2019年3月22日 星期五

Cisco WLC Client Exclusion Policies

最近在配置Cisco WLC的MAC Filtering遇到個問題。

user網卡在SSID-1有在白名單內,而SSID-2沒有。

如果user先連到SSID-2,會無法連線,這是正常行為。

然後user在連線到SSID-1,會發生無法連線狀況。

要請user等一段時間再連SSID-1,或是管理者在WLC GUI的client,

把該網卡後給remove,這邊會看到網卡號連到SSID為SSID-2,IP為0.0.0.0。


目前找到的解法是,到Security→Wireless Protection Policies→Client Exclusion Policies
Excessive 802.11 Association Failures
Excessive 802.11 Authentication Failures
Excessive 802.1X Authentication Failures
把這三個取消



F5 BIGIP I2000開機

紀錄一下
F5 BIGIP I2000開機不像之前機型插電就好。
還要到LCD,System>Power on,才會開機正常。

2018年9月25日 星期二

F5 LTM 內部設備要存取Virtual Server

目的:
內部設備要存取Virtual Server
比如
172.16.2.1要存取10.2.2.222到172.16.2.200與172.16.2.100,
172.16.1.1要存取10.1.1.111到172.16.1.200與172.16.1.100。

如果不設定會不通,因為是去回不同路,過去會帶F5或virtual server的ip,但回來會回到原本的IP。

設定方式:
Virtual Server的source address translation選擇Auto Map、source port 選Preserve

如果選擇automap,那會帶outgoing floating IP (只有單台就是 outgoing interface IP)出去

LAB架構:


設定截圖:

參考:
pool members can't connect to their own Virtual Server

F5 LTM 路由問題(內對外)

一般來說,F5的LTM主要是服務外對內做附載平衡。
外面的人連F5的一個Virtual server IP,F5往Pool Member丟,Pool Member裡面有很多個Node Server,使用Round Robin或其他方式來達到附載平衡。

如果是內對外呢?可能Node Server或其他不是Node的設備要出去做其他服務。
這邊就要設定"IP forwarding virtual servers"。
官方KB→https://support.f5.com/csp/article/K7595

Creating an IP forwarding virtual server
  1. Log in to the Configuration utility.
  2. Navigate to Local Traffic > Virtual Servers.
  3. Click Create.
  4. Enter a Name for the virtual server.
  5. From the Type menu, select Forwarding (IP). Enter the ip address in CIDR format (example: 192.168.0.100/24 or 192.168.0.100/255.255.255.0) in the Destination Address text box.

    Note: For BIG-IP versions prior to 11.6.0., if the destination is a single host, select Host, or if the destination is a network, select Network. Enter the IP address for the virtual server (enter a Netmask if the destination is a network.  
  6. Enter a Service Port number, or Select a service from the adjacent menu (type an asterisk character to match all ports).
  7. Clear the Notify Status to Virtual Address check box.
  8. Click Finished.
LAB:

目的:172.16.1.0/24與172.16.2.0/24要互通

設定截圖:



2018年9月12日 星期三

Fortigate 登出自動備份

參考原廠KB
http://kb.fortinet.com/kb/viewContent.do?externalId=FD38725&sliceId=1


# config system global
# set revision-backup-on-logout enable
# end

 可以登出自動本機備份設定,設定比對

不懂為什麼預設是關閉的~"~

2018年9月5日 星期三

DMVPN

最近似乎有DMVPN的需求,網路找的資料記錄一下~

https://www.jannet.hk/zh-Hant/post/dynamic-multipoint-virtual-private-network-dmvpn/

http://www.china-ccie.com/doc/vpn/vpn.html#37

https://ccie.lol/knowledge-base/lab-dmvpn-ipsec-multicast/

2018年8月6日 星期一

Cisco IOS命名-Denali, Everest, Fuji



最近來了兩台4321,想說上cisco建議版本。

到cisco download看,發現改成好幾個版本號。

找到這篇文章留存紀錄一下

https://learningnetwork.cisco.com/thread/128311

Indeed you now have 4 code type visible
Denali / Everest / Fuji and 3.6.8E
So 3.6.8E is the original or OLD type of code that was on the 3850, that has a parallel in the 16.X.X
You kinda need to get off that and onto 16.X.X
Denali (16.3.X) is the supported / tried and tested version, denali is where you should be
Everest (16.6.X) is the latest version of denali code - still not fully tested (I have heard bad reports)
Fuji (16.8.X) is like the T image of old - new versions of code and extra / new features.
You should be on Denali unless there is a specific feature that you need that isnt on Denali -
Notice the 'STAR' next to denali ?? that is the recommended version - only Denali and 3.6.X version have this recommendation.

總之就是上Denali 星號版本就對了,如果要的特殊功能沒有在Denali 版本上,才轉向Everest或是Fuji。

順帶一提,Denali, Everest, Fuji都是山的名名稱喔~XD