之前從Cisco 2960換成Cisco9200的時候,就已經發現到Solarwinds上的UDT(User Device Tracker)這個功能會失效,像下面那樣,什麼資訊都沒有
問廠商得到的答案是,Solarwinds認為是Cisco的問題,Cisco認為是Solarwinds的問題。
後來網路上爬到大神有提供解法
https://netcamp.ch/guides/cisco/cisco-solarwinds-udt-snmpv3
照著設定,UDT功能恢復啦
2025年9月9日 星期二
2025年8月1日 星期五
IPHONE無法連線到企業網路
最近遇到無法連線的問題,紀錄一下
環境:
1.IPHONE:14.7.1
2.WLC:Cisco WLC 9800,版本17.9.6
3.認證伺服器:微軟NPS
問題描述:
手機要連線到使用WPA2認證的企業網路,輸入完帳密後,跳出憑證不受信任,是否要信任的視窗,點選"信任"後,跳出無法連線網路。
排錯:
1.在NPS上的事件檢視器找不到登入異常的log。
2.開始在WLC上找訊息
WLC> Troubleshooting >Radioactive Trace,用問題手機的MAC address追蹤,發現有個錯誤訊息是
(ERR): MAC: xxxx.xxxx.xxxx Dropping the disassoc or deauth request. 11w not enabled
後來在WLC上將該SSID啟用PMF (Protected Management Frame),選擇Optional後正常。
20250909更新
又遇到一台Ipad(版本18.6.2)無法連線,連線PSK的企業網路。
但錯誤訊息是"此網路所執行的Wi-Fi頻道正由數個其他鄰近的網路使用中。重新啟動無線路由器可能會讓其自動選用最佳的頻道,並起解決這個問題。
一樣將該SSID啟用PMF (Protected Management Frame),選擇Optional後正常。
2024年8月1日 星期四
Fortigate使用email啟用帳號二階段驗證(MFA)
1.首先設定Fortigate的SMTP
config system email-server
set reply-to {Sender_email_address}
set server {SMTP_server_FQDN/IP}
set port {SMTP_server_port_number}
set authenticate {enable | disable}
set username {username}
set password {password_string}
set security {none | starttls | smtps}
end
2.設定使用者啟用二階段驗證,以及驗證碼寄到哪個信箱。
這個設定只能使用CLI,GUI畫面只有Fortitoken cloud與Fortitoken選項
config user local
edit {username}
set type password
set two-factor email
set email-to {user_email_address}
set passwd {password}
next
end
config system admin
edit "admin"
set type password
set two-factor email
set email-to user_email_address
set passwd password
next
end
參考官方KB:
2023年7月20日 星期四
android 11手機無法連上Cisco的無線網路(Cisco/Aironet)
從Cisco官方論壇有人回答是CSCvu24770這個BUG。
CSCvu24770提到是android 10,但此篇文章也有提到android 11也會遇到。
解決方式就是在WLAN→選擇要調整的SSID→Security→Layer 2
Fast Transition的選項從 Adaptive改成enable。
應該是雙方設備協商會失敗導致,強制啟用Fast Transition,也就是802.11r。
2022年10月21日 星期五
如何將Fortianalyzer的raw data log,過濾出想要的資訊後拋出
我的Router/Switch的syslog是拋到Fortianalyzer作保存。
.jpg)
參考官方KB
最近有需求想對關鍵字的log轉拋或是告警,找了老半天終於查到如何去過濾。
如下圖
是用 " ~ " 代表包含.....
.jpg)
2022年9月16日 星期五
Fortigate發送訊息到Line
Fortigate如何訊息(比如管理員登出登入、VPN登出登入)透過LINE發送?
基本上就是兩項事情
1.IFTTT
2.Webhook
首先先到IFTTT註冊帳號,並關聯Line服務以及webhook
底下是參考截圖
.jpg)
.jpg)
Line Notify 提供三個 Vaule: Value1、Value2 、 Value3Recipient 下拉選單可以看到自己的 Line 群組清單,所以可以指定發送訊息到什麼群組內
.jpg)
網址後馬賽克的內容就是金鑰,請不要外流,外流的話就可以透過你的 LINE Notify 發訊息給你(好像也還好XD)
底下是Fortigate的設定部分
Security Fabric > Automation >
.jpg)
.jpg)
.jpg){kind=link}
URL就是Webhook給你的那一串網址
上圖就是結果~~~
這個也是跟原廠Support找好久才找到原因.....
config alertemail setting
set username "XXX@twca.com.tw"
set mailto1 "XX@twca.com.tw"
set filter-mode threshold
set severity critical
end
set username "XXX@twca.com.tw"
set mailto1 "XX@twca.com.tw"
set filter-mode threshold
set severity critical
end
Fortianalyzer沒有像Fortigate這種設定方式....希望未來可以支援~
2021年11月11日 星期四
Fortigate 有連線到208.91.112.55的阻擋紀錄
最近檢查Fortigate的IPS log,發現到有主機連線到208.91.112.55的阻擋紀錄。
這個時候,如果有啟用DNS filter就會被Fortigate redirect到208.91.112.55。
可疑檔案取得解析後IP,就會連線到208.91.112.55,而這個連線行為,就被Fortigate的IPS偵測到有問題,最後被阻擋。
才會有連線到Fortinet的IP,結果被自己家的IPS阻擋的狀況.....。
為什麼DNS filter不是阻擋而是用redirect的做法改天來問問廠商......
訂閱:
意見 (Atom)