пятница, 27 октября 2017 г.

vWLC и старые точки

Возникла небольшая проблема с vWLC 8.0. Не регистрируются точки.
Все манипуляции с разрешением просроченных сертификатов не помогают.
В логах видим вот такой набор сообщений:

*spamApTask0: Oct 27 12:45:30.613: %DTLS-3-HANDSHAKE_FAILURE: openssl_dtls.c:841 Failed to complete DTLS handshake with peer xx.xx.xx.xx

*spamApTask0: Oct 27 12:43:20.515: %LOG-3-Q_IND: spam_lrad.c:1695 Ignoring discovery request received on a wrong VLAN (48) on interface (1) in L3 LWAPP mode from AP xx:xx:xx:xx:xx:xx

*spamApTask0: Oct 27 12:43:10.502: %LWAPP-3-DISC_INTF_ERR2: spam_lrad.c:1695 Ignoring discovery request received on a wrong VLAN (48) on interface (1) in L3 LWAPP mode from AP xx:xx:xx:xx:xx:xx

Нам понадобится обновить ПО на точке.
Для этого прописываем на ПК IP адрес 10.0.0.2 маска 255.0.0.0 шлюз не нужен как и DNS.
Запускаем TFTP сервер

Кладем на него файл: c1250-rcvk9w8-tar.153-3.JA12.tar но его надо переименовать в: c1250-k9w7-tar.default

Затем выключаем питание точке, зажимаем кнопку и включаем. Так ждем секунд 30 потом отпускаем.
Если подключена консоль то проще - там видим сообщение что ожидаем отпускания кнопки.
Точка должна забрать файл, и перезагрузится.

После этого она должна найти контроллер и зарегистрироваться.

Теперь про 2 важных момента установки vWLC на ESXi.
1. Нужно создать виртуальный коммутатор, у которого никуда не подключен порт. И на нем сделать порт-группу к которой подключить Service порт vWLC (это первый порт VM)
2. На порт группе которая будет служить для WiFi доступа нужно разрешить Promiscous mode.

вторник, 3 октября 2017 г.

RSPAN зеркалирование трафика с порта коммутатора, на виртуальную машину для анализа

В целом RSPAN прекрасно работает и с VMWare коммутатором.
Пример настройки.
1. На VMWare коммутаторе создаем VLAN, включаем Promiscuous mode - Accept
в нашем примере VLAN ID 77



2. На виртуальной машине с анализатором трафика, в нашем примере Wireshark, добавляем адаптер подключенный к этому VLAN (никаких настроек IP можно не делать).
Так же требуется включить Promiscuous режим на сетевом адаптере - но Wireshark сделает это за нас.

3. На коммутаторе нам понадобится указать порт с которого будем пересылать трафик:

monitor session 1 source interface Gi0/6

VLAN через который мы будем доставлять этот трафик, сначала создадим VLAN:

vlan 77
 remote-span

и укажем его как VLAN для доставки трафика, снятого с нашего порта:

monitor session 1 destination remote vlan 77

Можно проверить настройки:

Switch#sh monitor
Session 1
---------
Type                   : Remote Source Session
Source Ports           :
    Both               : Gi0/6
Dest RSPAN VLAN        : 77


Switch#sh monitor detail
Session 1
---------
Type                   : Remote Source Session
Description            : -
Source Ports           :
    RX Only            : None
    TX Only            : None
    Both               : Gi0/6
Source VLANs           :
    RX Only            : None
    TX Only            : None
    Both               : None
Source RSPAN VLAN      : None
Destination Ports      : None
Filter VLANs           : None
Dest RSPAN VLAN        : 77

Теперь убедимся, запускаем ping на машине подключенной к порту Gig0/6