VMWare Convertor 轉換經驗

 VMWare ESXi發展至今，相信很多IT人員已經經歷過企業內部的許多運行在實體機器上面的系統透過VMWare Converter轉到ESXi上運行，在此就不在贅述轉換方式。最近因為公司汰換電腦，原本拿來當作跳板機的筆電要被公司收回去了，已經習慣使用這台電腦當作遠端到客戶環境的跳板機了，因此打算將這台筆電上的系統轉到公司內的ESXi系統上，不過在VMWare官網上找了一段時間一直苦尋不到Converter，後來找到以下這一篇原廠的公告：

https://blogs.vmware.com/vsphere/2022/02/vcenter-converter-unavailable-for-download.html

好在同事之前下載後有備份，於是就依照converter的指示將系統轉到ESXi上。不過，初次開機登入後，卻發現連登入的密碼欄位都沒有辦法使用鍵盤輸入，找了一些資料之後發現可能的原因是原本筆電上的Lenovo驅動程式所致，所幸就把筆電上關於Lenovo相關的程式都移除掉，同時參考以下這一篇討論 https://communities.vmware.com/t5/VMware-Workstation-Player/Keyboard-Not-Working-after-VMWare-Conversion/td-p/2166269 的做法解決了。

Cisco Flexible Netflow(FNF)中使用Legacy Netflow的show ip cache flow

Legacy Netflow中使用show ip cache flow可以看到以下資訊：


CC6509#show ip cache flow

-------------------------------------------------------------------------------
MSFC:
IP packet size distribution (2562M total packets):
   1-32   64   96  128  160  192  224  256  288  320  352  384  416  448  480
   .004 .982 .005 .000 .003 .000 .000 .000 .000 .000 .000 .000 .000 .001 .000

    512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
   .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000

IP Flow Switching Cache, 4456704 bytes
  6 active, 65530 inactive, 98905147 added
  1786040762 ager polls, 0 flow alloc failures
  Active flows timeout in 30 minutes
  Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 270664 bytes
  6 active, 16378 inactive, 194430814 added, 98905147 added to flow
  0 alloc failures, 133224 force free
  1 chunk, 113 chunks added
  last clearing of statistics never
Protocol         Total    Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
--------         Flows     /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow
TCP-Telnet    20522857      4.7         6    47     30.0       5.8      15.4
TCP-FTP         593365      0.1         1    44      0.1       0.6      15.3
TCP-FTPD          6766      0.0         1    42      0.0       0.0      17.1
TCP-WWW        8095942      1.8         1    48      2.3       1.0      14.7
TCP-SMTP        439001      0.1         1    43      0.1       0.1      15.4
TCP-X          4197700      0.9         1    40      0.9       0.0      15.6
TCP-BGP          23777      0.0         1    40      0.0       0.0      16.0
TCP-NNTP         32306      0.0         1    40      0.0       0.0      16.0
TCP-Frag          2338      0.0         1    86      0.0       0.0       5.8
TCP-other     35616655      8.2        66    40    550.8       0.8      16.0
UDP-DNS        1801203      0.4         1    65      0.4       0.0      15.5
UDP-NTP        5469491      1.2         1    78      1.2       0.0      15.5
UDP-TFTP         24794      0.0         1    43      0.0       0.0      15.5
UDP-Frag          1523      0.0       417  1497      0.1       1.0      15.4
UDP-other     15663208      3.6         2   138      8.3       2.0      15.5
ICMP           6414014      1.4         1    71      1.8       1.3      15.4
GRE                 20      0.0         1   490      0.0       0.0      15.5
IP-other           177      0.0         1   248      0.0       3.3      15.4
Total:        98905137     23.0        25    42    596.6       2.0      15.6

SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts
Vl900         0.0.0.0         Null          255.255.255.255 11 0044 0043     1
Vl900         172.16.0.113    Local         172.16.0.254    11 007B 007B     1
Vl900         172.16.0.42     Local         172.16.0.254    11 007B 007B     1
Vl900         172.16.0.226    Local         172.16.0.254    11 007B 007B     1
Vl900         172.16.0.223    Null          239.255.255.250 11 076C 076C     1
Vl900         172.16.0.250    Null          140.127.198.12  11 007B 007B     1
Vl900         172.16.0.250    Null          140.127.198.11  11 007B 007B     1

-------------------------------------------------------------------------------
PFC:

Displaying Hardware entries in Module 2
 SrcIf            SrcIPaddress          DstIPaddress      Pr       SrcP      DstP      Pkts
 Vl249            140.117.195.154       10.0.0.138        udp      9775      28622     0
 Vl200            10.0.143.215          54.250.232.2      tcp      50420     443       15
 Vl249            52.193.251.190        10.0.86.114       tcp      www       55411     1
 Vl249            140.127.206.254       140.127.198.61    icmp     0         0         7
 Vl249            64.233.189.189        10.0.20.106       udp      443       51188     10
 Vl249            172.19.9.197          140.127.198.6     udp      59737     dns       1
 Vl200            10.0.120.1            205.251.212.19    tcp      34178     443       12
 Vl200            10.0.156.185          213.155.215.185   udp      16768     17181     1
 Vl249            10.2.140.98           140.127.198.3     udp      63104     dns       1
 Vl249            74.125.194.127        10.0.172.14       udp      19302     59466     2
 Vl249            205.251.199.239       140.127.198.6     udp      dns       43517     1
 Vl249            140.127.212.25        140.127.198.1     udp      51909     dns       1
 Vl200            10.0.182.206          17.253.17.208     tcp      58054     www       649
 Vl200            140.127.200.249       172.17.0.42       udp      5247      1545      16859
 Vl200            1.1.1.1               10.0.227.120      tcp      444       12536     6
 Vl249            10.1.213.115          140.127.198.10    udp      137       137       6
...........(以下省略）




那如何在Flexible Netflow上如何顯示類似的資料呢？
可以嘗試以下指令：

LIC_4500X#show flow monitor CM-v4-monitor cache format table
  Cache type:                               Normal
  Cache size:                                 1024
  Current entries:                             973
  High Watermark:                             1024

  Flows added:                          1130251984
  Flows aged:                           1130251011
    - Active timeout      (  1800 secs)      11343
    - Inactive timeout    (    15 secs)   99157047
    - Event aged                                 0
    - Watermark aged                     301513880
    - Emergency aged                     729568741

IPV4 SRC ADDR    IPV4 DST ADDR    TRNS SRC PORT  TRNS DST PORT  INTF INPUT            IP PROT       bytes        pkts    time first     time last
===============  ===============  =============  =============  ====================  =======  ==========  ==========  ============  ============
130.211.141.52   140.127.223.104            443          49900  Te2/1                       6          64           1  17:25:48.983  17:25:48.983
123.187.78.231   140.127.232.208          16001           6999  Te2/1                      17         147           1  17:25:48.983  17:25:48.983
203.70.119.117   140.127.233.120             80          49390  Te2/1                       6       55138          40  17:25:48.983  17:25:51.983
203.69.105.248   140.127.220.212             80          58305  Te2/1                       6        1544           4  17:25:48.983  17:25:48.983
10.1.220.3       203.70.119.117           49428             80  Te1/5                       6        9947          24  17:25:48.983  17:25:53.987
104.250.142.226  140.127.233.62              80          55613  Te2/1                       6         722           1  17:25:48.983  17:25:48.983
115.79.44.172    140.127.218.30           54747          31999  Te2/1                       6          64           1  17:25:48.983  17:25:48.983
88.168.81.160    140.127.205.84           33826          10150  Te2/1                       6          64           1  17:25:48.983  17:25:48.983
59.50.158.60     140.127.231.3            16001           7436  Te2/1                      17         294           2  17:25:48.983  17:25:48.983
163.28.130.44    140.127.206.35             443          14145  Te2/1                       6       69031          93  17:25:48.983  17:25:57.987
111.221.77.162   140.127.233.122          40022          14515  Te2/1                      17          67           1  17:25:55.986  17:25:55.986
94.72.2.170      140.127.213.165          19689           6881  Te2/1                      17         149           1  17:25:55.986  17:25:55.986
106.10.150.171   140.127.233.192             25           2521  Te2/1                       6         463           5  17:25:55.986  17:25:55.986
114.24.176.211   140.127.205.84            8733           7345  Te2/1                      17         355           1  17:25:55.986  17:25:55.986
140.127.220.214  72.186.58.131             6881           9862  Te1/5                      17         337           1  17:25:55.986  17:25:55.986
10.1.219.44      65.55.162.26             61786            443  Te1/5                       6         537           6  17:25:55.986  17:25:55.986
123.193.80.185   140.127.206.239           9669          51413  Te2/1                      17         161           1  17:25:55.986  17:25:55.986
114.33.204.253   140.127.206.101           6690          63609  Te2/1                       6         326           1  17:25:55.986  17:25:55.986
140.127.219.216  52.26.91.224              6423            443  Te1/5                       6          64           1  17:25:59.982  17:25:55.986
114.47.175.31    140.127.205.84            7673          10214  Te2/1                       6         128           2  17:25:55.986  17:25:55.986
..........(以下省略）

不過，因為FNF的欄位都是管理者自己定義的，所以無法顯示Legacy Netflow最上方的service port使用排名。（或許可以，不過還要再"菸酒菸酒"）

F5的SNAT與NAT觀念

SNAT(Secure NAT或Source NAT)是一種多對少的轉址關係，通常用於從F5流出去的outbound流量，如上圖，10.10.10.1、10.10.10.2、10.10.10.3經由F5出去時會被SNAT成Ext這個VLAN的SelfIP(在Automap的情況下)，因為有兩個SelfIP，所以會輪流SNAT成這兩個IP。

SNAT的IP無法被直接存取，也就是60.249.69.36無法initial session到210.96.88.12及198.66.87.35這兩個IP(Secure NAT由此而來)，但可以接受由這兩個IP所發起的回應連線。

NAT是一種一對一的轉址關係，是一種雙向的轉址，在這種關係下，VLAN的SelfIP可以直接被存取，例如:60.249.69.36可以直接存取198.66.87.35，存取時其destination IP會被轉成10.10.10.2。而10.10.10.2存取60.249.68.36時，其source address會被轉成198.66.87.35

PaloAlto 7.0版關於Global Protect無法顯示網頁(404 Not Found)問題

更新完PANOS至7.0版後，發現登入https://vpn-ip後會顯示404 Not Found

進入PA系統內的Network->GlobalProtect->Portals->進入設定會看到Appearance下方的Disable login page預設是打勾的

所以解決方式就是把這個勾拿掉

然後

把Custom Login Page改選factory-default就大功告成了

DNS master與slave同步問題

資料同步化過程 :

      在資料同步的過程中。簡單來說，Slave的資料內容來自於Master。但Slave是如何判斷何時才要同步更新資料。基本上不論是Master或是Slave都會有「序號」，並且以此序號的大小來研判是否要更新或是同步。同步更新的方式大約分成兩種:

【Master主動通知】: 在修改Master的資料內容，並增加序號大小，一但當重啟DNS服

                                務時，Master會主動通知Slave有資料更新。以便達到同步。

【Slave主動提出要求】: 基本上Slave會定時的查看Master的序號大小，當發現Master

                                  的序號比Slave大時，就會主動更新。若序號不變，則不會更新。

Cisco無線AP與Controller的互聯方式

準備工作:
       進入到AP console，設定AP的IP address==>

In a new installation, when a LAP is unable to find a WLC using the discovery algorithms, you can statically configure the information necessary to join a controller via the console port and the AP’s CLI. Refer to Lightweight AP (LAP) Registration to a Wireless LAN Controller (WLC) for more information on the WLC discovery algorithms and the LAP registration process.

In order to manually configure static information on a LAP using the AP CLI interface, you can use these EXEC mode CLI commands:

AP#capwap ap ip address <IP address> <subnet mask>

AP#capwap ap ip default-gateway <IP-address>

AP#capwap ap controller ip address <IP-address>

AP#capwap ap hostname <name>
  (optional)

=======================================================================

以下文章引用自:http://smalleaf.blogspot.tw/2011/10/cisco-apcontroller-join-lightweight-ap.html

最近常有機會在不同的環境將thin ap 加入controller裡面好讓controller控制，方法很多，到底環境要用什麼樣的方式來加呢?先了解ap如何與controller溝通，再依不同的環境選合適的方式。

Cisco 瘦AP加入Controller的順序依序如下:

1.區域廣播(Local IP Subnet Discovery):

原理:先用廣播的方式，找到環境內的Controller，也就是thin AP與Controller在同一個網段裡，這是最快也最簡單的方式。

方法:只要把AP插上電與網路即可。

2.空中廣播Over The Air Provisioning(OTAP):

原理:當從網路線上廣播找不到controller時，第二步透過空氣中的無線電廣播，找尋有沒有其它ap已經有controller的資訊，有的話就跟著去找到Controller

方法: 把AP放置在已加入controller的thin ap 附近。

3.Locally Stored Controller IP Address:

原理:如果從空氣中找不到其它AP的訊號，第三步就是找尋自已AP內是不是有設定過Controller的資訊?Controller 的IP地址，有的話即透過此IP地址去找Controller

方法:以console線接到ap，從CLI輸入下列指令

lwapp ap controller ip add x.x.x.x

上面指令即是告訴AP controller在哪裡，如果環境沒有dhcp先配方ip的話，需要先設定ip給thin ap，指令如下:

lwapp ap ip address x.x.x.x x.x.x.x

4. DHCP option 43:

原理:如果AP本身沒有設定Controller的IP資訊，接下來即找尋DHCP的option43資訊，是否有設定controller的位址，有的話即套用此IP位址與controller溝通

方法: 以cisco switch為例，設定dhcp 的option如下:

ip dhcp pool wireless

   network 192.168.1.x 255.255.255.0

   dns-server 192.168.1.x

   default-router 192.168.1.254

   option 43 hex f104.c0a8.a202

簡單說明option 43，option43是16進制的IP位址，所以在option43之前需指定hex(16進)，而這16進的號碼是由Type + Length + Value 所組成。Type比較簡單，永遠是0xF1，只取F1為開頭。而Length就看有設定多少個IP位址，以IPv4來說，192.168.10.5是一個IP有四段，所以length為4，如果是兩個ip，比如192.168.10.5與192.168.10.6有兩個IP， length為8。最後Value就是把IP位址改成16進。

下面的例子是把192.168.10.5與192.168.10.20這兩個controller ip設定成option 43的格式:

option 43 hex f108c0a80a05c0a80a14

5. DNS Discovery:

原理:最後，DHCP沒設定option 43的話，就是看DNS有沒有指定Controller在哪?有的話即進行與controller的溝通。

方法: 即是在DNS上加入一比Recorder ，如下:

 CISCO-CAPWAP-CONTROLLER.localdomain  10.0.0.1

後面的localdomain為環境的網域名稱，上面紅色的部份是ap會找尋的固定名稱，需要一樣

當跑完上面五個流程都沒找到，就會從頭再來一次，直到找到controller為止，因為…thin AP沒辦法像FAT AP能夠勇敢、單獨的存在著。

所以可以簡單的把Thin AP 加入Controller的方式概分為兩種環境:

1.同一個網段裡: 這是最簡單的，即上面介紹的第一種方式區域廣播，只需要確認ap有電、有網路線即可。

2.不同網段裡:跨網段可以從上面2~4方式選一種，以簡單方便為主。

關於VMWare ESX裡面的網路(轉載)

很不錯的一篇文章，轉載自 http://www.weithenn.org/cgi-bin/wiki.pl?VMware_Networking

vNetwork 介紹

vNetwork 支援二種 Virtual Switch 也就是 Standard Switches (VSS) 及 Distributed Switches (VDS)，而 vNetwrok 提供三種網路服務存取型態 Virtual Machine Port Group、VMKernel Port、Service Console Port

1. VSS、VDS： 用於 VM 與 VM 之間溝通或 VM 與實體 Switch 溝通之用
   1. vNetwork Standard Switches (VSS) 無法跨 Host 使用
   2. vNetwork Distributed Switches (VDS) 可以跨 Host 使用 (Enterprise Plus 版本才有支援此功能)，且當 VM 透過 VMotion 機制移轉至其它台 Host 時原先在虛擬交換器針對 VM 所做的設定，仍然會自動套用到該 Host 上

虛擬網路 (vNetwork)： vSwitch 支援下列三種連線類型

1. Virtual Machine： VM，也就是給虛擬機器 VM 連接使用並搭配後續談到的 Port Group 使用
2. VMKernel： vmknic，需要連接 iSCSI、NFS 等 IP Storage 及後續談到的進階功能 vMotion 時使用 (ESXi 稱為 Management Network)
3. Service Console： vswif，安裝完 ESX Host 後與外界溝通的唯一管道用於 vSphere Client 連入時及後續談到的進階功能 HA (HA Heartbeat) 時使用 (只有 ESX Host 才有 Service Console 若是安裝 ESXi 則無)

vSwitch 介紹

• vSwitch 提供 VM 與實體網路交換資訊的能力
• vSwitch 可配合指定 多片 實體網路卡 (UpLink) 來達到頻寬的負載平衡 (Balances Traffic) 及容錯 (Failover) 也就是 NIC Teaming 功能
• vSwitch 建立時預設會提供 56 Ports (最大值 4088 Ports) VM 及實體網卡 (UpLink) 存取使用， ESX / ESXi 顯示預設值為 24 Ports，若更改 vSwitch Ports 設定值則必須將 ESX / ESXi Host 重新啟動才會套用新的設定值
• 建立 vSwitch 時若 不勾選任何 vmnic 則表示屆時連接此 vSwitch 的 VM 不 與實體網路卡 (UpLink) 介接也就是只能 VM 與 VM 之間互通，例如可使用於該 VM 是 NAT Client 環境下
• vSwitch 上面沒有接任何 VM 但有連接實體網路卡 (Up Link) 時表示用於 VMkernel 之用，通常使用於 VMotion 或 IP-SAN(iSCSI) 連接之用且不與 VM 共用實體網路頻寬
• 每一台 Host 最多可以建立 248 台 vSwitch (VI3 則為 127 台)
• 每一台 vSwitch 上面皆可切出多個 Port Group 出來，例如 VLAN、頻寬管理...等用途
• 若要支援 Jumbo Frames 則請將 MTU 數值設定為 9000，而 ESXi 則只有及上運作的 VM 能進行設定 ESXi Host 本身無法進行設定。

了解上述 vSwitch 特性後我們可知您可將不同功能用途例如 iSCSI、VMotion、VM、Service Console 都放在同一個 vSwitch 上也可放在不同的 vSwitch 上，至於何種方式比較好則必須視實際環境、流量負載、傳輸效能而定因為二種方式各有其優缺點。

舉例來說若一台 Host 上有三張實體網路卡，若將 iSCSI、VMotion、VM、Service Console 都放在同一個 vSwitch 上或不同 vSwitch 上大致可想得到的優缺點為

• 同一個 vSwitch： 由於多張實體網路卡指定給同一個 vSwitch 後將具有頻寬的負載平衡 (Balances Traffic) 及容錯 (Failover) 功能，因此好處當實體網路發生問題時因為容錯功能發揮將使得連線不致中斷，但缺點就是所有的服務都在同一個 vSwitch 上亂竄互相影響 (雖然可透過 Port Group 設定進行微調)。
• 不同一個 vSwitch： 好處當然就是相關服務及傳輸都互相隔離，如此一來傳輸效能及品質都將保持一定的水準，但相對來說若實體網路發生問題時服務也將因此中斷。

Port Group

Port Binding 模式

• Static Binding： 表示對應一個 VM 就佔用一個 Port
• Dynamic Binding： 表示該 VM Power ON 時才佔用一個 Port 若 VM Power Off 則釋放 Port 出來
• Ephemeral - no Binding： 表示沒有 Port Binding 功能

限制流入/流出流量

Distributed Switches (VDS) 支援網路流量 流入 Inbound / 流出 Outbound 的限制，而 Standard Switches (VSS) 僅支援 網路流量 流出 Outbound 的限制

• Ingress： 即 Traffic Inbound (流入)
• Dgress： 即 Traffic Outbound (流出)

Security

• Promiscuous Mode: 是否啟用網卡混亂模式，也就是開啟網卡監聽功能
• MAC Address Changes: 是否允許 VM 能更改 MAC Address
• Forged Transmits: 是否啟用阻擋 VM 所送出的封句 (通常配合 Application 進行設定)

VLANs

VLAN 在虛擬環境下有三種不同的方式：

• VST (Virtual Switch Tagging)： 虛擬 vSwitch 進行 tagged 及 untagged，由虛擬 vSwitch 來定義 VLAN 而實體 Switch 不作任何 VLAN 設定 (也就是實體網卡 Uplink Port 必須接至實體 Switch 的 Trunk Port)，由於 vSwitch 的 VLAN 是由 VMkernel 來執行 tagged 及 untagged 的動作因此對於 Host 效能有一定程度影響。
• VGT (Vitual Guest Tagging)： VM (Guest OS) 進行 tagged 及 untagged，由 VM 本身自行設定 VLAN 通常很少使用此方式。
• EST (External Switch Tag)： 實體 Switch 進行 tagged 及 untagged，由實體 Switch 設定 VLAN 而 VM 及 vSwitch 不作任何 VLAN 設定，也就是 VM 從哪個 Uplink Port 至實體 Switch 即屬於該 VLAN。
• PVLAN (Private VLAN)： 也就是 VLAN 中又有 VLAN，有如下三種模式 (VDS 才支援，VSS 未支援此功能)
  • Promiscuous: VM E 及 VM F 可互通，同時也可跟 VM ABCD 互通
  • Isolated: VM C 及 VM D 不會通，跟 VM AB 不通，但跟 VM EF 可互通
  • Community: VM A 及 VM B 可互通，跟 VM CD 不通，但跟 VM EF 會通

Community (PVLAN 17)		Isolated (PVLAN 155)		Promiscuous (PVLAN 5)
VM A	VM B	VM C	VM D	VM E	VM F
vDS
Primary PVLAN 5