แก้ปัญหา Cisco Catalyst 9800 WLC เวลา Log บนหน้า Web GUI ไม่ตรง

 

ถ้าเกิด Cisco Catalyst 9800 WLC เวลา Log บนหน้า Web GUI ไม่ตรง ให้ใช้คำสั่ง

service timestamps log datetime msec show-timezone year

service timestamps log datetime msec localtime show-timezone

Reference

https://community.cisco.com/t5/wireless/catalyst-9800-40-wlc-cli-log-time/td-p/4925121

เพิ่มความปลอดภัยด้วยการใช้งาน Passwordless และ Multi-Factor Authentication (MFA)

การพิสูจน์และยืนยันตัวตน (Authentication) เพื่อเข้าใช้งานระบบต่างๆ ในรูปแบบรหัสผ่าน (password) กันมานานมาก ในปัจจุบันนี้เรามักจะประสบปัญหาหลายๆเรื่องเกี่ยวกับ password ไม่ว่าจะเป็น

• การใช้ password ที่ต้องมีความปลอดภัยสูง มีตัวเล็ก ตัวใหญ่ อักขระ ตัวเลข ยากต่อการจำ
• การเปลี่ยน password ทุกๆ 90 วันตามนโยบายบริษัท หรือ ระบบที่ใช้งาน ก็ต้องคิดว่าจะใช้ password อะไรดี สุดท้ายจำไม่ได้ ก็วนซ้ำใช้ password เดิมๆไป
• การที่ต้องมาจำหลายๆ password เวลาเราใช้งานหลายระบบ หลายแอฟพลิเคชั่น สุดท้ายก็ใช้ password เดียวทุกระบบ ถ้ามีใครทราบ password เรา ก็สามารถเข้าได้ทุกระบบ ทุกแอฟพลิเคชั่นที่เราใช้งานเลย

ในช่วงปี 2021-2022 เป็นต้นมา บริษัทอย่าง Microsoft บริษัทซอฟต์แวร์ที่ใหญ่ที่สุดในโลกได้ระบุว่าpassword นั้นคือสิ่งที่ “สิ้นเปลือง” “ไม่ปลอดภัย” และ “ไม่สะดวกสบายอย่างยิ่ง” และยังพยายามผลักดันให้มีการใช้งานรูปแบบการยืนยันตัวตนโดยไม่ใช้รหัสผ่าน หรือระบบ Passwordless แทน โดยซอฟต์แวร์ทั้งหมดของ Microsoft นับจากนี้รวมถึงซอฟแวร์เก่า ๆ ก็จะถูกทยอยอัปเดตให้สามารถใช้งานระบบ Passwordless นี้ได้อีกด้วย

Passwordless คืออะไร ?

Passwordless หมายถึงระบบการยืนยันตัวตนโดยไม่ใช้รหัสผ่าน ซึ่งความจริงแล้วหลายคนเองก็เคยมีประสบการณ์ใช้ Passwordless อยู่แล้วในชีวิตประจำวัน เพียงแต่ว่าอาจจะไม่ทราบว่ามันคือ Passwordless ก็เท่านั้นเอง

Multi-Factor Authentication หมายถึงการยืนยันตัวตนโดยใช้หลายปัจจัยในการตรวจสอบนอกจาก Password เพียงอย่างเดียว เช่น One-Time Password (OTP) จาก SMS เป็นต้น

ตัวอย่างการใช้งาน Passwordless หรือ Multi-Factor Authentication

• การใช้ One-Time Password (OTP) จาก SMS หรือ Authenticator Application ต่าง ๆ หรือก็คือเลข OTP ที่เรามักจะได้รับจาก SMS เพื่อใช้ในการเข้าสู่ระบบหรือทำธุรกรรมต่าง ๆ นั่นเอง
• การใช้ Mobile Authenticator เช่น การใส่รหัส PIN การสแกนลายนิ้วมือและใบหน้าเพื่อปลดล็อก Smartphone
• การใช้ Transaction Signing เช่น e-Signature หรือลายมือชื่ออิเล็กทรอนิกส์สำหรับการยืนยันตัวตนและรับรองเอกสารต่าง ๆ บนอุปกรณ์ Smartphone
• การใช้ Card Reader เช่น การยืนยันตัวตนผ่าน Smart Card หรือ USB Device ต่าง ๆ ที่จะทำหน้าที่เหมือนกุญแจที่ไขเข้าสู่ระบบการใช้งานต่อไป

ซึ่งด้วยวิธีการใช้งานในแต่ละแบบก็มีระดับความปลอดภัยแตกต่างกันไป

 

การตั้งค่า Cisco DNA NIC Bonding

ตั้งแต่ Cisco DNA Center Generation 2 (DN2-HW-APL) software version 2.2.2.6 ขึ้นไป สามารถตั้งค่า NIC Bonding หรือทำ Link Aggregate บน DNAC ได้

หมายเหตุ : ไม่รองรับ Cisco DNA Center Generation 1 (DN1-HW-APL) เนื่องจากให้มาเพียงแค่ NIC เดียว แต่การทำ NIC Bonding บน Cisco DNAC ต้องใช้ 2 physical NIC ที่แยกกัน

โดยจะแบ่งเป็น 2 โหมด

1. Active-Backup mode (default)
2. LACP mode

การ Bonding ของ Cisco DNA Appliance จะใช้ Interface จาก physical NIC ที่แยกกัน 2 ชุด

• X710-DA2 NIC (Primary)
• X710-DA4 NIC (Secondary)

ก่อนอื่นต้องตรวจสอบว่า DNAC ได้ enable X710-DA4 NIC ไว้หรือไม่

• สำหรับรุ่น 44 หรือ 56 core ใช้ PCIe Slot 2
• สำหรับรุ่น 112 core ใช้ PCIe Slot 12

Reboot Server 1 ครั้ง หลังจากเปลี่ยนค่า

การตั้งค่า SSID บน Cisco Autonomous AP (Standalone)

การตั้งค่า SSID บน Cisco Autonomous AP (Standalone) นั้นจะใช้งานได้กับ Cisco AP รุ่นเก่าตั้งแต่ x700 Series ลงไป เช่น 1700/2700/3700 , 1600/2600/3600 , 1140 เป็นต้น

ซึ่ง Image จะต้องใช้งานเป็นแบบ Autonomous (Standalone) ถ้าเป็น CAPWAP Mode จะต้องแปลงให้เรียบร้อยก่อน

ซึ่งเงื่อนไขในการตั้งชื่อ SSID บน Cisco Autonomous AP (Standalone) มีดังนี้

อักขระตัวแรกต้องไม่มีอักขระเหล่านี้:

• Exclamation point (!)
• Pound sign (#)
• Semicolon (;)

อักขระเหล่านี้ไม่สามารถใช้ใน SSID ได้:

• Plus sign (+)
• Right bracket (])
• Front slash (/)
• Quotation mark (")
• Tab
• Irregular spaces

การตั้งค่าฝั่งอุปกรณ์ Switch บน Port ที่เชื่อมต่อกับ Access Point

config terminal

interface gi1/0/1

 switchport mode trunk

 switchport trunk encapsulation dot1q

 switchport trunk native vlan 50

 switchport trunk allowed vlan 1,50

การตั้งค่า SSID map กับ VLAN

enable

config terminal

dot11 ssid <ชื่อ SSID>

vlan 50

authentication open

guest-mode

การตั้งค่า Dot11 radio interface กับ physical interface

interface Dot11Radio 0

 ssid Cisco

interface Dot11Radio 0.50

 encapsulation dot1Q 50 native

 bridge-group 1

interface GigabitEthernet 0

 bridge-group 1

interface GigabitEthernet 0.50

 encapsulation dot1Q 50 native

 bridge-group 1

การ Restore Password บน Cisco WLC 2504/5508/5520 (AireOS)

การ Restore Password บน Cisco WLC 2504/5508/5520 (AireOS) กรณีที่ลืม password หรือเกิดเหตุการณ์บางอย่างที่ทำให้ไม่สามารถ Login เข้า WLC ได้

มีขั้นตอนอย่างไรบ้าง มาดูกัน

1. เสียบสาย Console แล้ว Reboot WLC (ถ้าไม่ได้ save config ล่าสุดเอาไว้ต้องทำใจไว้ล่วงหน้าเลยนะครับ)

2. หลังจาก reboot WLC แล้ว เมื่อเจอ prompt ถาม username / password ให้พิม "Restore-Password"

Starting Management Services: 

   Web Server:    CLI:    Secure Web: ok

Starting IPSec Profiles component: ok

Starting CPU ACL Logging services: ok

(Cisco Controller) 

Enter User Name (or 'Recover-Config' this one-time only to reset configuration to factory defaults)

User:  Restore-Password

3. จากนั้นใส่ Username / Password ใหม่เข้าไป (อย่าซ้ำอันเดิม)

Enter User name:newadmin 

Enter password:********

Reenter Password:********

4. หลังจากสร้างใหม่เรียบร้อย WLC จะเด้ง prompt กลับมาหน้าที่ถาม User ให้ใส่ username/password ที่ตั้งใหม่เข้าไป ก็จะสามารถเข้าได้

User:newadmin

Password:********

(Cisco Controller) >

(Cisco Controller) >

ปัญหาไม่สามารถเข้า GUI บน Cisco WLC 5508/5520/8540 - Cannot access GUI on Cisco WLC 5508/5520/8540

ปัญหาไม่สามารถเข้า GUI บน Cisco WLC 5508/5520/8540

เราสามารถตรวจสอบอย่างไรได้บ้าง กรณีที่ Cisco WLC ไม่สามารถเข้าหน้า GUI ได้

1. ตรวจสอบก่อนว่า ยัง Ping เจอไหม และ ยังสามารถ Telnet หรือ SSH เข้าได้หรือเปล่า ถ้าไม่ได้ให้ลองตรวจสอบ Network ก่อนเลย

2. ถ้า Ping ได้ และ สามารถ Telnet / SSH ได้ แต่เข้าหน้า Web GUI ไม่ได้ ให้ลองตรวจสอบว่า Cisco WLC ได้เปิด Web Mode ไว้หรือไม่ โดยใช้คำสั่ง

(Cisco Controller) > show network summary

ถ้าไม่ได้เปิดไว้ สามารถเปิดได้โดยใช้คำสั่ง

(Cisco Controller) > config network webmode enable

(Cisco Controller) > config network secureweb enable

3.  ตรวจสอบว่าเข้าหน้า GUI ผ่าน LAN ได้ไหม ถ้าเข้าผ่าน LAN ได้ แต่เข้าผ่าน Wireless ไม่ได้ ลองตรวจสอบดังนี้

(Cisco Controller) > show network summary

ถ้าไม่ได้เปิดไว้ สามารถเปิดได้โดยใช้คำสั่ง

(Cisco Controller) > config network mgmt-via-wireless enable

4. ถ้ามีการเปิดใช้งาน SSO Mode หรือ ทำ HA เอาไว้ ให้ลองตรวจสอบว่าตัว WLC อยู่ใน Maintenance Mode หรือเปล่า บางครั้งตัว WLC Primary down โดยเราไม่รู้ หรือ เราเคยเอามาทำ HA SSO กันไว้อยู่ แล้วถอดออกไป ถ้า WLC อยู่ใน Maintenanace Mode ก็จะไม่สามารถเข้าหน้า GUI ได้ ตรวจสอบดังนี้

(Cisco Controller) > show redundancy summary

ถ้าเป็นแบบนี้ ให้ทำการแก้ไข HA ก่อน 

• ถ้า HA หรือ ตัว Primary Down ให้ตรวจสอบว่า down เพราะอะไร ถ้าแค่ดับ หรือเป็นที่ network ก็ให้แก้ไขแล้วเอาตัว Primary กลับขึ้นมา
• แต่ถ้า Primary พัง ก็เคลมไป ระหว่างนี้ตัว Standby ที่ทำหน้าที่แทน Primary อยู่จะ access ได้แค่ Console หรือ SSH ผ่าน Service Port (Out of band) เท่านั้น ไม่สามารถเข้าหน้า GUI ได้
• แต่ถ้าเคยเอาทำ HA กัน 2 ตัวแล้วถอดออกไป ถ้า Local State เข้าสู่ Maintenance Mode ก็จะไม่สามารถเข้าหน้า GUI ได้ ให้ทำการปิด SSO

(Cisco Controller) > config redundancy mode disable

ตัว WLC จะทำการ Reboot 1 ครั้ง ก็จะสามารถเข้าใช้งานผ่าน GUI ได้

ก็หวังว่าจะช่วยแก้ไขปัญหาได้นะครับ ท่านใดเจอนอกเหนือจากนี้ หรือ ทำตามนี้แล้วแก้ไม่ได้ สามารถโพสคอมเม้นบอกกันไว้ได้นะครับ ผมจะได้ update วิธีแก้ไขเพิ่มเติมให้

Updated 14/06/2022

ReFeeL

เอกสารเพิ่มเติมเกี่ยวกับการทำ HA SSO

https://www.ciscolive.com/c/dam/r/ciscolive/emea/docs/2018/pdf/BRKEWN-3014.pdf

https://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-7/High_Availability_DG.html

ปัญหา "No space left on device" บน Cisco AP1800/2800/3800 เมื่อ Upgrade Version

ปัญหา "No space left on device" บน Cisco AP1800/2800/3800

พอดีจะทำการ upgrade Cisco AP จาก lightweight ไปเป็น Mobility Express (ME) version 8.10.151.0 แต่ดันเจอปัญหา ดังนี้

#ap-type mobility-express tftp://X.X.X.X/AIR-AP2800-K9-ME-8-10-151-0.tar
Starting the ME image download...
It may take a few minutes to finish download.
If it is longer, please abort command, check network connection and try again
#######################################################################   99.4%
Image downloaded, writing to flash...
do CHECK_ME, part1 is active part
tar: write error: No space left on device
sh: write error: No space left on device
 
Error, image file size is smaller than image+key+signature 0x02339000 : 0x02ae45a1
Segmentation fault (core dumped)
part.bin signature verification failure, exit the script
Error: Image update failed.

ก็เลยลองตรวจสอบ storage ดู ด้วยคำสั่ง #show file system ปรากฎว่า มี Size แค่ 57.5 MB

Filesystem                Size      Used Available Use% Mounted on

flash                    57.5M    164.0K     54.3M  0% /storage

ซึ่ง Software ของ ME version 8.10.151.0 มีขนาด 65.56 MB

อ้าว เฮ้ย !! ทำไมอัพเกรดไม่ได้ทั้งๆที่ software ยังรองรับ แล้วทำไม size มันไม่พอได้อย่างไร เลยไปลองเปิด datasheet ดู ปรากฎว่า flash มีขนาด 256 MB !!! อ้าว ยังไงวะเนี่ยยย

สุดท้ายก็ไม่ได้คำตอบแต่สังเกตุว่า AP ที่ผลิต lot ประมาณปี 2016 ลงไป จะเป็นแบบนี้ (จากการสันนิษฐานเพราะไม่แน่ใจเหมือนกัน)

ก็เลยลองไป download software ของ Lightweight AP ของ version 8.5 เพื่อหวังว่ามันจะสามารถ convert ได้ เพราะ size มันน้อยกว่า 39.59 MB ก็น่าจะพอได้

#archive download-sw /reload tftp://X.X.X.X/ap3g3-k9w8-tar.153-3.JJ1.tar

สรุปว่าผ่านนนน จากนั้น ก็ทำการ upgrade ME 8.10.151.0 เข้าไปโดยใช้ไฟล์ image bundle

ไ

จากนั้นแตกไฟล์ออกมาจะได้แบบนี้ ซึ่งผมจะใช้ไฟล์ ap3g3 สำหรับ AP2802 (สังเกตุ size ว่ามัน 68.7MB ซึ่งมันเกิน size บน AP ที่มีแค่ 57.5 MB แต่ผมก็งงว่าทำไมมันได้ เดี๋ยวลองทำตามไปเรื่อยๆ)

ส่วนรุ่นอื่นสามารถใช้ตามนี้ได้เลย

จากนั้นก็ upgrade image เข้าไปโดยเลือกเฉพาะ ap3g3 ที่เป็นของรุ่น AP 2802

#archive download-sw /reload tftp://X.X.X.X/AIR-AP3800-K9-ME-8-10-121-0/ap3g3

สรุปว่า ได้เฉยเลย

(Cisco Controller) >show sysinfo 

Manufacturer's Name.............................. Cisco Systems Inc.

Product Name..................................... Cisco Controller

Product Version.................................. 8.10.151.0

OUI File Last Update Time........................ N/A

System Name...................................... ME

System Location.................................. 

ซึ่งตอนนี้ก็ยัง งง อยู่เหมือนกัน ว่าทำไม

สรุปครับ ถ้าเกิดปัญหาไม่สามารถ upgrade/convert Cisco AP 1800/2800/3800 ไปเป็น version ตั้งแต่ 8.8++ ได้ เพราะ flash sizing ไม่พอ มีแค่ 57.5 MB ให้ทำการ upgrade เป็น lightweight version 8.5 ก่อน แล้วค่อย upgrade ไปเป็น ME โดยเลือกไฟล์ ap3g3 (หรือตามรุ่นของ AP) ต่อไป

จบบริบูรณ์ครับ ปล้ำมาหลายวัน :(

ref:

https://community.cisco.com/t5/wireless/ap3802-8-5-135-gt-8-10-121-quot-no-space-left-quot/m-p/4419609