ip routing之前,檢視路由表如下
(這是一台初始化的Aruba switch,有使用DHCP拿到IP與gateway)

封包可以直接透過Gateway出去
但是在啟用ip routing之後,竟然就ping不通了

這是因為啟用了ip routing之後,路由表改變了(原本0.0.0.0/0->172.16.13.254不見了)

這時候就要新增路由表才能傳遞next hop的封包

2018年11月20日 星期二

Airwave設定Triggers

Airwave設定Triggers


Airwave版本:8.2.6.1
透過設定Triggers,可以讓Airwave偵測到某些狀況時發送Mail進行告警,
方便管理者及時察覺網路上的異常狀態。


設定
Airwave的Triggers有很多種可以選擇,這邊以常見的AP down為例。
1.首先先進入Triggers頁面 System->Triggers,並新增Triggers


2.Type選擇Device Down
可以依照需求再進行微調


Matching conditions可以設定命中項目才有Triggers(All=全命中、Any=命中任一條)
圖例為AP down超過5分鐘才發Triggers


可以設定針對的Folder/Group,並增添註記(紀錄這個Trigger的設定邏輯)


設定使用Mail的方式通知,並設定收到Mail時看到的寄件人,
是否在Mail中包含開始與結束的TAG,輸入要寄送的Mail,還有Alert的能見度
能見度的定義可參考



驗證
手動拔線讓一顆AP down
可以看到AP在Airwave上down,並在Event log中有紀錄


過了五分鐘可以看到Alert出來了(Event log或是Alert頁面都可以看到)


去信箱收信可以看到信件(第一次收信,可能會在垃圾郵件內,可以手動信任)







另外再設定AP up的時候發Mail,設定如下


手動接回AP,Airwave上看到有觸發Alert


信箱檢查信件


2018年11月12日 星期一

關於Aruba AP的變壓器

關於Aruba AP的變壓器

雖然沒有背書,不過理論上只要符合規範的變壓器都能給網路設備供電,
如果客戶不願意購買原廠變壓器,至少在副廠變壓器的選擇上要符合規範。
相關的資料在Datasheet上都有說明,例如Aruba AP320系列的變壓器規範如下。

也可以透過Datasheet上配件的部份找到原廠變壓器找相對應的規格



但是如果是比較早期的AP,在Datasheet上會找不到變壓器的細節參數(像是孔徑)
例如這份AP124/125的datasheet
https://www.arubanetworks.com/pdf/products/DS_AP124-125.pdf

但是可以透過ordering information得知變壓器的Part Number,再去Aruba support對照文件。

https://support.arubanetworks.com/Documentation/tabid/77/DMXModule/512/EntryId/9001/Default.aspx




可以看到AP124/125使用AP-AC-xxx-2的變壓器,進入相對應的資料夾就可以找到對應變壓器
的參數。

感謝Allen哥提供連結

2018年11月8日 星期四

Aruba controller mirroring port

Aruba controller mirroring port

1.先SSH進入controller並進入要做monitor的port (接wireshark或分析軟體的port)

2.輸入想要監控的port,可以指定port也可以指定port-channel

3.show port monitor可以看到設定的狀況
這裡是用0/0/1 port去監控 0/0/0 port的情況

4.使用電腦接上0/0/1並開啟Wireshark即可看到封包


2018年11月5日 星期一

Aruba wireless建議韌體版本

Aruba wireless建議韌體版本

客戶常常會詢問建議的韌體版本,除了有需要特殊的功能而使用特別的版本之外,大部份都會使用有修復重大BUG的版本。

如2018/11月的這個藍芽漏洞
官網說明

官方都會釋出修復漏洞的韌體,這時候這些版本就可以當做建議版本來進行升級