林志祥的網誌分享

Press ENTER to get started. <H3C> #Apr 26 12:03:22:172 2000 H3C SHELL/4/LOGIN:  Trap 1.3.6.1.4.1.25506.2.2.1.1.3.0.1<hh3cLogIn>: login from Console %Apr 26 12:03:22:312 2000 H3C SHELL/5/SHELL_LOGIN: Console logged in from aux0. <H3C>system-view 就像是進入Cisco的enable mode。 System View: return to User View with Ctrl+Z. [H3C]local-user admin 由於目前沒有帳號，所以無法登入WEB，所以要先新增帳號。 New local user added. [H3C-luser-admin]password simple admin 明碼儲存密碼，密碼為admin。 [H3C-luser-admin]authorization-attribute level 3 level3 為等級最高，相當cisco的15。 [H3C-luser-admin]service-type web 此帳號有登入web 介面的權限。 [H3C-luser-admin]quit [H3C]interface vlan 1 [H3C-Vlan-interface1]ip address 192.168.1.228 255.255.255.0 設定interface vlan1的IP，預設所有介面都在vlan1。 [H3C-Vlan-interface1]quit [H3C]ip route-static 0.0.0.0 0.0.0.0 192.168.1.254 設定預設路由往192.168.1.254丟。 [H3C]ping 168.95.1.1 測試是否可以上網。   PING 168.95.1.1: 56  data bytes, press CTRL_C to break     Reply from 168.95.1.1: bytes=56 Sequence=1 ttl=248

虛擬化技術常見可以分為你原本有一台作業系統(Windows)然後你灌了Vmware Workstation，好處你在原有架構下可以擁有多台OS，壞處是由於原本的作業系統資源吃很大，這樣你會沒有資源分配給虛擬機，而且如果原生作業系統死掉了，你的虛擬機就全死了，ESXI是另一種就是你的作業系統就是ESXI，因為它很小(不到350M)，所以穩定，然後把所有資源分配給虛擬機。 要確認你的電腦能不能灌ESXI，首先要先去找 https://www.vmware.com/resources/compatibility/search.php 這個是相容性列表。 我舉以下例子： CPU：不是Intel就是AMD，只要不要太舊，近幾年的都有支援。 RAM：應該都是DDR3，沒有問題。 硬碟：應該都是SATA3，沒有問題。 顯示卡：Nvidia或是Ati或是on board，由於虛擬化不太需要顯卡(除非你要做虛擬桌面跑3D繪圖)，基本上可以忽略。 網路卡：一般的Realtek(螃蟹卡)很抱歉都不支援，建議買一張Intel或是Broadcom，不然你安裝這關就死了。 當然如果你的伺服器是DELL IBM HP 就可以直接查型號了，看是支援4.1、5.5還是6.0。 然後去官網註冊一個帳號，下載 VMware-viclient-all-6.0.0-3562874.exe  (VMware vSphere Client 連線程式) VMware-VMvisor-Installer-6.0.0.update02-3620759.x86_64.iso  (安裝光碟) 開機時先選擇光碟機開機。 接下來就是一路安裝下去。 這裡你會發現為什麼我的主機是Vmware，因為我是裝在Workstation的虛擬機裡，世界上應該找不到這台供應商主機。 如果你有兩顆硬碟的話可以按下F1確認你要安裝在哪一顆。 這裡就是ESXI登入密碼，預設帳號是root。 裝好了它會問你要不要退出光碟片後重開機。 重開機後這是第一個畫面，預設它會先找DHCP，所以已經拿到一個192.168.1.118的DHCP

首先是我們的WLC 2504，Cisco無線控制器，開機的時候NB跟他對接第二Port。 PS：藍色的線都是Console。 然後你用console進去會看到他有發一段DHCP，192.168.1.3~14，其實你現在就可以直接用console打指令做初始化，我這邊使用的是web來做初始化。 NB果真拿到DHCP 192.168.1.3 ，192.168.1.1 就是控制器。 設定帳號，密碼要有複雜度。 這邊Country要設定對，因為跟國家頻道開放有關，比方說2.4G日本是1~13，台灣是1~11，Vlan設成0的話是untag。 接下來設定SSID，預設先發一組 WPA2+AES 和密碼，訪客網路可開可不開，之後都可以改，按下確定之後他會自動重新開機。 之後再把內部網路插到第一port就可以了。 我們把Cisco AP 1702i 用 Poe Injector接起來開機，也是一樣接到內部網路。 因為我內部有架設DHCP伺服器，所以它拿到一個192.168.1.122的IP，然後透過廣播的方式找到controller 192.168.1.223，如果不在同個網段，也可以打以下指令。 [enable mode] capwap ap ip address 192.168.1.122 255.255.255.0   [ap 的   ip] capwap ap ip default-gateway 192.168.1.254  [ 跨網段要設定   GW] capwap controller ip address 192.168.1.233  [ 這才是 controller ip 最重要，因為   ap 的   ip 可以用 dhcp 拿 ] 他還有另外兩種方式去找controller，DHCP option 43 或是去解析 CISCO-CAPWAP-CONTROLLER.localdomain的IP，如果都找不到的話預設會一直重新開機，直到找到控制器為止。 關於預設密碼 enable password 不是cisco就是Cisco 。 這時候SSID應該已經發出了，驗證是否可以連線

架構圖如上，客戶防火牆Internal介面只能發一段 192.168.2.0/24的DHCP，但因為IP使用光了，在不想改subnet mask的情況下，選擇使用介面Secondary IP 192.168.3.254，但是使用者電腦必須手動設定192.168.3.0/24的IP，想要兩段都用DHCP發。 客戶原始設定為只發一段 192.168.2.0/24的DHCP。 修改為DHCP都去找192.168.1.226要。 DHCP 192.168.1.226建立一個超級領域發 192.168.2.0/24和 192.168.3.0/24 DHCP網段，DHCP relay有一個重點要注意就是因為他會帶interface IP，所以192.168.1.226要有能回去192.168.2.254的路由。 驗證windows 2012有拿到DHCP，因為實驗的關係 192.168.2.0/24 只發一個192.168.2.253的IP，表示192.168.2.0/24的IP用完。 另一台Centos6 Server拿到192.168.3.100網段的DHCP。 DHCP伺服器確實發了這兩段IP。 結論： 網段不夠用確實可以透過超級領域達成IP擴充，可是由於兩段IP都在同一個broadcast domain，使用者只要修改IP就可以存取另一個網段，並沒有資安的考量，只能算是一個暫時且過度的架構，還是建議用vlan切開。