2015年3月31日 星期二

Cisco Lightweight AP (thin ap) 

設定: 

AP#capwap ap ip address <IP address> <subnet mask> 
AP#capwap ap ip default-gateway <IP-address> 
AP#capwap ap controller ip address <IP-address>
 
檢查:
AP#show capwap ip config  
 
遇到"ERROR!!! Command is disabled. "


1.斷掉有線網路的連線
2.ap#debug lwapp console cli 
3.ap#write erase
4.ap#reload


Cisco thin AP 如何加入controller可以參考:


Cisco 瘦AP加入Controller (Lightweight AP join the Controller) 




引用:


Resetting the LWAPP Configuration on a Lightweight AP (LAP) 


ERROR!!! Command is disabled. 










張貼者:







沒有留言:
  


















標籤:
,

















          

        

          

        

2015年3月24日 星期二


          

        









brocade switch:tagged與untagged










最近碰到brocade switch,腦中一直是cisco switch的概念,轉不過來。

後來與前輩討論後,茅塞頓開XD



EXP:

vlan 100 name test by port
 tagged ethe 1/3/1 to 1/3/8
 untagged ethe 1/1/15 to 1/1/24 ethe 2/1/15 to 2/1/24



tagged ethe 1/3/1 to 1/3/8

表示我這幾個PORT帶VLAN100的TAG出去,等同於Cisco switch的trunk。



untagged ethe 1/1/15 to 1/1/24 ethe 2/1/15 to 2/1/24

表示我這幾個port等同於cisco switch的access vlan 100,

我accessport出去是不帶tag的。



Tag是在port上,帶著vlan ID來傳送,

Untag則是不帶vlan ID來傳送。 
 
 所以如果以Cisco的Trunk v.s. Acess觀念來說, 
 Tag→Trunk Mode,Untag→Access Mode。 
 



switch底下接的是終端設備,就是下untag

switch的uplink就是下tag,並帶VLAN ID。



這概念可以用在於非cisco switch,如brocade、hp、dlink......etc。 









張貼者:







沒有留言:
  


































          

        

          

        

2015年3月22日 星期日


          

        









Cisco ASA ICMP










遇到有客戶說:為什麼我在內部Ping不出去? 

看Log上面deny的訊息是從outside到inside。

EXP:

Deny icmp src outside:10.1.1.6 dst inside:172.16.1.1 (type 5, code 0) by access-group "outside_access



詢問前輩與查相關文件後,ASA對於ICMP的封包處理不是單方向允許就好,

要針對兩個放項都要放行。



一,外部要Ping到內部:

從outside或是security-level低到高預設Ping是被deny掉的。

需要增加access-list與nat才行

EXP:


pix(config)#static (inside,outside) 192.168.1.5 10.1.1.5 netmask 255.255.255.255
pix(config)#access-list 101 permit icmp any host 192.168.1.5 10.1.1.5
pix(config)#access-group 101 in interface outside



二、內部要Ping到外部:

 有兩種方式

A:內部Ping外部的時候,回來的訊息允許放行,其他的icmp封包從外部進來時可能為外部主機的行為。

EXP: 


access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any source-quench 
access-list 101 permit icmp any any unreachable  
access-list 101 permit icmp any any time-exceeded
access-group 101 in interface outside


B: 設定ICMP inspection


允許受信任的IP可以通過防火牆,回來的訊息也可以回到受信任的主機上。


EXP: 


policy-map global_policy
    class inspection_default
     inspect icmp


 


參考文件:ASA/PIX/FWSM: Handling ICMP Pings and Traceroute











張貼者:







沒有留言:
  


















標籤:
,

















        

      









訂閱:
文章 (Atom)