MIS543: 10月 2014

HP 1810-48G Switch設定

摘錄自Shunze 學園

HP 1810-48G Switch設定

IP設定在Network Setup中，預設IP為192.168.2.10。

密碼預設值為空，可於Maintenance中的Password Manager修改。

時間設定必需透過NTP Server來校正，無法手動輸入時間。

頻寬整合Link Aggregation需先設定Trunk，

然後於Trunk中選擇port成員，成員中的port才能透過LACP協定整合頻寬。
＊任意把多條線串接Switch可是會形成Loop的喔！

LACP協定必需搭配Dynamic Mode，若Trunk設定為 Static Mode，LACP是不支援的喔～

設定好Trunk與所屬成員後，即可透過多條網路線的串接來合併頻寬。

VLAN的建立可於VLANs中設定。

建立好新的VLAN後，可透過Set Name來修改VLAN的顯示名稱。

然後可以切換VLAN ID來設定成員

VLAN的Port設定有Tag / Untag / Exclude All等三種方式。
Tag / Untag 的區別可參考順子另一篇文章 VLAN Tag/Untag vs. Trunk/Access

基本上 Untag 適用在跟終端設備的連結，如電腦、伺服器；
而 Tag 則適用在跟Switch的對接，此通道可設定對應多個VLAN，並藉由 Tag 來識別封包所對應的VLAN。
至於Exclude All，則是不套用此VLAN。

例如我們要設定port 3~40及Trunk1為VLAN1這個群組，
而41~48為VLAN2，那我們可以透過以下的設定來達成。

↑VLAN1，port 3~40及Trunk1設為Untag，port 41~48設為Exclude All。

↑VLAN2，port 3~40及Trunk1設為Exclude All，port 41~48設為Untag。

Loop迴圈防護機制可透過Global Configuration來設定全域Loop Protect的啟用與否。

當然也可逐一針對特定Port來設定Loop防護機制。

當Loop產生，導致port被強制shutdown時，
可透過Port Configuration來恢復該port的正常運作。

Port Mirror機制在1810-48G裏的設定相當友善，
只要在Port Mirroring裏選好Mirror port與來源port，即可完成。

不過要注意的是，設定為Destination Port後，這個port就不能做為其它用途。
這部分在原廠手冊中有註明。

因此要做為流量分析的主機必需要有雙網卡，
一張做為一般網路用途，而另一張則接到Destination Port，專用用來接收複製的流量。

最後在設定好需求後，一定要透過Save Configuration來儲存組態，
以避免重開機後，設定遺失！

__________________________________________________________________________

《分享》有問題的Auto DoS機制

HP 1810-48G的Auto DoS機制存在著問題，
它阻斷了公司VoIP主機的SIP Tie/Trunk連結，
在網路上也可查到這個機制影響了NIS與NFS的運作。

http://h30499.www3.hp.com/t5/Web-and-Unm...60#.U3nOaNKSyZk
http://blog.crboy.net/2012_08_01_archive.html

使用了1810後，若網路發生了難以理解的問題？
不要懷疑，先停用了Auto DoS機制再試試，
也許問題就不藥而解了～

Cisco Router NAT設定

摘錄自Shunze 學園《分享》Cisco Router NAT設定

Cisco Router上支援三種NAT對應方式。

Static NAT：靜態NAT轉址。直接指定每個內部Private IP其對外Public IP，固定為1對1的方式。
有著數量足夠多的外部IP才會進行這種1對1的設定方式。
Dynamic NAT：動態NAT轉址。訂定一到數個NAT Pool，指定可用來做為NAT轉址所用的Public IP之集合，供給內部Private IP動態轉址使用。
內部對外部不見得是同一個IP，為輪流派送。
PAT(Port Address Translation)：埠號地址轉換，Overlapping。多個私有ip對應到一個公有ip，也是我們一般認知的NAT

以下我們以模擬器來實做PAT內對外的多對一轉換設定。

內部環境
10.0.0.0/24
GW 10.0.0.254

外部環境
192.168.10.0/30
GW 192.168.10.2

內部Router設定

CODE

//IP配置
(config)# interface fa 0/0
(config-if)# ip address 10.0.0.254 255.255.255.0
(config-if)# no shutdown
(config-if)# interface fa 0/1
(config-if)# ip address 192.168.10.1 255.255.255.252
(config-if)# no shutdown

//NAT設定
(config)# interface fa 0/0
(config-if)# ip nat inside
(config-if)# interface fa 0/1
(config-if)# ip nat outside
(config-if)# exit

//配置NAT pool,起始IP與結束IP
(config)# ip nat pool NATPool1 192.168.10.1 192.168.10.1 netmask 255.255.255.252

//配置access rule,遮罩格式為wildcard-mask
(config)# access-list 1 permit 10.0.0.0 0.0.0.255

//套用NAT來源端規則
(config)# ip nat inside source list 1 pool NAT Pool1 overload

//設定default route
(config)# ip route 0.0.0.0 0.0.0.0 192.168.10.2

ISP Router設定

CODE

//IP配置
(config)# interface fa 0/0
(config-if)# ip address 192.168.10.2 255.255.255.252
(config-if)# no shutdown
(config-if)# interface eth 0/1/0
(config-if)# ip address 123.0.0.254 255.0.0.0.0
(config-if)# no shutdown

偵錯

CODE

# show ip nat translations
# show ip nat statistics

↑由圖中可看到local端的PC 10.0.0.1連到123.123.123.1是帶192.168.10.1的IP出去。

FortiGate雙WAN設定

摘錄自 Shunze 學園《分享》FortiGate的雙Wan設定

今天有機會在公司的FortiGate上做了雙WAN設定，
原本以為很簡單，很單純，把ISP提供的IP設定好就好？

結果事情沒有傻蛋想的單純...
Wan2是通了，主要流量也從新的Wan2對外聯絡，
但原本Wan1上設定的虛擬IP全部無法提供服務。

設定的重點在於Wan1與Wan2均要提供服務，
所以distance兩著要設定相同的值。

但又希望主要透過Wan2對外？
所以Wan2的優先權要高於Wan1(數字小優先)。

在這樣的設定下，Wan2就會是內網對外的主要通道，
且Wan1的虛擬IP也可正常運作。

但若把distance做了大小不同數值的調整，
那麼優權先低(數字大的)將永遠取不到連通機會。
即使在政策路由中進行了各種設定也沒用！
(所以Wan1上的服務一直不通...)

Fortigate 雙 WAN (負載平衡)備援之一（檢測機制）

摘錄自 Shunze 學園專線連通與否之判斷機制

若兩端間的專線是透過一條直通的網路線來連接，
那麼在防火牆上就可以略過“偵測連通與否”的判斷機制。

$javascript:if(!this.resized) {return true;} else {window.open('attachments/shunze/Failover/failover_02.png');} null$

因為只要任一端網路線拔除，就會造成防火網介面的unplug狀態，而切換到另一條專線。

但實際上在申裝專線時，都是透過ISP業者的機房來串接，
中間經過了幾個機房？又有多少個節點沒人知道。

$javascript:if(!this.resized) {return true;} else {window.open('attachments/shunze/Failover/failover_01.png');} null$

其中任何一個節點斷線，也不會造成防火牆介面上的unplug狀態。
在這種狀態下，如何確認專線是否連通？
最簡單也最直覺的，就是ping專線另一端的端點。

因此於此架構下，專線介接的port需開放ping的功能，讓專線的另一端能進行偵測；
而防火牆也要設定偵測機制，以確認專線是否連通。

↑Cyberoam的偵測機制

$javascript:if(!this.resized) {return true;} else {window.open('attachments/shunze/Failover/Fortigate_07.png');} null$
↑FortiGate的偵測機制

___________________________________________________________________________

3 WAN的FortiGate能否設定成跟Cyberoam一樣？

在上述設定範例中，FortiGate 80C只有兩個WAN，
所以無法透過第三個WAN介面提供內對外的網路存取。

但若有3 WAN的FortiGate防火牆，那麼是否可以跟Cyberoam一樣，
二個WAN做專線failover，剩下的一個WAN設定為內對外的需求？

雖然順子沒有3 WAN的FortiGate可供測試，
不過就邏輯來看，要達成這架構絕對沒有問題！
最主要修改的部分，就是“靜態路由”。

WAN1與WAN2的靜態路由要縮小範圍為192.168.128.0/255.255.252.0。
然後再把預設路由0.0.0.0/0.0.0.0指定給WAN3。

這樣要去192.168.128.0/255.255.252.0網段的封包就會透過WAN1/WAN2來繞接；
而要去其它外網的封包，就會透過預設路由WAN3來傳導。

Fortigate 雙 WAN (負載平衡)備援之一

摘錄自Shunze 學園《分享》雙專線備援之防火牆設定Cyberom&FortiGate

設定目標
以Cyberoam與FortiGate兩種不同廠牌的防火牆透過雙專線之串接，
來達成兩個網段連通之failover機制。
當主要連接線路不通時，能夠自動切換到備援線路，維持兩個網段的連通。

設定的要點在於 “雙專線的權重配置” 與 “專線連通與否” 的偵測。

Cyberoam端
雙專線的failover在Cyberoam上，需透過WAN的主要/備援路由自動切換來達成。
為了能夠判斷專線的連通與否，WAN port需啟用ping讓另一端的防火牆能夠借由ping來偵測連線狀態。

第一步先設定Cyberoam上的G port為WAN及其IP設定。

再來設定Cyberoam上的H port為WAN及IP設定。

因為網段內有其自己原來對外的主要WAN通道port D，
所以除了port D的閘道器類型設為啟動外，G/H Port的閘道器類型就設定為備份；
讓default route能指向port D。

接著透過LAN對WAN的防火牆規則設定，將Cyberoam to FortiGate的網段的規則定義清楚。

↑由於兩端網路內電腦IP要直通，不透過NAT轉換，所要取消套用NAT的選項。

雙專線的優先順序則在規則中的閘道器的部份來定義，
設定為主要透過G Port來連通，H Port為備援。

而LAN對其它預設外網則透過D port連接。

↑內部虛擬IP無法直接對外，所要要勾選NAT的選項。這與專線IP直通有意義上的不同。

↑預設外網則透過D port連通。

設定完後，LAN對WAN可以清楚看到兩筆不同規則。

LAN端到FortiGate端10.36.98.0/24會透過規則A_to_W_Uni經由Port G與H來連通；
而LAN端到其它外網則透過規則A_to_W經由Port D來連通。

FortiGate端
雙專線的failover在ForiGate 80C上，同樣可透過雙WAN的設定來達成。
但由於FortiGate 80C上只有兩個WAN port，將兩個WAN Port拿來做專線fail over後，
FortiGate端就不再有對外連通的port了。
要對外連通，需透過其它防火牆並設定路由導向才能辦到。

首先，先設定FortiGate上WAN1的IP設定。