林志祥的網誌分享

當我們管理很多台Switch的時候最怕就是更改密碼，每一台都有自己的帳號密碼，如果前MIS離開的話，接手的人除非一台一台進去更改，不然大概只能選擇投降，所以這時候就需要使用AAA的功能。 在設定AAA的時候最重要的一點就是先建立一組 local 帳號，然後保持一個連線在enable mode裡面不要登出，因為只要打 aaa new-model 就會全域開啟這個驗證模式了。 我們這裡AAA的驗證方式為問Radius，如果Radius死掉的話還有loacl帳號可以使用。 enable密碼他會自己帶一組帳號為 $enab15$ 去問 Radius，如果Radius死掉的話還有local enable password可以使用，所以你的radius如果是問AD的話，你的AD也要有這組帳號。 一定要留一組一定可以登入的方法，不然網路斷了就無法登入了。 授權方式的話用radius和local。 這裡要特別注意預設console是不進行授權的，怕有人拔掉你的網路線用local驗證拿到授權，所以要額外打aaa authorization console。 我們建立一個radius連線，帶1812 port，和金鑰。 我們登入方式為console和ssh。 因為預設有一行 login authentication default ，所以我們才不用額外打，預設參數打了也會隱藏。 這時候我們使用 angela 這個帳號居然驗證過了，這個帳號不在local而且enable密碼也不是原本機器的密碼。 我們的AD裡面確實有這兩個帳號。 如果你有去Radius看的話，他 enable password 確實是透過一個 $enab15$ 帳號去問密碼，以後你只到修改這個密碼所有switch就會更改了。 跟Radius連線timeout。 如果Radius掛掉的話，還可以透過本地帳號進行驗證，而且jack帳號等級是15，所以直接進去enable mode。 如果你要根據登入帳號來進行授權的話就要使用Windows Server的網路原則伺服器。 簡單來說就是sales群組的人，如果驗證成功的話，會傳送一個 shell-priv-lvl=15 的訊息回去。 simon是在此群組的人，所以驗證成功後直接

指令是 route print 裝好VPN撥接軟體之後它會自動產生一個虛擬的介面，這是我們還沒有連VPN前電腦的路由表，可以看出我們是在一個192.168.4.0/24的網段，然後預設閘道是192.168.4.254。 連上VPN之後發現路由表被修改，要連VPN的IP還是要用可以上網的那張介面連，不然VPN就斷了，192.168.4.0因為是同網段也不走VPN，但是像是192.168.1.0/24的網段都往VPN丟，其他要上網的流量還是走原本的網卡，這個就是所謂的通道分離模式，除了要連公司的網段之外，其他還是走原本的線路。 這時候我們不但分配到一個 192.168.1.204的IP，也能ping到其他公司內部的伺服器。 原來這個IP也是防火牆回的，因為ARP裡的MAC都相同。 我們的VPN網段不要跟公司內部同網段，我們選用10.20.32.0/24，取得一個 10.20.32.1 IP，反而ping不到 web server2。 我們看一下web server1的連線紀錄，他確實是帶  10.20.32.1的 IP來連的，因為跟自己不同網段，所以封包會往預設閘道丟。 原來是因為web server2不知道什麼原因沒有設定預設閘道。 因為對方沒有回來的路由，解決方法就是偽裝自己跟他同網段，做NAT成192.168.1.254就解決了，我想這也是為什麼大家習慣把SSL VPN的網段跟內部同網段，雖然我比較習慣分開，比較好分辨是VPN的連線還是內部連線。 如果不使用通道分離模式呢？也是除了自己的網段192.168.4.0/24和210.242.144.103走原本的線路以外，其他全部往VPN丟，但是這時候會發現明明就有兩條預設閘道啊，但是像是路由表是比較AD值，我們原本線路的計量比VPN低，所以剩下的流量還是都會往VPN丟。 壞處就是如果你們公司的防火牆沒有開啟VPN到WAN的政策，你會發現這時候你的FB、PTT、網路遊戲都會斷了。 如果你們公司有開VPN到WAN的政策的話，這時候你會覺得奇怪，我在外面上網怎麼還是帶公司的IP出去，這就是我們所謂的跳板，如果你在大陸出差的話，就可以透過跳板的方式在大陸拿

這是我們的架構圖和部分設定。 我們先測試PC1，可以拿到DHCP 192.168.2.1，並且也可以上網。 PC2拿不到DHCP。 debup ip dhcp server packet 進R1看確實有發到DHCP，為什麼PC2沒有拿到呢？我們來follow the path看一下封包。 PC2用broadcast的封包來要DHCP的IP。 因為我們在DSW有設定dhcp relay，所以interface vlan3 192.168.3.254收到這個廣播封包後，帶介面IP 192.168.3.254 和 10.0.0.1(R1)透過unicast的方式要IP。 可是R1的DHCP Offer最後卻往ISP丟了，因此也被NAT轉成介面IP，難怪PC2沒有收到，所以沒有後續的回應封包。 我們看一下路由，如果是PC1帶inteface vlan2 192.168.2.254來問的話，確實有回去的路到 192.168.2.254，可是PC2帶inteface vlan3 192.168.3.254沒有路由可以回去，最後只能往預設路由丟。 我們加一條靜態路要去 192.168.3.0/24 往 10.0.0.2 DSW丟。 PC2終於可以拿到dhcp了，我們再來follow the path看一下封包。 首先PC2先發出廣播封包要dhcp。 因為我們在DSW有設定dhcp relay，所以interface vlan3 192.168.3.254收到這個廣播封包後，帶介面IP 192.168.3.254 和 10.0.0.1透過unicast的方式要IP。 由於有回去的路由，所以有看到 R1 (10.0.0.1) 和DSW(192.168.3.254)再溝通DHCP。 DSW(192.168.3.254) 確實有把DHCP 的Offer透過 Unicast 傳給 PC2。 我們也可以得知基本DHCP封包溝通方式為，Discover -> Offer -> Request -> Ack。 結論： 如果能知道協定的運作原理除錯會更方便，比方說封包從PC出來是broadcast，透過relay後轉成unicast，最後d

總公司和分公司建立IPsec site to site vpn之後就可以透過 虛擬私人網路 的方式存取資料，而且中間傳輸的資料透過通道傳輸有加密，就算跑在網際網路上也比較不怕被竊取，如果可以的話，兩邊買同廠牌使用同韌體會比較穩定，但是有時候是先買後買的， 所以 也會時常遇到兩邊不同廠牌的防火牆需要建立IPsec site to site vpn。 IPsec  site to site  vpn不管任何廠牌，比較常見的設定為， 1.自己出去的WAN介面和IP，對方的IP。 2.兩邊的Preshared key一定要相同。 3.自己要通過VPN的內部網段和對方要通過VPN的內部網段。 4.Phase 1 的加密方式和通道重新建立的時間。 5.Phase 2 的加密方式和通道重新建立的時間。 6.IKE使用Version1還是Version2。 7.使用Aggressive mode還是 Main mode。 把握一個大原則就是兩邊的Proposal一定要一致，你不能一邊想用3DES加密，另一邊卻用DES加密，這樣通道一定建不起來，剩下還有一些雜七雜八的設定各家廠商皆不同，可能要翻手冊或是上一些網路安全的課程才知道它們在幹嘛了。 像是proposa1上的條件不一定只能設一個，你也可以設定3DES+SHA1和DES+SHA1很多個，反正就是讓兩邊協調跑哪種加密方式。 以下用QNO為範例。 你要帶哪個WAN出去和對方VPN溝通。 自己的IP和內部可以通過VPN的網段。 對方的IP和對方內部可以通過VPN的網段。 Phase 1 的加密方式選的為 DH Group5+3DES+SHA1，通道重新建立的時間為28800秒。 Phase 2 的加密方式選的為 DH Group5+3DES+SHA1，通道重新建立的時間為1800秒。 兩邊交換的Preshared Key為 "Presharedkey"。 剩下就是雜項了，比方說要不要等有需求再連線還是就算沒有流量通道也要先建起來。 對方的防火牆Fortigate也要有相對應的設定，對方的IP還有自己去連線的WAN介面。 兩邊交換的Preshared Key為 "Presharedkey"。 P