BlueJacket With Silent

[Lab] OmniSwitch Autoconfigure

水手 — Wed, 11 Apr 2012 02:44:26 +0000

當設備量大的時候
要一台一台設定或是更新Firmware實在是很痛苦

從AOS Version 6.4.3開始就有自動設定的功能
以下就來說明如何操作

這個功能支援的型號是
OmniSwitch 6400, 6850, 6850E, 6855, 9000E
詳細的說明可至Alcatel-Lucent官網下載Network Configuration Guide

======== 基本環境 ========
環境內必須要有DHCP Server, TFTP Server
(FTP or SFTP Server)非必要

設備是處於default的狀態(尚未產生boot.cfg, OK1 LED處於橘色閃爍)

自動設定結構檔(instruction file) : 這是此功能最重要的檔案, 必須存放在tftp server, 副檔名必須為*.alu
設備設定檔(configuration file) : 可有可無, 任意檔名
除錯檔(debug file) : 可有可無, 檔名必須為AlcatelDebug.cfg
指令檔(script file) : 這個比較常用, 格式就跟我們輸入command一樣, 任意檔名
韌體檔(firmware or image file) : 附檔名為*.img

================

在我的Lab裡是將DHCP, TFTP裝在同一個Guest OS裡面
OS是用Ubuntu 10.04.4 LTS
套件為 dhcp3-server, tftpd

======== dhcpd.conf ========

option tftp-server-name "192.168.1.254";
option bootfile-name "OS6400.alu";
option domain-name "autoconfig.com.tw";
option domain-name-servers 192.168.1.254;
default-lease-time 600;
max-lease-time 7200;
subnet 192.168.1.0 netmask 255.255.255.0 {
 range 192.168.1.1 192.168.1.100;
}

這裡會用到dhcp option 66, 67
tftp-server-name(66) : 指定tftp server ip
bootfile-name(67) : 指定instruction file
================

======== instruction file ========

! Alcatel-Lucent OmniSwitch OS6400
! Firmware version
Firmware version:OS_6_4_4_463_R01
Firmware location:/srv/tftp
! Configuration file
Config filename:None
Config location:None
! Debug file
Debug filename:None
Debug location:None
! Script File
Script filename:OS6400_script.txt
Script location:/srv/tftp
! Primary file Server
Primary server:192.168.1.254
Primary protocol:TFTP
Primary user:root
! Secondary file Server
Secondary server:None
Secondary protocol:None
Secondary user:None

instruction內的格式不可以變動
若某一項沒有用到, 可在後面加上None
ex. Debug filename:None
Firmware Version的格式必須要如上述所示
================

當環境都準備好後就可將設備將上電源
設備開機, 顯示ni ready後就會準備啟動remote configure
設備會判斷本身的firmware是否與instruction內不相同
不相同就會進行更新動作
更新完畢就會重新開機
開機完畢後就會進行下一個動作 configure, debug, script

Alcatel-Lucent OmniSwitch 9702E

水手 — Sat, 31 Mar 2012 02:47:16 +0000

今天要介紹的是Alcatel-Lucent OmniSwitch新一代 9000 系列的CoreSwitch

OS9702E

Switching Fabric : ~~1.92Tbps~~960Gbps
Throughput : 1440Mpps

剛好有客戶要交貨
所以就先送來公司測試囉

與OS9700E不同的是
1. 他一片CMM的Switching就是960Gbps, OS9700E要兩片才會有960Gbps
2. 具有NEBS認證(Network Equipment Building System)

這次客戶買的是RCB-A的架構
4片C24E, 4片U24E
剛好把機箱塞的滿滿的

說真的
新一代的9000系列真的很漂亮…..

Alcatel-Lucent OS6250-24合體照

水手 — Mon, 05 Mar 2012 02:03:24 +0000

在網路上都很難找到兩台OS6250-24合體的照片
剛好這次有需求，
趕緊來拍個照

講白一點就是做stack
只是他可以組合成1U…(因為原本就小台…)

[Lab] [OS6400] OmniSwitch Loopback Detection

水手 — Wed, 21 Sep 2011 09:33:47 +0000

先前提到OS6250-24M的Loopback Detection…
現在已經可以在OS6400、OS6850…等型號實現了 …..

Firmware 為6.4.4.373.R01

設定方式與OS6250-24M相同..
但有一點需要注意的是…
他沒有autorecovery-timer可以設定…

其實在6400以上的設備….
有一個指令是violation-recovery
這個功能是設計成共用的方式…
比方說Netsec(for OS6850以上)、LBD(Loopback Detection)….
當功能觸發時，
會把port shutdown …

但是你會發現…用admin up的指令會無效
那是因為他把這些異常歸類為violation

所以你如果要手動恢復…就要下

interface 1/1 clear-violation-all

若是要等自動恢復…
可以查看恢復的時間

show interfaces violation-recovery

[Lab] OmniSwitch DHCP Snooping 解決DHCP私設IP問題

水手 — Fri, 17 Jun 2011 11:03:18 +0000

我們時常會使用DHCP來讓user取得IP上網，
就可以免除讓user自己設定(多半都看不懂，還要去現場幫他設…)

除此之外，
有些會需要作限制流量的需求，
通常user流量爆了，
會偷偷改一個IP …
然後，又可以開心的使用網路…

OmniSwitch的dhcp snooping有分兩種模式
switch-level 跟 vlan-level…
switch-level顧名思義就是整個switch都啟動dhcp snooping
vlan-level就是針對vlan來作dhcp snooping
但是在vlan-level時，他不支援option82…
所以各取所需囉…

以下我就用vlan-level來作說明
指令如下

ip helper dhcp-snooping vlan 10
ip helper dhcp-snooping binding enable
ip helper dhcp-snooping port 1/1 ip-source-filter enable
ip helper dhcp-snooping port 1/10 trust

首先…
第一行是針對vlan 10來啟動dhcp snooping
接下來再啟動binding的功能(後續會說明啟動這個會有什麼效果)
然後針對port 1/1 來作過濾是否為私設IP
port 1/10就是你的dhcp server所接的位置囉，要設定成trust，不然server沒有辦法配IP給user

binding這個功能會去比對dhcp server上的mac address mapping table
這樣可以讓他判斷，user到底是跟dhcp server要IP…還是他自己偷偷設IP

以上述的設定來說…
port 1/1的user，他是無法用私設IP上網，switch會drop他的封包
其他屬於vlan 10的port則可以私設IP來上網…
這樣我們就知道ip-source-filter的功用囉

另外
有時候我們必須私設一個IP給設備使用，
但是剛好在啟動dhcp snooping的vlan裡，
這時我們可以設定一個static的binding….

ip helper dhcp-snooping binding ff:ff:ff:ff:ff:ff port 1/1 address 192.168.10.20 vlan 10

這樣這個設備就可以從port 1/1 私設192.168.10.20來上網囉
要拿掉的話就下

no ip helper dhcp-snooping binding ff:ff:ff:ff:ff:ff port 1/1

另外有一點很重要的是…
有時候我們常常會遇到私設IP的人…
設定到我們正常使用的IP…
當他比我們早一步連通網路時…
windows就會跳出一個視窗寫說網路上有一個位址的IP跟您衝突…..
一時間要抓是誰，也很困擾…
若又是緊急需要上網查資料…結果不能用…還真的很想砍人….

但是當有啟動binding以及ip-source-filter時，
就不用擔心有人盜你的IP…
就算他比你早開機…
也不用擔心不能上網，跳出IP衝突的視窗了…
是不是很棒呢…

[Lab] [OS6250-24M] OmniSwitch Single Port Loopback Detection

水手 — Tue, 31 May 2011 07:54:29 +0000

以往在Switch上，
我們可以利用Spanning tree去管制port loop(此處說的是具有網管功能的Switch)，
但前提是…
loop必須產生在Switch的port上 ..

但在實際的環境中，
絕大部分都是Switch底下串Hub，
而loop都是在Hub上產生…
此時Switch上的Spanning tree就毫無招架之力…
只能任由Broadcast Storm無情的肆虐著我們的網路….>.<|||

這種情形一般都稱做Single Port Loopback…
目前知道Extreme 全系列有抑制Single Port Loopback的功能(聽說的…小弟還沒實際測過)

現在OmniSwitch也有支援這個功能了，
並且將功能放在新的OS6250 Metro Models

目前M Models有出OS6250-8M、24M
而且他的AOS不是採用OS LS 6200系列的firmware…
所以在指令上面可以統一了….

在 Loopback Detection的部份預設是沒有啟動…
可以透過指令將他啟動

loopback-detection enable
loopback-detection transmission-timer 5
loopback-detection autorecovery-timer 60
loopback-detection port 1/1-28 enable

transmission-timer表示偵測幾秒後將port shutdown
autorecovery-timer表示幾秒後將port恢復

[Lab] OmniSwitch Routing by RIP

水手 — Mon, 11 Apr 2011 06:20:44 +0000

這個Lab的環境是
router : OS6400
RIP v2…(Omniswitch send預設v2, receive預設both)
Local route…

基本上在官方User Guide裡面有基本的設定，
但是需要注意的是route-map與redist的部份，
如果沒有設定這兩個，route是不會出現任何rip routing

如果你的環境是static route
那就要把ip redist改成static into rip
route-map名稱也記得改一下，以免混淆…

以下為router設定

vlan 1 enable name "VLAN 1"
vlan 2 enable name "VLAN 2"
vlan 2 port default 1/5

ip interface "VLAN 1" address 192.168.1.254 mask 255.255.255.0 vlan 1 ifindex 1
ip interface "VLAN 2" address 192.168.3.254 mask 255.255.255.0 vlan 2 ifindex 2

ip load rip
ip rip interface "VLAN 1"
ip rip interface "VLAN 1" status enable
ip rip status enable

ip route-map "local-to-rip" sequence-number 10 action permit
ip redist local into rip route-map "local-to-rip" status enable

vlan 1 enable name "VLAN 1"
vlan 2 enable name "VLAN 2"
vlan 2 port default 1/5

ip interface "VLAN 1" address 192.168.1.253 mask 255.255.255.0 vlan 1 ifindex 1
ip interface "VLAN 2" address 192.168.2.254 mask 255.255.255.0 vlan 2 ifindex 2

ip load rip
ip rip interface "VLAN 1"
ip rip interface "VLAN 1" status enable
ip rip status enable

ip route-map "local-to-rip" sequence-number 10 action permit
ip redist local into rip route-map "local-to-rip" status enable

設定完後，
RIP就會自動生效，
下圖為生效後的狀況

[Ubuntu] 啟動Two Finger Touchpad

水手 — Thu, 03 Feb 2011 10:10:34 +0000

找了一下子才找到解決方法，
大部分找到的都是要用xinput來啟動
這個方法可能適用10版之前吧…

目前我裝在NB上的是10.10
NB是asus u36jc

啟動方法是先下載一個package
https://bugs.launchpad.net/ubuntu/+source/linux/+bug/308191/+attachment/1771346/+files/synaptics-dkms_1.1.1_all.deb

安裝完後重新啟動
然後在系統->偏好設定->滑鼠
點到觸控板的頁簽
會發現底下捲動方式的兩點捲動已經可以點了（沒裝package之前都不能點）
點了他之後就可以用囉

[PFsense] Captive Portal Local認證+Radius

水手 — Mon, 29 Nov 2010 00:15:27 +0000

最近替一間學校的圖書館放了一台PFsense
要幫fat AP做captive portal..

PFsense預設只能選擇一種認證方式,

所以免不了要改程式…

請用shell方式登入
編輯/usr/local/captiveportal/index.php
找

} else if ($_POST['accept'] && $config['captiveportal']['auth_method'] == "local") {

    //check against local usermanager
    $userdb = &$config['captiveportal']['user'];

    $loginok = false;

    //erase expired accounts
    if (is_array($userdb)) {
        $moddb = false;
        for ($i = 0; $i < count($userdb); $i++) {
            if ($userdb[$i]['expirationdate'] && (strtotime("-1 day") > strtotime($userdb[$i]['expirationdate']))) {
                unset($userdb[$i]);
                $moddb = true;
            }
        }
        if ($moddb)
            write_config();

        $userdb = &$config['captiveportal']['user'];

        for ($i = 0; $i < count($userdb); $i++) {
            if (($userdb[$i]['name'] == $_POST['auth_user']) && ($userdb[$i]['password'] == md5($_POST['auth_pass']))) {
                $loginok = true;
                break;
            }
        }
    }

    if ($loginok){
        captiveportal_logportalauth($_POST['auth_user'],$clientmac,$clientip,"LOGIN");
        portal_allow($clientip, $clientmac,$_POST['auth_user']);
    } else {
        captiveportal_logportalauth($_POST['auth_user'],$clientmac,$clientip,"FAILURE");
        portal_reply_page($redirurl, "error");
    }

把他們全部註解掉 or 刪除

再找

} else if ($_POST['accept'] && $radius_enable) {

    if ($_POST['auth_user'] && $_POST['auth_pass']) {
        $auth_list = radius($_POST['auth_user'],$_POST['auth_pass'],$clientip,$clientmac,"USER LOGIN");

        if ($auth_list['auth_val'] == 1) {
            captiveportal_logportalauth($_POST['auth_user'],$clientmac,$clientip,"ERROR",$auth_list['error']);
            portal_reply_page($redirurl, "error", $auth_list['error']);
        }
        else if ($auth_list['auth_val'] == 3) {
            captiveportal_logportalauth($_POST['auth_user'],$clientmac,$clientip,"FAILURE",$auth_list['reply_message']);
            portal_reply_page($redirurl, "error", $auth_list['reply_message']);
        }
    } else {
        captiveportal_logportalauth($_POST['auth_user'],$clientmac,$clientip,"ERROR");
        portal_reply_page($redirurl, "error");
    }

改成

} else if ($_POST['accept'] && $radius_enable) {

    //check against local usermanager
    $userdb = &$config['captiveportal']['user'];

    $loginok = false;

    //erase expired accounts
    if (is_array($userdb)) {
        $moddb = false;
        for ($i = 0; $i < count($userdb); $i++) {
            if ($userdb[$i]['expirationdate'] && (strtotime("-1 day") > strtotime($userdb[$i]['expirationdate']))) {
                unset($userdb[$i]);
                $moddb = true;
            }
        }
        if ($moddb)
            write_config();

        $userdb = &$config['captiveportal']['user'];

        for ($i = 0; $i < count($userdb); $i++) {
            if (($userdb[$i]['name'] == $_POST['auth_user']) && ($userdb[$i]['password'] == md5($_POST['auth_pass']))) {
                $loginok = true;
                break;
            }
        }
    }

    if ($loginok){
        captiveportal_logportalauth($_POST['auth_user'],$clientmac,$clientip,"LOGIN");
        portal_allow($clientip, $clientmac,$_POST['auth_user']);
    } else {
        if ($_POST['auth_user'] && $_POST['auth_pass']) {
            $auth_list = radius($_POST['auth_user'],$_POST['auth_pass'],$clientip,$clientmac,"USER LOGIN");

            if ($auth_list['auth_val'] == 1) {
                captiveportal_logportalauth($_POST['auth_user'],$clientmac,$clientip,"ERROR",$auth_list['error']);
                portal_reply_page($redirurl, "error", $auth_list['error']);
            }
            else if ($auth_list['auth_val'] == 3) {
                captiveportal_logportalauth($_POST['auth_user'],$clientmac,$clientip,"FAILURE",$auth_list['reply_message']);
                portal_reply_page($redirurl, "error", $auth_list['reply_message']);
            }
        } else {
            captiveportal_logportalauth($_POST['auth_user'],$clientmac,$clientip,"ERROR");
            portal_reply_page($redirurl, "error");
        }
    }

觀念很簡單…
只是把原本註解的Local認證…
改到判斷radius的地方..
優先從Local認證…
失敗後…再判斷radius…

改完後…
請把預設選項設定成RADIUS authentication

Alcatel Omniswitch cacti template

水手 — Tue, 17 Aug 2010 14:42:32 +0000

給Alcatel OmniSwitch用的template

有分多個slot跟一般的switch

以下就是多個slot的圖跟68系列的圖，

基本上…68系列都是cmm跟slot1，
66系列的是cmm跟slot8….
就看自己的需求去調配…

MultiSlot的部份基本上就是直接拉16個slot上去…
沒有接的就會呈現-nan…
所以往後有新增slot～他會自己產生數據～不需要再去調整…

cacti alcatel template - 18.56 kB - 下載次數 171