BlueJacket With Silent

[Lab] [OS6400] OmniSwitch Loopback Detection

水手 — Wed, 21 Sep 2011 09:33:47 +0000

先前提到OS6250-24M的Loopback Detection…
現在已經可以在OS6400、OS6850…等型號實現了 …..

Firmware 為6.4.4.373.R01

設定方式與OS6250-24M相同..
但有一點需要注意的是…
他沒有autorecovery-timer可以設定…

其實在6400以上的設備….
有一個指令是violation-recovery
這個功能是設計成共用的方式…
比方說Netsec(for OS6850以上)、LBD(Loopback Detection)….
當功能觸發時，
會把port shutdown …

但是你會發現…用admin up的指令會無效
那是因為他把這些異常歸類為violation

所以你如果要手動恢復…就要下

interface 1/1 clear-violation-all

若是要等自動恢復…
可以查看恢復的時間

show interfaces violation-recovery

[Lab] OmniSwitch DHCP Snooping 解決DHCP私設IP問題

水手 — Fri, 17 Jun 2011 11:03:18 +0000

我們時常會使用DHCP來讓user取得IP上網，
就可以免除讓user自己設定(多半都看不懂，還要去現場幫他設…)

除此之外，
有些會需要作限制流量的需求，
通常user流量爆了，
會偷偷改一個IP …
然後，又可以開心的使用網路…

OmniSwitch的dhcp snooping有分兩種模式
switch-level 跟 vlan-level…
switch-level顧名思義就是整個switch都啟動dhcp snooping
vlan-level就是針對vlan來作dhcp snooping
但是在vlan-level時，他不支援option82…
所以各取所需囉…

以下我就用vlan-level來作說明
指令如下

ip helper dhcp-snooping vlan 10
ip helper dhcp-snooping binding enable
ip helper dhcp-snooping port 1/1 ip-source-filter enable
ip helper dhcp-snooping port 1/10 trust

首先…
第一行是針對vlan 10來啟動dhcp snooping
接下來再啟動binding的功能(後續會說明啟動這個會有什麼效果)
然後針對port 1/1 來作過濾是否為私設IP
port 1/10就是你的dhcp server所接的位置囉，要設定成trust，不然server沒有辦法配IP給user

binding這個功能會去比對dhcp server上的mac address mapping table
這樣可以讓他判斷，user到底是跟dhcp server要IP…還是他自己偷偷設IP

以上述的設定來說…
port 1/1的user，他是無法用私設IP上網，switch會drop他的封包
其他屬於vlan 10的port則可以私設IP來上網…
這樣我們就知道ip-source-filter的功用囉

另外
有時候我們必須私設一個IP給設備使用，
但是剛好在啟動dhcp snooping的vlan裡，
這時我們可以設定一個static的binding….

ip helper dhcp-snooping binding ff:ff:ff:ff:ff:ff port 1/1 address 192.168.10.20 vlan 10

這樣這個設備就可以從port 1/1 私設192.168.10.20來上網囉
要拿掉的話就下

no ip helper dhcp-snooping binding ff:ff:ff:ff:ff:ff port 1/1

另外有一點很重要的是…
有時候我們常常會遇到私設IP的人…
設定到我們正常使用的IP…
當他比我們早一步連通網路時…
windows就會跳出一個視窗寫說網路上有一個位址的IP跟您衝突…..
一時間要抓是誰，也很困擾…
若又是緊急需要上網查資料…結果不能用…還真的很想砍人….

但是當有啟動binding以及ip-source-filter時，
就不用擔心有人盜你的IP…
就算他比你早開機…
也不用擔心不能上網，跳出IP衝突的視窗了…
是不是很棒呢…

[Lab] [OS6250-24M] OmniSwitch Single Port Loopback Detection

水手 — Tue, 31 May 2011 07:54:29 +0000

以往在Switch上，
我們可以利用Spanning tree去管制port loop(此處說的是具有網管功能的Switch)，
但前提是…
loop必須產生在Switch的port上 ..

但在實際的環境中，
絕大部分都是Switch底下串Hub，
而loop都是在Hub上產生…
此時Switch上的Spanning tree就毫無招架之力…
只能任由Broadcast Storm無情的肆虐著我們的網路….>.<|||

這種情形一般都稱做Single Port Loopback…
目前知道Extreme 全系列有抑制Single Port Loopback的功能(聽說的…小弟還沒實際測過)

現在OmniSwitch也有支援這個功能了，
並且將功能放在新的OS6250 Metro Models

目前M Models有出OS6250-8M、24M
而且他的AOS不是採用OS LS 6200系列的firmware…
所以在指令上面可以統一了….

在 Loopback Detection的部份預設是沒有啟動…
可以透過指令將他啟動

loopback-detection enable
loopback-detection transmission-timer 5
loopback-detection autorecovery-timer 60
loopback-detection port 1/1-28 enable

transmission-timer表示偵測幾秒後將port shutdown
autorecovery-timer表示幾秒後將port恢復

[Lab] OmniSwitch Routing by RIP

水手 — Mon, 11 Apr 2011 06:20:44 +0000

這個Lab的環境是
router : OS6400
RIP v2…(Omniswitch send預設v2, receive預設both)
Local route…

基本上在官方User Guide裡面有基本的設定，
但是需要注意的是route-map與redist的部份，
如果沒有設定這兩個，route是不會出現任何rip routing

如果你的環境是static route
那就要把ip redist改成static into rip
route-map名稱也記得改一下，以免混淆…

以下為router設定

vlan 1 enable name "VLAN 1"
vlan 2 enable name "VLAN 2"
vlan 2 port default 1/5

ip interface "VLAN 1" address 192.168.1.254 mask 255.255.255.0 vlan 1 ifindex 1
ip interface "VLAN 2" address 192.168.3.254 mask 255.255.255.0 vlan 2 ifindex 2

ip load rip
ip rip interface "VLAN 1"
ip rip interface "VLAN 1" status enable
ip rip status enable

ip route-map "local-to-rip" sequence-number 10 action permit
ip redist local into rip route-map "local-to-rip" status enable

vlan 1 enable name "VLAN 1"
vlan 2 enable name "VLAN 2"
vlan 2 port default 1/5

ip interface "VLAN 1" address 192.168.1.253 mask 255.255.255.0 vlan 1 ifindex 1
ip interface "VLAN 2" address 192.168.2.254 mask 255.255.255.0 vlan 2 ifindex 2

ip load rip
ip rip interface "VLAN 1"
ip rip interface "VLAN 1" status enable
ip rip status enable

ip route-map "local-to-rip" sequence-number 10 action permit
ip redist local into rip route-map "local-to-rip" status enable

設定完後，
RIP就會自動生效，
下圖為生效後的狀況

[Ubuntu] 啟動Two Finger Touchpad

水手 — Thu, 03 Feb 2011 10:10:34 +0000

找了一下子才找到解決方法，
大部分找到的都是要用xinput來啟動
這個方法可能適用10版之前吧…

目前我裝在NB上的是10.10
NB是asus u36jc

啟動方法是先下載一個package
https://bugs.launchpad.net/ubuntu/+source/linux/+bug/308191/+attachment/1771346/+files/synaptics-dkms_1.1.1_all.deb

安裝完後重新啟動
然後在系統->偏好設定->滑鼠
點到觸控板的頁簽
會發現底下捲動方式的兩點捲動已經可以點了（沒裝package之前都不能點）
點了他之後就可以用囉

[PFsense] Captive Portal Local認證+Radius

水手 — Mon, 29 Nov 2010 00:15:27 +0000

最近替一間學校的圖書館放了一台PFsense
要幫fat AP做captive portal..

PFsense預設只能選擇一種認證方式,

所以免不了要改程式…

請用shell方式登入
編輯/usr/local/captiveportal/index.php
找

} else if ($_POST['accept'] && $config['captiveportal']['auth_method'] == "local") {

    //check against local usermanager
    $userdb = &$config['captiveportal']['user'];

    $loginok = false;

    //erase expired accounts
    if (is_array($userdb)) {
        $moddb = false;
        for ($i = 0; $i < count($userdb); $i++) {
            if ($userdb[$i]['expirationdate'] && (strtotime("-1 day") > strtotime($userdb[$i]['expirationdate']))) {
                unset($userdb[$i]);
                $moddb = true;
            }
        }
        if ($moddb)
            write_config();

        $userdb = &$config['captiveportal']['user'];

        for ($i = 0; $i < count($userdb); $i++) {
            if (($userdb[$i]['name'] == $_POST['auth_user']) && ($userdb[$i]['password'] == md5($_POST['auth_pass']))) {
                $loginok = true;
                break;
            }
        }
    }

    if ($loginok){
        captiveportal_logportalauth($_POST['auth_user'],$clientmac,$clientip,"LOGIN");
        portal_allow($clientip, $clientmac,$_POST['auth_user']);
    } else {
        captiveportal_logportalauth($_POST['auth_user'],$clientmac,$clientip,"FAILURE");
        portal_reply_page($redirurl, "error");
    }

把他們全部註解掉 or 刪除

再找

} else if ($_POST['accept'] && $radius_enable) {

    if ($_POST['auth_user'] && $_POST['auth_pass']) {
        $auth_list = radius($_POST['auth_user'],$_POST['auth_pass'],$clientip,$clientmac,"USER LOGIN");

        if ($auth_list['auth_val'] == 1) {
            captiveportal_logportalauth($_POST['auth_user'],$clientmac,$clientip,"ERROR",$auth_list['error']);
            portal_reply_page($redirurl, "error", $auth_list['error']);
        }
        else if ($auth_list['auth_val'] == 3) {
            captiveportal_logportalauth($_POST['auth_user'],$clientmac,$clientip,"FAILURE",$auth_list['reply_message']);
            portal_reply_page($redirurl, "error", $auth_list['reply_message']);
        }
    } else {
        captiveportal_logportalauth($_POST['auth_user'],$clientmac,$clientip,"ERROR");
        portal_reply_page($redirurl, "error");
    }

改成

} else if ($_POST['accept'] && $radius_enable) {

    //check against local usermanager
    $userdb = &$config['captiveportal']['user'];

    $loginok = false;

    //erase expired accounts
    if (is_array($userdb)) {
        $moddb = false;
        for ($i = 0; $i < count($userdb); $i++) {
            if ($userdb[$i]['expirationdate'] && (strtotime("-1 day") > strtotime($userdb[$i]['expirationdate']))) {
                unset($userdb[$i]);
                $moddb = true;
            }
        }
        if ($moddb)
            write_config();

        $userdb = &$config['captiveportal']['user'];

        for ($i = 0; $i < count($userdb); $i++) {
            if (($userdb[$i]['name'] == $_POST['auth_user']) && ($userdb[$i]['password'] == md5($_POST['auth_pass']))) {
                $loginok = true;
                break;
            }
        }
    }

    if ($loginok){
        captiveportal_logportalauth($_POST['auth_user'],$clientmac,$clientip,"LOGIN");
        portal_allow($clientip, $clientmac,$_POST['auth_user']);
    } else {
        if ($_POST['auth_user'] && $_POST['auth_pass']) {
            $auth_list = radius($_POST['auth_user'],$_POST['auth_pass'],$clientip,$clientmac,"USER LOGIN");

            if ($auth_list['auth_val'] == 1) {
                captiveportal_logportalauth($_POST['auth_user'],$clientmac,$clientip,"ERROR",$auth_list['error']);
                portal_reply_page($redirurl, "error", $auth_list['error']);
            }
            else if ($auth_list['auth_val'] == 3) {
                captiveportal_logportalauth($_POST['auth_user'],$clientmac,$clientip,"FAILURE",$auth_list['reply_message']);
                portal_reply_page($redirurl, "error", $auth_list['reply_message']);
            }
        } else {
            captiveportal_logportalauth($_POST['auth_user'],$clientmac,$clientip,"ERROR");
            portal_reply_page($redirurl, "error");
        }
    }

觀念很簡單…
只是把原本註解的Local認證…
改到判斷radius的地方..
優先從Local認證…
失敗後…再判斷radius…

改完後…
請把預設選項設定成RADIUS authentication

Alcatel Omniswitch cacti template

水手 — Tue, 17 Aug 2010 14:42:32 +0000

給Alcatel OmniSwitch用的template

有分多個slot跟一般的switch

以下就是多個slot的圖跟68系列的圖，

基本上…68系列都是cmm跟slot1，
66系列的是cmm跟slot8….
就看自己的需求去調配…

MultiSlot的部份基本上就是直接拉16個slot上去…
沒有接的就會呈現-nan…
所以往後有新增slot～他會自己產生數據～不需要再去調整…

cacti alcatel template - 18.56 kB - 下載次數 145

自動備份Alcatel OmniSwitch設定檔

水手 — Thu, 17 Jun 2010 16:53:42 +0000

續之前自動備份FortiGate設定檔
把他改成給Alcatel OmniSwitch使用

#!/bin/bash
user="帳號"
password="密碼"
tftp_ip="tftp的主機"
ac_devices="Alcatel的ip1 Alcatel的ip2"
date="$(date +"%Y%m%d")"

for ac_device in $ac_devices ; do
  expect -c "
  set timeout 10
  spawn ssh $user@$ac_device
  expect \"(yes/no)\" { send \"yes\r\"; exp_continue }
  expect \"*?method:\"
  set send_slow {1 0.05}
  send -s \"$password\r\"
  expect \"*->\"
  send -s \"tftp $tftp_ip put source-file /flash/working/boot.cfg destination-file $date.cfg ascii\n\"
  expect \"*->\"
  send -s \"exit\n\"
  interact"

  mv /home/tftproot/$date.cfg /home/alcatelconfig/$ac_device/$date.cfg
done

OmniSwitch Mobile Vlan特性解說

水手 — Mon, 14 Jun 2010 07:11:13 +0000

Mobile Vlan是屬於Alcatel Switch的一個特殊功能,

他可以解決Mutliple Gateway by Vlan 的Broadcast domain過大而造成整個domain不穩定的問題
卻又可發揮相同的功效….也就是說不同的網段可以共用一個port上線…

但是使用上必須要注意一點….
這個port底下最好不要有Server ….

為什麼會說不要有Server呢…
除非你Server的網段是default vlan….
不然就會發生我們俗稱 "睡著" 的問題….

如果閒置一段時間…這台Server會消失在Gateway的arp table表中…
這….應該算是保護機制吧 …

要如何開啟mobile的功能呢….

vlan port mobile 1/1

這就是啟動後的效果

如果要取消…則是

vlan no port mobile 1/1

FreeRadius pop3認證程式(加入pop3 ssl認證判斷)

水手 — Tue, 09 Mar 2010 09:07:31 +0000

2010-10-07
這次把ssl判斷也加上去囉…
這樣就可以對只能用pop3s協定的主機做認證了
使用前…perl必須先安裝兩個模組

#cpan

cpan[1]>install Mail::POP3Client
cpan[2]>install IO::Socket::SSL

日前有廠商問我有沒有辦法寫一個pop3認證程式給radius用

我是記得之前有人有改過用pam去做認證，但是一次只能對一台pop3做認證…
雖然有人有改出來…但是卻沒有提供source

而我以前的師父是直接改pam的source去達成….
http://cym6112.blogspot.com/2008/01/freeradius-pampop3-mail-server-pop3.html

那我的作法…因為我比較懶惰..我想要能夠持續用apt或者是yum去更新server的套件…
所以是用外掛的方式…寫一隻script去完成這項工作

#!/usr/bin/perl
# Example:
# pop3.pl 你的認證主機 username password 是否使用ssl(1 or 0)

use Mail::POP3Client;

my $hostname=$ARGV[0];
my $username=$ARGV[1];
my $password=$ARGV[2];
my $ssl=$ARGV[3];

$pop = Mail::POP3Client->new(
        USER => $username,
        PASSWORD => $password,
        HOST => $hostname,
        USESSL => $ssl,
);

if($pop->Connect()){
  # login success
  # ex... "Aruba-User-Role = guest";
  print "";
}else{
  # login fail
  exit 4;
}
$pop->Close;

這隻程式就看你要丟去哪裡囉…
記得要讓freeradius的使用帳號有權限去執行它..

程式裡面的 login success
看你要輸出什麼參數給radius做接收…
fail的話就不要輸出任何訊息

接下來要如何使用這隻script呢？
我們要先編輯users
下面加入

DEFAULT Auth-Type = Accept, User-Name !~ "@"
        Exec-Program-Wait = "/usr/local/bin/pop3.pl 你的認證主機 %u %{Password} 0",
        Fall-Through = 1,

DEFAULT Auth-Type = Accept, User-Name =~ "@你的認證主機domain"
        Exec-Program-Wait = "/usr/local/bin/pop3.pl 你的認證主機 %u %{Password} 1",
        Fall-Through = 1,

加完之後…記得要去proxy.conf裡面去加入你需要的認證主機的domain哦