Initial setup steps of an Aruba CX 6100 switch. The Aruba CX switches come with a very well chosen default setup, there’s not much to do, to be up and running!
Switch IP Configuration is set to DHCP
SSH or HTTPS to the device IP (look for the DHCP-lease for example)
Ein sehr nützliches Feature für Remote Deployments
Das Outside-Interface (Data) kann jetzt auch als Management-Interface für die Verbindung zum Firepower Management Center verwendet werden
Update the FMC IP address on the FTD
AnyConnect module support for RA VPN
AnyConnect management VPN tunnels for RA VPN
Single sign-on for RA VPN
SAML 2.0
Super für Azure AD Implementierungen
FTD RA VPN now supports LDAP authorization using LDAP attribute maps.
Virtual Tunnel Interface (VTI) and route-based site-to-site VPN
URL filtering and application control on traffic encrypted with TLS 1.3 (TLS Server Identity Discovery)
Configuration rollback
Deploy intrusion and file policies independently of access control policies
FMC single sign-on for external users
Vor dem Upgrade gilt es zu beachten, dass der Firepower User Agent ab diesem Release nicht mehr unterstützt wird, und auch einige Hashing- und Verschlüsselungsmethoden, die als nicht mehr sicher gelten, müssen vor dem Update migriert werden.
Deprecated Features in Version 6.7
Cisco Firepower User Agent software and identity source
Less secure Diffie-Hellman groups, and encryption and hash algorithms
„Multicast Enhancement“ IGMPv3 im UniFi Controller muss nicht aktiviert werden, wenn Multicast Forwarding auf der ForitGate verwendet wird
2. MultiCast Policy
Multicast von und zu VLAN 1 (LAN / PRIVAT) und VLAN 2 (IOT)
mDNS spielt bei der HomeKit Kommunikation eine wichtige Rolle
Catch All Regeln zum Troubleshooting aktivieren
3. Firewall Policy
Firewall Regeln zwischen den Netzen und Geräten
Die verwendeten Ports habe ich meistens über das Firewall-Log herausgesucht
Hinweise
Wenn vorhanden: vorab Apple TV ausschalten um sicher zu gehen, dass die HomeKit-Geräte nicht über das Internet mit der Apple TV Box als HomeKit-Zentrale kommunizieren
Wichtig: Wenn man mehrere iOS Geräte im Netzwerk hat kann es sein, dass das Gerät zum Hinzufügen in der Home App auf dem anderen erscheint!
Probleme
Robin Klingel hängt bzw. ist verzögert und sendet keine Benachrichtigung aufs Smartphone
Workaround: Neuaufbau der IPv4 Sessions durch öffnen der Home App
danach funktioniert die Robin Doorbell wieder normal
Test:Robin Doorbell im VLAN 1 behebt die Probleme
To Do:Das HomeKit-Protokoll baut ein eigenständiges IPv6 Kommunikationsnetz auf. Durch die Trennung wird nur IPv4 über die Firewall geroutet. Eine zusätzliche IPv6 Konfiguration der Firewall könnte das Problem lösen.
Bei der Durchsicht der Cisco Catalyst 9800 Wireless Controller Dokumentationen bin ich auf eine sehr interessante Einstellung gestoßen, die ich mit euch teilen möchte.
Im „Policy Profile“ unter „Access Policies“ gibt es ein Feld zur Einstellung des VLANs. So weit, so klar. Aber jetzt wird es spannend: Hier kann man nicht nur die VLAN-ID konfigurieren, sondern auch einen VLAN-Namen! Und je nachdem was eingestellt wird, verhält sich die Zuweisung anders.
(Bild: Cisco)
Cisco erklärt es so:
The behavior is different depending on the AP mode. For an AP in local mode/Flex Central switching:
● Specifying vlan-name = default, client is assigned to VLAN 1
● Using vlan-id 1, a client is assigned to the wireless management VLAN
There is a warning to remind a user of this.
For an AP in FlexConnect local switching mode:
● Specifying vlan-name = default, client is assigned to VLAN 1
● Using vlan-id 1, a client is assigned to the FlexConnect native VLAN
By default, if the user does not configure anything under the policy profile, the WLC assigns vlan-id 1 so clients will use the wireless management VLAN in local mode and the AP native VLAN for FlexConnect.
„The NetEdit product is a browser-based client/server application. The NetEdit server is provided as an Open Virtual Appliance (OVA). The NetEdit application uses a web browser-based user interface and provides automation of search, edit, validation, deployment, and audit for network configurations. It provides intelligent assistance and continuous validation to help ensure that device configurations are consistent, compliant, and error free. NetEdit can be used without retraining by leveraging existing netoworking knowledge and experience with switch configurations. This enables administrators to automate switch configuration change workflows without any programming.“
Der DHCP-Relay Agent ist per Default eingeschaltet und muss nur aktiviert werden falls in der Running-Config „no dhcp-relay“ sichtbar ist.
HP Switch(config)# dhcp-relay
Relay-Funktion am gewünschten VLAN konfigurieren und als IP-Adresse den DHCP-Server angeben. Zur Eingabe eines sekundären DHCP-Servers einfach den Befehl wiederholen.
HP Switch(config)# vlan 1
HP Switch(vlan-1)# ip helper-address 1.2.3.4
Troubleshoot
HP Switch# show ip helper-address vlan 1
HP Switch# display dhcp relay statistics
Controller Installation über den UniFi Setup Wizard
SSH-Verbindung zum AP herstellen und auf Werkseinstellungen zurücksetzen: sudo syswrapper.sh restore-default
Nach dem Reset erneut eine SSH-Verbindung zum Accesspoint aufbauen und danach die Inform URL konfigurieren: set-inform http://ip-of-controller:8080/inform
Bernhard Hörl 