2010年9月28日 星期二

Cisco 阿傻之基本設定(ASA Firewall Basic Config)

基本上阿傻(ASA)的進入非常簡單(總覺得哪裡不對了@@)

最快的方法,就是直接進入法
把自已的電腦設成DHCP,接到Management Port,預設就會抓到一192.168.1.2~192.168.1.254的IP可用,
這時再開啟流覽器,輸入:
https://192.168.1.1
( 預設帳號為空帳號,密碼為 cisco )
就可以開始管理它了。

當然,也可以耍帥,用CLI把基本的設定好之後再進GUI去設定,基本設定如下:

設定管理IP
hostname(config)# ip address ip_address [mask] [standby ip_address]

設定DefaultGateway
hostname(config)# route if_name 0.0.0.0 0.0.0.0 gateway_ip [distance | tunneled]
hostname(config)# route outside 0 0 192.168.1 1

設定Login密碼
hostname(config)# {passwd | password} password

設定Enable密碼
hostname(config)# enable password password

設定DomainName
hostname(config)# domain-name example.com

設定Time
hostname# clock set hh:mm:ss {month day | day month} year

開啟Telnet
hostname(config)# telnet source_IP_address mask source_interface
hostname(config)# telnet timeout minutes
hostname(config)# telnet 192.168.3.0 255.255.255.0 inside
hostname(config)# telnet timeout 30

開啟SSH
hostname(config)# crypto key generate rsa modulus 1024
hostname(config)# write mem
hostname(config)# ssh 192.168.1.2 255.255.255.255 inside
hostname(config)# ssh timeout 30
hostname(config)# aaa authentication enable
hostname(config)# aaa authentication ssh console LOCAL

開啟HTTPS管理介面
hostname(config)# crypto key generate rsa modulus 1024
hostname(config)# write mem
hostname(config)# http server enable
hostname(config)# http 192.168.3.0 255.255.255.0 inside
(Default Account: /cisco)

Monitor
hostname# show curpriv

上Licence
hostname(config)# activation-key key

直接用Web備檔案
https://172.16.6.151/disk0/asa804-k8.bin

用copy 備份
ASA5520# copy flash:asa821-k8.bin tftp://172.16.6.51

恢復原廠預設:
(config)# configure factory-default {ip_address [mask]}

切換到Transparent:
hostname(config)# firewall transparent
hostname(config)# no firewall transparent

設定Interface:
hostname(config)# interface physical_interface slot/port
(Interface: gigabitethernet,tengigabitethernet,management)
hostname(config-if)#
hostname(config-if)# speed {auto | 10 | 100 | 1000 | nonegotiate}
hostname(config-if)# duplex {auto | full | half}
hostname(config-if)# no shutdown

設定Redundant Interface: (兩個介面必需一樣)
hostname(config)# interface redundant 1
hostname(config-if)# member-interface gigabitethernet 3/0
hostname(config-if)# member-interface gigabitethernet 3/1
hostname# show interface redundant number detail | grep Member

2010年9月3日 星期五

Cisco 胖AP 的基本設定 (Autonomous AP Basic Config)

雖然Cisco的胖AP比市售的胖AP貴的許多,但市場上還是可以看見很多將Cisco的Thin AP更改為胖AP單用的狀況,原因是因為:

不想常去"重開就會好"

特別是需要一直放著提供無線服務的環境,不得不佩服它的技術。
下面針對胖AP的CLI基本設定做介紹(第一次有GUI的速度慢到讓我想學CLI),
幫助大家快速設定這個胖子...(笑)

Part 1. 快速讓胖AP可用: 

Step.1 設定802.11的無線SSID:
ap#config t 
ap(config)#dot11 ssid MySSID  
ap(config-ssid)#authentication open 
ap(config-ssid)#guest-mode 
設定的同時,也必需指令驗證方式,我們先用開放驗證(open)方式讓它通就好。而guest-mode是讓SSID進行廣播,可以方便初始化的連線,為了安全可以不用設定(Client端需要指定好SSID才能連線)

Step.2 指定無線訊號的SSID與開啟無線通訊:
下面是一顆1131AG的AP,所以有兩個協定802.11a與802.11g,分別在dot11Radio 0與dot11Radio 1,預設是關閉的,需要進去介面打開:

ap(config)#int dot11Radio 0 
ap(config-if)#ssid MySSID 
ap(config-if)#no shutdown
ap(config)#int dot11Radio 1 
ap(config-if)#ssid MySSID
ap(config-if)#no shutdown
Step.3 設定BVI:
如果是DHCP的環境是可以略過這個步驟,因為預設會自已抓好,Fat AP是靠BVI(Bridge Virtual Interface)來讓實體網路與無線網路通訊,所以必需設定一個實體環境的IP給它:  
ap(config-if)#int bvi 1 
ap(config-if)#ip addr dhcp 
或是以手動指定IP:
ap(config-if)#int bvi 1 
ap(config-if)#ip addr 192.168.1.3 255.255.255.0
搞定!!把自已的電腦利用無線連看看!!

Part 2. 常用基本設定: 

ARP Cache:

AP的運作就像Hub一樣,廣播是它們必做的事,開啟Arp-Cache,可以加快效能(雖然感受不到),
當AP收到一個ARP封包,會比對Cache裡的資料,如果不在Cache就不廣播把封包丟掉,以減少廣播封包。
ap(config)#dot11 arp-cache


Time:

可能希望與NTP Server同步時間
ap(config)#sntp server 220.130.158.82
或是直接設定時間
ap#clock set 12:21:00 3 Sep 2010
再show一下時間狀況
ap#show clock

DNS:
環境沒有DHCP Server的話,可以手動幫AP設定DNS Server
ap(config)#ip name-server 168.95.1.1

SNMP:
可能需要開SNMP給網管軟體看 -
最後面可以選擇ro(Read Only)或是rw(Read and Write)
ap(config)#snmp-server community public ro

Part 3. 基本加密驗證: 
通常胖AP較常用的是WEP或是WPA-PSK這兩種驗證方式,說明如下
WEP:
首先我們先看一下Web的驗證方式,可以更了解為何這麼設定,
WEP驗證基本上是不看人的,只看那把Key,如下:
Client --------------------------------------------- AP
Authentication Request--> -->
<--<--Authentication Response + Challenge Clear-text Use text to Encrypt (Association Request) -->-->
<--<--Compare static WEP keys & Association Confirmation






從上面的驗證流程可以知道AP在第二個步驗會請Client輸入Cler-text,這就是我們在連線AP時,
會跳出一個畫面(或在連線的設定裡)要我們輸入一個passphase,輸入後就可以把資料加密送給AP,
AP收到後就用我們現在要設定的Key來解密碼看,可以解開就送Association Confirmation給Client。

了解流程後,在設定Cisco AP時要記住:
1.設定驗證放式是在SSID下
2.設定加密方式要在無線訊號(Radio)下

而設定順序一定要先設定加密方式,再設定驗證方式,因為要先有key,才可以在驗證方式裡選用key麻~下面就先到無線訊號下設定加密,設定WEP加密方式要先設定一個key1~4, size可以選擇40或128,設定40就需要設定十位元的文字(連線的密碼),設定128的話,需要設定26個字的密碼,如下的1234567890就是很Client連線要輸入的key.然後再指定模式為WEP
ap(config)#inter dot11Radio 0
ap(config-if)#encryption key 1 size 40 1234567890
ap(config-if)#encryption mode wep mandatory key-hash
然後再進到ssid裡面,指定驗證模式為開放
ap(config)#dot11 ssid abc
ap(config-ssid)#authentication open
如此就完成WEP的設定啦^^

凍一下~~~不是設定WEP嗎?怎麼驗證是用開放咧!!??
嘿~這就要從什麼是開放說起,下面是開放驗證流程:
Client ------------------------------------ AP
Authentication Request-->-->
<--<--Authentication Response Association Request -->-->
<--<--Association Confirmation






再往上與WEP的流程比較一下,會發覺整個流程都一樣,說穿了WEP只是在開放驗證裡多了一個
passphase的確認機制,所以Cisco認為WEP還是一個開放的認證(真是嚴格呀~)
Ps. 上面OPEN流程也可以說明為什麼在PartI時,我們只設authenticaion open,就可以不用輸入密碼使用AP了

WPA-PSK:
因為FAT AP通常不會結合到RADIUS等的認證平台,反而在導Thin AP時都需要與驗證平台做驗證,在沒有驗證平台的情況下,我們可以透過設定PreShareKey(PSK)來取代驗證平台,方法如下:

一樣,要先在無線頻道下指定加密方式,因為是WPA,會用TKIP來動態更改key加強安全
ap(config)#inter dot11Radio 0
ap(config-if)#encryption mode ciphers tkip
再進到ssid下面設定驗證方式,由於只是wpa-psk,所以不用設定EAP驗證,我們以開放式(open)驗證即可,而key-managemnet就是用WPA,最後再設定WPA的PreShareKey(即Client連線的密碼)就搞定啦!
ap(config)#dot11 ssid abc
ap(config-ssid)#authentication open
ap(config-ssid)#authentication key-management wpa
ap(config-ssid)#wpa-psk ascii 12345678
設完後你就會發覺,原來WPS-PSK的驗證流程,還是OPEN的四個方式,但比WEP還強的是,有TKIP的自動變更key機制,所以較為安全^^(我說的是…"較為")

2010年9月1日 星期三

Cisco AP之瘦變胖與胖變瘦(Autonomous & LightWeight )

怎麼把 Thin AP 變成Fat AP,FAT AP變成Thin AP?
看書寫的很簡單,AP預設就是Fat AP,所以只需要把AP改成預設值就可以了,
但是經過親身體驗,拆開一顆新的1131,預設是Thin AP @@

書本(原廠文件)提到改回預設的方式是:
更改的方式是在開機時按住"Mode"鍵2~3秒,看燈號為橙色後放開!!
這時Thin AP會自已將IP設定為10.0.0.1的IP, 然後自動去尋找同網段內的tftp伺服器,
如果有的話會從裡面自動下載IOS,會尋找的檔名為"型號-k9w7-tar.default"(如:c1130-k9w7-tar.default)

但…實際上我試了一個下午@@
深刻體認到,理論與實務的差距,原來…有那麼大=.=!

還好,有個實力堅強的同事Jonce的協助,解決了這個惱人的問題。

胖變瘦(Autonomous to LightWeight):

方法1. 重開大法:
    如同手冊說的,重開機讓它去抓預設網段裡的胖AP IOS,差別只是按住mode的時間比原廠說的多十倍@@
Step 1.把自已電腦(要當TFTP伺服器那台)的IP改為10.0.0.x網段的IP,因為AP變成default後,會設自已IP為10.0.0.1來抓同網段的IOS
Step 2.先把瘦AP IOS抓下來,放到TFTP上,變更名稱,
             如:   c1130-rcvk9w8-tar.124-21a.JA2.tar  改為    c1130-rcvk9w8-tar.default
step 3. 把電源拔掉,按住mode鈕,再插上電源,可能要30秒左右,按到燈變紅色,或是你看到console畫面自已有在解開IOS為止
Step 4. Reload一下就ok啦!

方法2. IOS大挪移:
其實,說穿了,Thin AP與Fat AP的差別只在於IOS的不同,
我們只要想法辦法更換不同的IOS就好了,這裡有一個參考指令:

ap#archive download tftp://1.1.1.1/c1130-k9w7-tar.124-21a.JA1.tar
利用archive來更換IOS,所以我們要把胖AP換成Thin AP的方法是:

Step 1. 先把瘦AP IOS抓下來,放到TFTP上,變更名稱,
             如:   c1130-rcvk9w8-tar.124-21a.JA2.tar  改為    c1130-rcvk9w8-tar.default

Step 2. 把IOS給copy回去
      ap#archive download tftp://1.1.1.1/c1130-rcvk9w8-tar.default
 Step 3.再Reload一下就搞定了!!

就這麼簡單^^

瘦變胖(Lightweight to Autonomous):
 
當你要從瘦AP變回胖AP , 會發現:
1.想下指令 config ap tftp-downgrade tftp-server-ip-address filename apname,但thin ap上根本沒指令,這時候會想問候別人的爸媽。
2.想用上面的archive來換IOS,也沒有archive的指令可用

方法1. 重開大法:
跟胖變瘦流程都一樣,所以看一下上面的流程,差別只是放在tftp上的IOS是胖AP的IOS。


方法2. IOS大挪移:
這個方法不一定每一個IOS都支援,方法就是透過下面這個指令來讓隱藏的archive指令出現!指令如下:
debug lwapp console cli
 這個指令下了之後,就可以打"archive"

步驟如下:

Step 1. 先把胖AP IOS抓下來,放到TFTP上,變更名稱,
             如:   c1130-rcvk9w8-tar.124-21a.JA2.tar  改為    c1130-rcvk9w8-tar.default
Step 2. 執行指令: (不見得每一個IOS都支援,不支援的就用方法一重開大法吧)
ap#debug lwapp console cli
Step 3. archive出現了!趕快把IOS給copy回去吧!
      ap#archive download tftp://1.1.1.1/c1130-k9w7-tar.124-21a.JA1.tar
 Step 4.都ok後再Reload一下就搞定了!!

搞定!收工!!