2015年8月28日 星期五

Cisco switch connect Cisco Thin ap

筆記一下~

因為Cisco thin AP是不帶tag的。

所以如果只有一個vlan,switch連接ap的port可以成access。


但如果是多ssid,也就是多個vlan。


那switch連接的port就要是trunk port。

如果管理ap的vlan不是預設1的話。

就要更改native vlan。

2015年8月18日 星期二

Cisco ASA 5545-X Transparent mode

Cisco ASA 5545-X Transparent mode

以下是設定

1.
firewall transparent
//轉換之後設定都會洗掉//
2.
 interface Management0/0
 management-only
 nameif managemant
 security-level 80
 ip address 192.168.1.253 255.255.255.0
3.
interface Port-channel1
 lacp max-bundle 8
 port-channel min-bundle 2
 nameif inside
 bridge-group 1
 security-level 100
!
interface Port-channel2
 lacp max-bundle 8
 port-channel min-bundle 2
 nameif outside
 bridge-group 1
 security-level 0

4.
interface GigabitEthernet0/0
 channel-group 1 mode on
 no nameif
 no security-level
!
interface GigabitEthernet0/1
 channel-group 1 mode on
 no nameif
 no security-level
!
interface GigabitEthernet0/2
 channel-group 2 mode on
 no nameif
 no security-level
!
interface GigabitEthernet0/3
 channel-group 2 mode on
 no nameif
 no security-level
!
5.
interface BVI1
 ip address 192.168.2.5 255.255.255.248  

//重要,這IP要跟與其他兩台聯接的IP要同網段。所以兩台對接的IP就不能/30。//

6.
http server enable
http 0.0.0.0 0.0.0.0 managemant

7.用ASDM進去把ACL開啟就可以了。

2015年6月12日 星期五

Fortigate-LDAP Servers初步設定

Name:
自行設定名稱。
Server Name/IP:
AD Server的名稱或IP。
Server Port:
預設就好389。
Common Name Identifer:
預設是CN。有三種可填,UPD(Display Name)、CN(Full Name)、
sAMAccountName,如果有中文OU的話,可以填sAMAccountName忽略掉。
Distinguished Name:
要搜索的目標:這邊可以先只填最上面那層,比如說公司域名是
abc.com.tw,就可以先填→dc=abc,dc=com,dc=tw,等下面都輸入完TEST過了,可以再點右邊資料夾來選擇。
Bind Type:
這邊大部分都選擇Regular(正規)。
User DN:
輸入要拿來查詢所使用的帳號,比如說帳號是littlecut,在User群組內,輸入
CN=littlecut,CN=User,DC=abc,DC=com,DC=tw
Password:就是那帳號的密碼。

Test 有跳出successful就沒問題了。
也可以回到Distinguished Name來選擇要搜尋的目標。

Fortigate在5.2.3版本裡,Security profiles內選項沒profiles可以選

最近遇到個小問題,在以前版本的時候,
Security Profiles內的選項是有profile可以選的。

可是在5.2.3,這東西就消失了......


 只要到System→Config→Features,把Multiple Security Profiles ON起來即可。


 




老實說我不太懂fortinet要把這東西預設是關掉的理由是啥......




2015年5月25日 星期一

Fortigate 升版成v5.2.0之後,Dhcp server底下沒有Advanced Options

Fortigate升版到5.2.3,發覺DHCP SERVER底下沒有Advanced Options


在CLI底下key:

config system global
set gui-dhcp-advanced enable
end


再回到網頁就會發現他回來了~


2015年5月22日 星期五

當fortigate的utm開啟antivirus功能時,FTP抓大檔會無法下載的狀況

有遇到在使用FTP時,FTP連線OK,可是在抓檔案的時候就卡住,最後就斷線。

主要是因為FTP client 在跟FTP Server在抓檔案的時候,
會經過fortigate NAT出去後,fortigate幫你抓。
因為有開啟antivirus,所以會在fortigate身上等掃描。

可是FTP client一直等不到回應,最後就會斷線。

只要把Policy→Proxy Option的Comfort clients勾起來就OK了。

2015年5月20日 星期三

fortigate clear session and debug trace


diagnose sys session filter src IP
diagnose sys session filter dport Port-number
diagnose sys session clear

diagnose debug enable
diagnose debug flow show console enable
diagnose debug flow filter add IP
diagnose debug flow trace start 100

2015年5月6日 星期三

Fortigate-route

筆記一下

LAB

當FG對外線路有三條,我把三條線路綁成一個zone-WAN。
static route就是三條線路的對點IP。
policy那邊LAN to WAN開允許全部。
此狀況有備援功能,有一條線路斷掉的時候就會切到其他線路。

如果有設定policy route的時候,被設定的IP只會通過某個介面出去。
假如policy route的介面斷掉的時候,不會走回去static route 。

2015年4月16日 星期四

FortiAP & Fortigate 快速初步設定

此次設定是fortigate與AP是L2打通,沒有跨網段的問題。


(跨網段我一直弄不出來......Orz,接NB都有拿到IP啊,為什麼Fortigate上找不到AP)
後來弄出來了~後面會補充


1.設定要接AP的interface,注意要把CAPWAP勾選。
   DHCP Sever要啟用,讓AP能拿到IP。


 2.設定SSID介面,這裡的DHCP是指User透過無線連上來的時候所得到的IP。
    

3.設定SSID


4.Fortiap設定配置,如果找不到AP型號就需要升版。


5.AP設定配置


6.AP設定配置完畢


7.如果AP有順利拿到IP,託管這邊就會顯示,把要納入的IP允許授權


8.等一下他就會狀況打綠色的勾勾


9.再去policy設定


今天如果環境內有L3設備會跨網段,那DHCP Server就要派送的資訊就要加入Access Controller的IP。
1.在CLI環境下 config system dhcp server,
然後show,看之前建立的DHCP server資訊。

  
edit 1,然後是重點:set option 138 16進制的IP

比如說10.1.1.1→A111,但要注意一點,他是吃8個字,所以不足的地方要補0:
10.1.1.1→A111→0A010101

這樣跨網段那些AP也可以要到IP並且得知AC的位址了。


當然也可以手動設定IP。

預設AP的IP是192.168.1.2,筆電或電腦設192.168.1.3,兩邊用跳線telnet。

輸入

cfg -a AP_IPADDR="192.168.118.10"

cfg -a AP_NETMASK="255.255.255.0"

cfg -a IPGW="192.168.118.230"

cfg -a AC_IPADDR_1="192.168.118.113"

cfg -a ADDR_MODE="STATIC"

cfg -c

如果IP不對或不知道密碼就按reset洗掉~

2015年4月3日 星期五

IP位址的快速計算

1.256-遮罩=區塊大小(遮罩內不是0也不是255的數值)
2.區塊號碼=整數=該IP位址/區塊大小(IP位址為對應遮罩不是0也不是255的部分)
3.區塊大小*區塊號碼=網路IP位址
4.區塊大小*(區號號碼 +1)=下一個網路IP位址,然後再減一就是廣播位址


EXP
IP為10.18.9.12 ,遮罩為255.252.0.0
1.256-252=4
2.18/4取整數=4
3.4*4=16,該10.18.9.12的網路IP位址為10.16.0.0
4.下一段IP位址是10.20.0.0,廣播位址為10.19.255.255




2015年4月2日 星期四

Fortigate NAT to Transparent

最近拿一台Fortigate 60D,要把Operation Mode從NAT改成Transparent。

可是設定完IP之後,都跳出: Input value is invalid。

用CLI下:

config system settings
    set opmode transparent
end 


跳出:


allowaccess of interface wan2 can't enable auto-ipsec in transparent mode.
node_check_object fail! for opmode transparent
Attribute 'opmode' value 'transparent' checkingfail -651
Command fail. Return code -651


還來是進介面WAN1與WAN2的"auto-ipsec"選項拿掉才順利轉成Transparent。

2015年3月31日 星期二

Cisco Lightweight AP (thin ap)

設定: 
AP#capwap ap ip address <IP address> <subnet mask> 
AP#capwap ap ip default-gateway <IP-address> 
AP#capwap ap controller ip address <IP-address>
 
檢查:
AP#show capwap ip config  
 
遇到"ERROR!!! Command is disabled. "

1.斷掉有線網路的連線
2.ap#debug lwapp console cli 
3.ap#write erase
4.ap#reload

Cisco thin AP 如何加入controller可以參考:
Cisco 瘦AP加入Controller (Lightweight AP join the Controller) 

引用:
Resetting the LWAPP Configuration on a Lightweight AP (LAP) 
ERROR!!! Command is disabled. 

2015年3月24日 星期二

brocade switch:tagged與untagged

最近碰到brocade switch,腦中一直是cisco switch的概念,轉不過來。
後來與前輩討論後,茅塞頓開XD

EXP:
vlan 100 name test by port
 tagged ethe 1/3/1 to 1/3/8
 untagged ethe 1/1/15 to 1/1/24 ethe 2/1/15 to 2/1/24


tagged ethe 1/3/1 to 1/3/8
表示我這幾個PORT帶VLAN100的TAG出去,等同於Cisco switch的trunk。

untagged ethe 1/1/15 to 1/1/24 ethe 2/1/15 to 2/1/24
表示我這幾個port等同於cisco switch的access vlan 100,
我accessport出去是不帶tag的。

Tag是在port上,帶著vlan ID來傳送,
Untag則是不帶vlan ID來傳送。

所以如果以Cisco的Trunk v.s. Acess觀念來說,
Tag→Trunk Mode,Untag→Access Mode。


switch底下接的是終端設備,就是下untag
switch的uplink就是下tag,並帶VLAN ID。

這概念可以用在於非cisco switch,如brocade、hp、dlink......etc。

2015年3月22日 星期日

Cisco ASA ICMP

遇到有客戶說:為什麼我在內部Ping不出去?
看Log上面deny的訊息是從outside到inside。
EXP:
Deny icmp src outside:10.1.1.6 dst inside:172.16.1.1 (type 5, code 0) by access-group "outside_access

詢問前輩與查相關文件後,ASA對於ICMP的封包處理不是單方向允許就好,
要針對兩個放項都要放行。

一,外部要Ping到內部:
從outside或是security-level低到高預設Ping是被deny掉的。
需要增加access-list與nat才行
EXP:
pix(config)#static (inside,outside) 192.168.1.5 10.1.1.5 netmask 255.255.255.255
pix(config)#access-list 101 permit icmp any host 192.168.1.5 10.1.1.5
pix(config)#access-group 101 in interface outside

二、內部要Ping到外部:
 有兩種方式
A:內部Ping外部的時候,回來的訊息允許放行,其他的icmp封包從外部進來時可能為外部主機的行為。
EXP:
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any source-quench 
access-list 101 permit icmp any any unreachable  
access-list 101 permit icmp any any time-exceeded
access-group 101 in interface outside
B: 設定ICMP inspection
允許受信任的IP可以通過防火牆,回來的訊息也可以回到受信任的主機上。
EXP: 
policy-map global_policy
    class inspection_default
     inspect icmp
 
參考文件:ASA/PIX/FWSM: Handling ICMP Pings and Traceroute