Author: Nguyen Hai Thuong

Một số lệnh cấu hình cơ bản của Switch Core, Switch Access, Access Point của Cisco, Aruba, FortiAP

Mình  chia sẻ cho anh em một số lệnh cấu hình Switch Core, Switch Access, Access Point của Cisco, Aruba, FortiAP mà mình đã và đang vận hành nhé. Đây là các lệnh hay dùng nhất khi sử dụng cấu hình hay debug lỗi.

Nhiều anh em khác đã biết thì bỏ qua, em chia sẻ cho các bạn chưa biết

Các commands này chỉ là cơ bản, còn rất nhiều nhưng em chia sẻ vậy cho đỡ rối. Muốn tìm hiểu sâu hơn các bạn tìm đọc các tài liệu của hãng nhé 

      • Cisco ( Dòng Catalyst Switch Core, Switch Access)
      • Cisco AP (Dòng Catalyst C9xxx)
      • ArubaOS-Switch (Dòng cũ 2530, 2540, 2920, 2930F, 2930M, 3810, 5400R)
      • ArubaOS-CX (Dòng mới 8400, 8320, 6300, 6400, 6200, 4100i,…)
      • Aruba-AP (Dòng AP Instant (IAP) hay AP (CAP/WAP)
      • FortiAP (Fortinet)

Offline Licensing trên Cisco Catalyst 9800 WLC

Bạn có Cisco Catalyst 9800 Wireless LAN Controller (WLC) không có kết nối internet và cần cập nhật license ? Phương pháp offline licensing là phương pháp dễ nhất trong tất cả các phương pháp vì:

    • Không yêu cầu truy cập internet
    • Không yêu cầu máy chủ cấp phép hoặc VM bổ sung
    • Nhanh nhất
    • Chỉ phải thực hiện một lần

Xin lưu ý, phương pháp cấp phép này chỉ khả dụng từ phiên bản 17.3.2.

Tổng quan

Phương pháp offline licensing hoạt động bằng cách tạo báo cáo Resource Utilization Measurement (RUM) trên WLC. Đây là một basic text file chứa thông tin chi tiết về WLC và các AP được kết nối với nó (số SN, model, v.v.).

File này cần được upload lên Cisco’s licensing portal (called CSSM — Cisco Smart Software Manager). Sau khi tải lên, CSSM sẽ tạo một ACK text file cần được add lên WLC và kích hoạt. Vậy là xong !

Chọn cấp độ giấy phép (License Level)

Cisco 9800 có 2 cấp độ license: Essential & Advantage.

Mỗi AP được kết nối với 9800 WLC sẽ sử dụng 2 giấy phép:
– 1x License Aironet DNA Term
– 1x License AP Perpetual Networkstack

Điều này có nghĩa là nếu bạn thiết lập License Advantage trên WLC của mình, mỗi AP sẽ sử dụng 1x License có thời hạn Aironet DNA Advantage & 1x License AP Perpetual Networkstack Advantage.

Tùy thuộc vào license level bạn đã mua và deposited vào Smart Licensing account, bạn cần chọn cùng license level mà WLC đang sử dụng. Trong tab Licensing của WLC WebUI, bạn có thể xem những gì hiện đang được sử dụng:

Việc thay đổi license level yêu cầu phải khởi động lại.

WLC chỉ có thể sử dụng một loại license tại một thời điểm. Có thể là Essential hoặc Advantage. Bạn không thể để một phần AP sử dụng Essential và một phần AP sử dụng Advantage.

Quy trình chi tiết

Trước hết, hãy đặt WLC ở chế độ offline licensing mode:

9800-L-F# conf t
Enter configuration commands, one per line.  End with CNTL/Z.
9800-L-F(config)# license smart transport off

Trên WLC, hãy đảm bảo rằng tất cả các AP đều được joined vào WLC.

WLC bắt đầu báo cáo việc sử dụng license sau mỗi 8 giờ. Điều này có nghĩa là bạn có thể phải đợi đến 8 giờ để thấy số lượng giấy phép thay đổi sau khi AP mới tham gia. (Không có cách nào để thay đổi)

Bạn có thể kiểm tra số lượng license đã sử dụng trong Licensing tab trên WLC WebUI hoặc bằng cách chạy lệnh “show license summary”. Đảm bảo số lượng license khớp với số lượng AP đã tham gia.

Số lượng phải bằng số AP đã tham gia — Nếu không, hãy đợi tối đa 8 giờ

9800-L-F#show license summary 
Account Information:
 Smart Account: <none>
 Virtual Account: <none>

License Usage:
 License Entitlement Tag Count Status
 -----------------------------------------------------------------------------
 lic_c9800l_perf (LIC_C9800L_PERF) 1 IN USE
 air-network-essentials (DNA_NWSTACK_E) 1 IN USE
 air-dna-essentials (AIR-DNA-E) 1 IN USE

Hãy tạo report RUM. Việc này có thể mất khoảng 10–15 giây, tùy thuộc vào số AP:

9800-L-F# license smart save usage all file bootflash:RUM_report.txt

Đến Administration > File Manager  à Download RUM_report.txt:

Mở smart licensing account and Navigate to Reports > Usage Data Files. Click on Upload Usage Data

upload the RUM_report.txt file:

Bạn sẽ được nhắc chọn Virtual account mà bạn muốn sử dụng:

Có thể mất vài phút để xử lý RUM. Sau khi hoàn tất, bạn sẽ có thể tải xuống file xác nhận:

File ACK sẽ có tên là ACK_RUM_report.txt. File này cần được upload lên WLC, cách dễ nhất là thông qua webUI:

Để kích hoạt license, hãy chạy lệnh import. Đầu ra sẽ hiển thị thông báo thành công:

9800-L-F#license smart import bootflash:ACK_RUM_report.txt
Import Data Successful

WLC được coi là đã có license sau khi file ACK được upload thành công. Đầu ra của lệnh “show license status” sẽ hiển thị thời gian được xác nhận gần nhất.

9800-L-F#show license status
.
..
Usage Reporting:
  Last ACK received: Apr 19 10:47:11 2025 UTC
  Next ACK deadline: Jul 18 10:47:11 2025 UTC

Bạn cũng sẽ thấy thời hạn ACK tiếp theo. Tuy nhiên, WLC vẫn sẽ tiếp tục hoạt động bình thường ngay cả khi thời hạn này kết thúc. Nó chỉ cần tải lên một tệp ACK duy nhất một lần.

Trên CSSM portal của bạn, bạn sẽ thấy các license đang được sử dụng. Trong ví dụ này, WLC được cấu hình để sử dụng license cấp độ Advantage, nghĩa là nó sẽ sử dụng 1 license cấp độ Advantage:

Freeing Up license

Trong trường hợp cần giải phóng license hoặc cần di chuyển AP sang WLC khác, bạn có thể giải phóng các license đã sử dụng.

Trên licensing account, Inventory > Product instances. Chọn đúng Virtual Account, tìm  tên WLC và remove:

Sau khi instance bị xóa, lượng license sử dụng sẽ biến mất.

Về phía WLC, bạn không cần phải làm gì cả. Nếu bạn vẫn muốn dọn dẹp WLC, bạn có thể khôi phục cài đặt gốc cấp phép

9800-L-F#license smart factory reset
%Warning: reload required after "license smart factory reset" command

5 Tips & Tricks dành cho Cisco 9800 WLC

1. Chế độ tối (tôi thích chế độ này)

Bắt đầu từ phiên bản 17.3.1, WebUI sẽ cung cấp Dark Mode. Tính năng này chỉ có thể được kích hoạt thông qua WebUI và không có lệnh CLI tương đương:

2. Offline Licensing

Cisco 9800 WLC cung cấp nhiều cách add license cho WLC như: Kết nối trực tiếp với Internet, sử dụng máy chủ license tại chỗ, sử dụng DNA Center, v.v. Tất cả những cách này đều yêu cầu thêm công việc, một thiết bị bổ sung trong mạng hoặc kết nối liên tục giữa WLC và một thiết bị khác.

Ngoài ra, bạn có thể thiết lập offline licensing. Việc này chỉ cần thực hiện một lần và WLC sẽ được coi là đã được cấp phép vĩnh viễn.

Bạn chỉ cần tạo Resource Utilization Measurement (RUM) trên WLC và upload lên cloud licensing portal. Cloud sẽ tạo một file xác nhận, bạn upload lên WLC và activate.

Bạn có thể tìm thấy hướng dẫn chi tiết trong bài viết này tại đây .

3. Disabling WebUI Session Timeout

Khi bạn đăng nhập vào webUI 9800 WLC, theo mặc định, phiên sẽ time out và bạn sẽ bị đăng xuất sau 10 phút. Bạn có thể tăng thời gian chờ phiên này, nhưng chỉ tối đa là 1200 giây (20 phút) bằng lệnh:

9800-WLC(cấu hình) #ip http phiên-nhàn rỗi-thời gian chờ <180-1200>

Tuy nhiên, điều này có thể không phù hợp với những người muốn luôn mở giao diện người dùng đồ họa WLC trong môi trường giống NOC. May mắn thay, WLC cung cấp tùy chọn cho phép thời gian chờ webUI vô thời hạn khi tab Bảng điều khiển được mở. Một lần nữa, cấu hình này không có CLI tương đương và chỉ có thể được thực hiện thông qua webUI:

4. Increasing AP Image Download Speed

Một trong những vấn đề lớn nhất trong quá trình nâng cấp 9800 WLC là việc download image của AP điều này mất rất nhiều thời gian. Điểm nghẽn lớn nhất trong việc download image AP là độ trễ giữa WLC và AP. Ngay cả khi kết nối giữa chúng là 10Gbps, nhưng độ trễ là 150ms, việc tải xuống có thể mất nhiều giờ.

AP image do WLC gửi đi cần được AP xác nhận. Độ trễ càng lớn, quá trình tải xuống image càng mất nhiều thời gian. Bằng cách tăng giá trị kích thước cửa sổ capwap, chúng ta sẽ tăng kích thước AP image mà WLC gửi đi, và do đó giảm thời gian tải xuống (trước) image:

Việc tăng kích thước cửa sổ capwap phải được thực hiện trên tất cả AP join profiles thông qua GUI:

hoặc thông qua CLI:

9800-WLC #configure terminal
 9800-WLC(config) #ap profile default-ap-profile
 9800-WLC(config) #capwap window size 20

Đầu ra của lệnh cho biết tính năng này chỉ được hỗ trợ trên các AP OEAP, nhưng điều đó không đúng. Nó cũng ảnh hưởng đến các model không phải OEAP.

Để tham khảo, image download qua liên kết 100mbps với độ trễ RTT giữa AP và WLC là 30ms và cấu hình capwap window size 1 mất khoảng 11 phút, trong khi với capwap window size 20 thì mất chưa đến 2 phút.

5. Tăng số lượng chỉ mục hiển thị

Theo mặc định, các bảng trong giao diện webUI 9800 WLC chỉ hiển thị 10 mục. Bạn có thể thay đổi thủ công mỗi khi mở một bảng. Bạn cũng có thể đặt giá trị mặc định mới: 20, 50 hoặc 100:

Tính năng Aggressive Client Load Balancing của Cisco là gì ?

Tính năng Aggressive Client Load balancing đã có trên các WLC của Cisco trong hơn một thập kỷ, kể từ những ngày đầu của AireOS 6.x. Mục đích của tính năng này là phân bổ đều Client giữa nhiều AP được kết nối với một WLC. Trên thực tế, tôi thấy tính năng này gây ra không ít phiền toái khi bật nó, đặc biệt là trong môi trường mật độ cao (mà tính năng này chủ yếu được thiết kế để sử dụng ☹).

Cân bằng tải hoạt động như thế nào?

Ví dụ bạn có một văn phòng được triển khai tốt với 2 AP và tổng cộng 6 thiết bị client. Lý tưởng nhất là bạn muốn phân bổ đều số lượng client trên 2 AP này, mỗi AP 3 thiết bị.

Vì một lý do nào đó, tất cả Client đều ưu tiên AP-2, để AP-1 trống. Bằng cách bật tính năng Aggressive Client Load balancing, bạn có thể ngăn chặn điều này xảy ra và từ chối Client tham gia AP-2 cho đến khi số lượng Client trên 2 AP này cân bằng.

    • Tính năng này được bật cho mỗi WLAN
    • Bạn có thể cấu hình AP để từ chối Client nếu nó có nhiều Client hơn X so với Client lân cận (X có thể là 1–20)
    • Bạn có thể cấu hình AP để từ chối Client tối đa 10 lần (sau đó Client mới được phép tham gia)

Ví dụ thực tế

    • Cân bằng tải tích cực đã được bật trong WLAN:

    • Cấu hình Global Aggressive Client Load Balancing đã được giữ nguyên giá trị mặc định (nếu AP-2 có nhiều hơn AP1 5 Client, nó sẽ từ chối Client tối đa 3 lần)

    • AP2 có 5 khách hàng tham gia
    • AP1 có 0
    • Nếu Client cố gắng tham gia AP2 3 lần và cả 3 lần đều bị từ chối, thì lần thử thứ 4 sẽ thành công

 

Bạn có nên bật Client Load Balancing không ?

Thiết bị luôn là người quyết định AP nào sẽ kết nối. Client sẽ lắng nghe các khung beacon đến từ AP và sau đó, dựa trên các thông số được cấu hình, quyết định nơi gửi yêu cầu kết nối.

Điều duy nhất bạn có thể làm là từ chối nó và hy vọng client sẽ kết nối đến một AP khác. AP khả dụng có thể không đáp ứng được ngưỡng của Client và Client có khả năng sẽ không bao giờ thử kết nối đến AP đó. Nếu Client liên tục gửi kết nối tính năng Load Balancing sẽ khiến Client này offline.

Trong điều kiện hoàn hảo, nếu AP2 đang bận, Client sẽ nhận được thông báo từ chối và ngay lập tức kết nối đến AP1. Tôi chưa bao giờ thấy điều này xảy ra. Client dường như luôn cố gắng kết nối lại cùng một AP nhiều lần trước khi thử kết nối khác.

Điều quan trọng nhất cần nhớ:

    • Client rất cứng đầu và bạn gần như không thể kiểm soát. client sẽ cố gắng tham gia cùng một AP ngay cả khi liên tục bị từ chối.
    • Sau khi bị từ chối, client thường đợi một chút trước khi thử tham gia ở AP khác
    • Mỗi lần từ chối đều gây ra độ trễ và thời gian offline. Điều này không thể chấp nhận được trong các mạng có voice và video real time

Cá nhân tôi thường tắt tính năng này và sử dụng RF planning phù hợp để phân bổ đều lượng client giữa các AP.

Phần bổ sung

    • Nếu Client bị từ chối do Load Balancing, file log sẽ hiển thị lý do xóa CO_CLIENT_DELETE_REASON_DOT11_MAX_STA
    • Bạn có thể theo dõi số lượng lý do do Load Balancing bằng lệnh:
v9800-CL#sh wireless stats client delete reasons | in DOT11 max
    • Các AP phải nằm trên cùng một site tag và các AP không thể nằm trên default-site-tag
    • Đối với băng tần 2,4 GHz và 5 GHz, các thông số cân bằng tải của Client có thể được cấu hình trong mục Configuration > Wireless > Advanced hoặc trong mục RF profile. Đối với băng tần 6 GHz, các thông số load balancing của Client chỉ có thể được cấu hình trong mục RF profile.
    • Bạn có thể theo dõi số liệu thống kê Client Load Balancing trong menu Configuration > Wireless > Advanced menu

Câu hỏi thường gặp về Licensing Catalyst 9800 WLC

H: Catalyst 9800 WLC sử dụng loại licensing nào?

A: Các phiên bản mã dưới 17.3.2 sử dụng chính sách licensing truyền thống. Các bản phát hành bắt đầu từ 17.3.2 sử dụng Chính sách licensing sử dụng (SLUP). Về cơ bản, chúng hoạt động theo cùng một cách, chỉ khác biệt rất nhỏ và có các lệnh khác nhau. Chỉ cần làm theo hướng dẫn licensing cho bản phát hành bạn đang chạy. Bài viết này chỉ đề cập đến SLUP.

H: 9800 WLC có cần license không ?

A: Không. Bản thân WLC không yêu cầu license. Chỉ các Access Points được kết nối vào WLC mới cần license.

Tuy nhiên, đối với các mẫu 9800-L, có optional performance license giúp tăng số lượng AP được phép tham gia, tăng maximum throughput và số lượng clients tối đa được phép trên WLC.

H: Có sự khác biệt nào giữa việc licensing cho 9800-L, 9800–40, 9800–80, 9800-CL, CW9800M, CW9800H1, CW9800H2 và Embedded Wireless Controller trên AP 91xx không?

A: Không. Chức năng license  có cùng chức năng trên tất cả các mẫu WLC.

Sự khác biệt duy nhất là các mẫu 9800-L cung cấp license performance giúp tăng số lượng AP, số lượng client và throughput tối đa.

Embedded Wireless Controller chạy trên AP 91xx không cần license trừ khi được tích hợp với Catalyst Center (trước đây gọi là DNA Center)

H: Có license thực thi nào đối với Catalyst 9800 WLC không?

A: Trong các phiên bản dưới 17.7.1, không có quy định bắt buộc về license, nghĩa là bạn có thể tham gia bao nhiêu AP tùy thích và WLC vẫn sẽ tiếp tục hoạt động bình thường.

Trong các phiên bản mới hơn, bắt đầu từ 17.7.1, WLC 9800 sẽ thực hiện việc thực thi license. Nếu bạn kết nối hơn 50 AP vào một WLC duy nhất mà không license  đúng cách sau khi hết thời gian đánh giá (evaluation period), WLC sẽ tạo thông báo syslog và không cho phép thêm AP nào tham gia. Nếu khởi động lại, WLC sẽ chỉ cho phép tối đa 50 AP tham gia.

Về mặt pháp lý, bạn cần license cho WLC của mình và Cisco có quyền thực hiện audit.

H: Thời gian đánh giá license (license evaluation) cho Catalyst 9800 WLC là bao lâu?

A: Thời gian đánh giá là 90 ngày. Sau khi thời hạn này kết thúc, WLC sẽ bắt đầu áp dụng các hạn chế license đối với các phiên bản 17.7.1 trở lên.

Đối với các phiên bản trước 17.7.1, WLC sẽ tạo thông báo syslog nhắc nhở bạn add license cho WLC của mình.

H: Có những cấp độ license nào trên 9800 WLC?

A: WLC có thể được cấu hình với hai cấp độ license mang lại những tính năng khác nhau:

    • Essential
    • Advanced

License level có thể được cấu hình trong phần mềm và không bị ràng buộc với phần cứng. Bất kỳ 9800 nào cũng có thể được cấu hình với bất kỳ license level nào.

H: Tôi cần mua loại license nào cho mỗi AP được kết nối vào WLC của tôi ?

A: Mỗi AP được kết nối với 9800 WLC sẽ tiêu tốn một license AIR Network và một license AIR DNA. Tùy thuộc vào license level được thiết lập, cả hai license này có thể là cấp độ Essential hoặc Advantage.

Ví dụ về WLC với license cấp độ Advantage được cấu hình

H: Những tính năng nào được bao gồm trong license Essential và Advantage ?

H: License Network và DNA hết hạn khi nào?

License Network Essential/Advantage là vĩnh viễn, nghĩa là không bao giờ hết hạn.

License DNA Essential và DNA Advantage có thể được mua với thời hạn 3, 5 và 7 năm.

H: Tôi có thể chỉ mua license Perpetual Network mà không mua license DNA không?

A: Khi mua license lần đầu, bạn cần mua cả license Network và license DNA (Essential or Advantage leve, tùy bạn chọn) cho mỗi AP. Sau khi license DNA hết hạn, bạn không cần phải gia hạn. Vì license Network là vĩnh viễn.

H: Làm thế nào để thay đổi license level ?

A: Có thể thay đổi level license trong menu License  ở giao diện web WLC bằng cách sử dụng nút “Change Wireless License Level” hoặc sử dụng lệnh “ license air level air-network-essentials ” hoặc “ license air level air-network-advantage ”.

Để thay đổi level license, bạn cần phải khởi động lại WLC.

H: Trên WLC 9800, một phần AP có thể chạy level Essential và một phần AP có thể chạy level Advanced không ?

A: Không. Tất cả các AP được kết nối vào cùng một WLC phải chạy cùng một level license. Không thể tách chúng ra.

H: Tôi có thể sử dụng lại license từ WLC AireOS cũ (2504/3504/5520/8540) của mình không?

A: Không. Bạn sẽ phải mua license mới cho 9800 WLC của mình.

H: License có thể được sử dụng lại hoặc di chuyển giữa hai WLC 9800 không?

A: License có thể được sử dụng lại hoặc di chuyển giữa bất kỳ hai WLC 9800 nào, bất kể mô hình của chúng.

H: Tôi có thể tải xuống file .lic license ở đâu?

A: Không giống như các WLC AireOS cũ (5520, 8540), WLC 9800 không có/không hỗ trợ file license. Nó hoạt động hoàn toàn thông qua smart license, nghĩa là tất cả license đều được lưu trữ online.

H: License của tôi được lưu trữ ở đâu và CSSM là gì?

Tất cả các license đã mua đều được lưu trữ trên trang web Cisco Smart Software Manager (CSSM). Nếu license bạn đã mua không hiển thị, bạn phải liên hệ với quản lý tài khoản hoặc nhóm TAC license của Cisco và cung cấp cho họ phiếu order.

H: Phải mất bao lâu để cập nhật license trên trang web CSSM?

A: Có thể mất đến 8 giờ để cập nhật số lượng license. WLC cập nhật mức sử dụng license lên đám mây sau mỗi 8 giờ, và ngay cả khi cố gắng ép cập nhật cũng không có tác dụng.

H: license diễn ra như thế nào khi bộ điều khiển ở chế độ HA SSO High Availability?

A: HA SSO là chế độ dự phòng trong đó 2 bộ điều khiển nằm trong một cluster hoạt động như một bộ điều khiển duy nhất.

Trong trường hợp này, chỉ cần cấu hình cluster HA và thiết lập license  giống như cách bạn làm trên một WLC đơn lẻ. Mọi thông tin sẽ được tự động đồng bộ hóa giữa chúng. Không cần phải mua license cho mỗi AP hai lần.

Trong trường hợp performance license trên 9800-L WLC, bạn sẽ cần phải mua riêng cho từng WLC.

H: Performance license làm việc như thế nào khi bộ điều khiển ở trạng thái HA N+1 High Availability?

A: Tính khả dụng cao HA N+1 đề cập đến việc triển khai trong đó một WLC là chính và tất cả các điểm truy cập đều được kết nối với nó, trong khi các WLC khác đang ở trạng thái chờ, chờ WLC chính ngừng hoạt động và các AP chuyển sang WLC đó khi cần thiết.

Trong trường hợp này, chỉ cần đảm bảo cả hai WLC đều có license. Không cần phải mua license cho mỗi AP hai lần.

Vì các WLC dự phòng sẽ không có bất kỳ AP nào, nên việc license hiển thị là “không sử dụng” là điều bình thường. Khi các AP chuyển đổi dự phòng, license cuối cùng sẽ bị sử dụng hết.

Trong trường hợp license performance trên 9800-L WLC, bạn sẽ cần phải mua riêng cho từng WLC.

H: License performance cho 9800-L WLC hoạt động như thế nào ?

A: Theo mặc định, bộ điều khiển 9800-LC và 9800-LF cho phép tối đa 250 AP, throughput hai chiều 5Gbps và 5000 client. Khi cài đặt license performance, con số tối đa có thể tăng lên 500 AP, throughput 10Gbps và 10000 client.

Nếu bạn đang chạy 9800-L ở chế độ high availability,, bạn sẽ cần phải mua riêng license performance cho từng WLC

H: Làm thế nào để tôi có thể get license cho 9800 WLC ?

A: Có nhiều cách để get license cho WLC:

    • Offline licensing Air Gapped (cách dễ nhất)
    • Licensing sử dụng Catalyst Center (trước đây gọi là DNA Center)
    • Direct connect licensing
    • Licensing using Smart Software Manager On-Prem
    • License sử dụng ứng dụng Cisco Smart Licensing Utility trên Windows/Linux

H: License offline Air Gapped hoạt động như thế nào?

A: Bạn có thể đọc chi tiết về phương pháp này trong bài viết License  Offline trên Cisco 9800 WLC.

License offline là phương pháp dễ nhất để add license  cho WLC của bạn. Phương pháp này yêu cầu máy tính xách tay có kết nối Internet và truy cập được vào WLC. Bản thân WLC có thể bị chặn bởi tường lửa nếu không có kết nối Internet. Nhược điểm duy nhất của phương pháp này là sau khi thêm AP bổ sung, bạn phải lặp lại quy trình (về mặt kỹ thuật là không bắt buộc). Sau khi được add license, WLC không bao giờ cần phải add license lại nữa.

Quá trình này diễn ra như sau:

    • Generate a Resource Utilization Map (RUM) Report
    • Download it from WLC to your PC
    • Upload from PC to the smart licensing cloud portal (CSSM)
    • Download the RUM Acknowledgement file to your PC from CSSM
    • Upload the RUM Acknowledgement file to the WLC

H: Việc add license thông qua Catalyst/DNA Center diễn ra như thế nào ?

A: Phương pháp này yêu cầu DNA Center phải có kết nối internet. WLC không yêu cầu kết nối internet, nhưng cần được thêm vào kho dữ liệu của DNA Center.

Trong trường hợp này, DNA Center đóng vai trò là proxy giữa WLC và smart licensing cloud portal. DNA center sẽ định kỳ kết nối SSH vào WLC và thu thập báo cáo sử dụng license từ WLC, sau đó tải thông tin chi tiết lên cloud.

H: Việc add license thông qua kết nối trực tiếp license portal hoạt động như thế nào ?

A: Đây là một trong những phương thức license được sử dụng phổ biến nhất. Phương thức này yêu cầu WLC phải có kết nối internet qua HTTPS (cổng TCP 443). Quy trình khá đơn giản:

  • Tạo mã thông báo trên trang web Cisco CSSM
  • Dán mã thông báo vào WLC
  • WLC sẽ liên hệ với CSSM và báo cáo số lượng license (sử dụng mã thông báo làm hình thức xác thực)

H: Add License thông qua máy ảo Smart Software Manager On-Prem hoạt động như thế nào ?

A: Việc add license sử dụng máy ảo Smart Software Manager On-Prem tương tự như license qua DNA Center. Máy ảo Smart Software Manager cần có khả năng giao tiếp với WLC và Internet. Bản thân WLC có thể nằm sau tường lửa mà không cần kết nối Internet.

Phương pháp này cho phép WLC đẩy số lượng license sử dụng lên on-prem hoặc để on-prem lấy số lượng license sử dụng từ WLC theo định kỳ, sau đó gửi báo cáo lên CSSM Cloud.

H: Việc add license sử dụng ứng dụng Cisco Smart Licensing Utility trên Windows/Linux hoạt động như thế nào?

A: Việc add license sử dụng ứng dụng Windows khá đơn giản và không yêu cầu bất kỳ phần cứng bổ sung nào để triển khai.

Chỉ cần cài đặt ứng dụng trên máy tính xách tay Windows/Debian/RHEL hoặc máy ảo (VM), nhập thông tin đăng nhập Cisco và chi tiết WLC. Ứng dụng sẽ kết nối SSH vào WLC, thu thập thông tin sử dụng license và tải lên cloud. Quy trình này không cần lặp lại trong tương lai.

H: Specific License Reservation là gì?

A: Specific License Reservation cụ thể là phiên bản license offline  cũ được cung cấp trên các phiên bản phần mềm trước 17.3. Có lẽ bạn không nên sử dụng tính năng này.

 

Cisco 9800 WLC – Client tự động mất kết nối (Client Disconnections)

Gần đây tôi phải xử lý một vài trường hợp client tự động mất kết nối trong hệ thống mạng wireless cisco và sự cố này khá phổ biến. Bài viết này sẽ đề cập đến cách khắc phục một số sự cố thường gặp nhất trên Cisco 9800 Wireless LAN Controller. Hầu hết các sự cố được đề cập ở đây cũng áp dụng cho các AireOS WLCs.

Session Timeout

Recommendation:

Session timeout = 3600 seconds

Session timeout là khoảng thời gian mà sau đó client sẽ bị kicked out khỏi mạng và buộc phải xác thực lại. Trên các phiên bản Catalyst 9800 WLC cũ hơn, giá trị này theo mặc định được đặt thành 1800 giây (30 phút), điều này rất nghiêm trọng và gây ra nhiều lần ngắt kết nối không mong muốn. Các phiên bản mới hơn đã tăng giá trị mặc định lên 43200 giây (12 giờ).

Đặt giá trị thành 0 không có nghĩa là thời gian chờ là vô hạn và không được khuyến khích vì nó có thể ngăn client thực hiện roaming nhanh trên một số bản phát hành 9800.

Tuy nhiên, bạn nên tăng giá trị này lên 1 ngày (86400 giây ). Có thể thực hiện việc này thông qua CLI theo cấu hình policy profile:

configure terminal
wireless profile policy <Policy-profile-name>
 session-timeout 3600

webUI

 

2. Idle Timeout

Recommendation:

Idle timeout = 3600 seconds

Thời gian Idle Timeout thể hiện khoảng thời gian mà sau đó client sẽ bị loại khỏi mạng nếu không gửi bất kỳ dữ liệu nào. Theo mặc định, giá trị này được đặt là 300 giây (5 phút), một con số quá cao. Nhiều thiết bị client, đặc biệt là điện thoại IP, có xu hướng chuyển sang chế độ ngủ lâu hơn 5 phút, dẫn đến tình trạng hết thời gian chờ..

Khi client vô tình rời khỏi mạng, dữ liệu cũ có thể vẫn nằm trên WLC trong suốt thời gian Timeout, do đó không nên tăng giá trị này quá nhiều. Nên tăng giá trị này lên 3600 giây (1 giờ).

Có thể thay đổi theo cấu hình chính sách bằng cách sử dụng các lệnh:

conf t
wireless profile policy <Policy-profile-name>
 idle-timeout 3600

webUI

Fast Roaming (802.11r) & OKC

Recommendation:

FT = Enabled
Over the DS = Disabled

Auth Key Mgmt = 802.1x & FT+802.1x
OKC = Enabled

Nếu không có giao thức fast roaming, việc di chuyển giữa 2 access points sẽ khiến thiết bị client phải thực hiện lại quy trình xác thực đầy đủ. Đối với các mạng open và bảo mật PSK, điều này không sao cả, vì các loại xác thực này thường nhanh. Tuy nhiên, đối với các mạng bảo mật dạng dot1x, quá trình xác thực đầy đủ có thể mất tới hơn 1 giây. Điều này có nghĩa là mỗi khi client của bạn thay đổi AP, bạn sẽ gặp phải khoảng cách 1 giây trở lên, điều này có thể rất dễ nhận thấy nếu người dùng đang thực hiện cuộc gọi thoại/video.

Giao thức fast roaming 802.11r cho phép client roaming trong vòng vài mili giây. Giao thức này có thể được đặt thành chế độ tắt, bật, thích ứng và được gọi là “chế độ hỗn hợp”, có hoặc không có chế độ Over the DS. Tùy chọn Over the DS không được nhiều thiết bị client hỗ trợ, vì vậy nên tắt nó và sử dụng chế độ mặc định, over the air mode

Adaptive mode là chế độ đặc biệt được hỗ trợ chủ yếu bởi điện thoại thông minh Apple và Samsung, cho phép chỉ những điện thoại này roaming nhanh.

Chỉ cần đặt FT thành Bật sẽ chỉ cho phép các thiết bị khách hỗ trợ FT tham gia mạng. Các thiết bị không hỗ trợ FT sẽ không được phép tham gia.

Tuy nhiên, việc đặt FT thành Bật và thay đổi tùy chọn Quản lý Khóa Xác thực thành 802.1x & FT+802.1X sẽ đặt nó ở chế độ được gọi là “mixed” mode, trong đó cả client hỗ trợ và không hỗ trợ Fast Roaming đều có thể tham gia. Đây là chế độ được khuyến nghị và tương thích với nhiều thiết bị client nhất.

Để thiết lập Mixed mode FT, hãy chạy lệnh trong cấu hình WLAN:

conf t
wlan <Profile-Name> 1 <SSID-name>
 security ft
 security wpa akm ft dot1x

webUI:

Một giải pháp thay thế cho các thiết bị không hỗ trợ 802.11r là thuật toán  OKC. Thuật toán này chậm hơn một chút so với 802.11r Fast Roaming và được bật theo mặc định, vì vậy bạn nên giữ nguyên chế độ này.

DCA Algorithm Interval

Recommendation:

2.4 GHz DCA interval = 4 hours

5 GHz DCA interval = 8 or 12 hours

6 GHz DCA Interval = 8 or 12 hours

Thuật toán Dynamic Channel Assignment là một quy trình chịu trách nhiệm gán kênh cho tất cả các AP và chạy theo mặc định cứ sau 10 phút. Điều này có nghĩa là kênh AP có thể thay đổi sau mỗi 10 phút, làm tăng khả năng  khả năng client  bị ngắt kết nối.

Cấu hình khoảng thời gian cho thuật toán DCA bằng lệnh:

configure terminal
ap dot11 24ghz rrm channel dca interval 4
ap dot11 5ghz rrm channel dca interval 12
ap dot11 6ghz rrm channel dca interval 12

WebUI – Configuration > RRM > 2.4/5/6 GHz > DCA

DCA Channel Width

Recommendation:

On 5 GHz — Static 20/40 MHz

On 6 GHz — Static 20/40/80 MHz

Việc thiết lập độ rộng kênh giúp client dễ dàng quét toàn bộ mạng. Nếu client đã kết nối với kênh 20 MHz, trước tiên nó sẽ quét tất cả các kênh 20 MHz trước khi bắt đầu quét các kênh 40 MHz. Việc thiết lập độ rộng kênh thành “Best” cho phép kết hợp các kênh có độ rộng 20/40/80 MHz trong mạng, giúp làm chậm quá trình chuyển vùng.

Để đảm bảo roaming đáng tin cậy hơn, chúng tôi khuyến nghị giữ nguyên độ rộng kênh trên tất cả các AP. Do số lượng kênh khả dụng trên băng tần 5GHz khá lớn và không nên bật kênh rộng 80 MHz trong môi trường văn phòng thông thường.

Có thể thực hiện thay đổi theo cấu hình RF bằng cách sử dụng lệnh:

configure terminal
 ap dot11 5ghz rrm channel dca chan-width 20
ap dot11 5ghz rf-profile <RF-Profile-Name>
 channel chan-width 20
ap dot11 6ghz rf-profile <RF-Profile-Name>
 channel chan-width 20

webUI

Global config — value set to Best

EAP Broadcast Key Interval

Recommendation:

EAP-Broadcast Key Interval = 86400

Theo mặc định, AP và tất cả các clients được kết nối sẽ thương lượng lại khóa phát sóng sau mỗi 1 giờ. Điều này có nghĩa là người dùng văn phòng trung bình phải thực hiện trao đổi này 8 lần mỗi ngày, làm tăng khả năng xảy ra sự cố.

Rất thường xảy ra trường hợp clients đang ở chế độ ngủ và không phản hồi gói tin M5 đến từ AP yêu cầu trao đổi khóa phát sóng, dẫn đến client bị xóa do lý do xóa

CO_CLIENT_DELETE_REASON_GROUP_KEY_UPDATE_TIMEOUT.

Nên tăng giá trị này lên 1 ngày (86400 giây)

wireless security dot1x group-key interval 86400

hoặc trong webUI tại mục Configuration > EAP

EAP Request & EAP Identity Request Timeout And Retries

Recommendation:

EAP-Identity-Request Timeout = 1s
EAP-Identity-Request Max Retries = 10

EAP-Request Timeout = 1s
EAP-Request Max Retries = 10

Client driver upgrade

Khi các client dot1x không hỗ trợ Fast Roaming và phải di chuyển từ AP này sang AP khác, chúng phải thực hiện xác thực dot1x đầy đủ, bao gồm toàn bộ quá trình trao đổi EAP.

Trong quá trình trao đổi này, WLC gửi 2 gói tin quan trọng: yêu cầu Nhận dạng EAP và yêu cầu EAP, mà client được kỳ vọng sẽ phản hồi. Nếu client không phản hồi, WLC sẽ đợi 30 giây để truyền lại gói tin. Nó thử tổng cộng 2 lần trước khi từ bỏ và loại client ra. Điều này có nghĩa là nếu client không phản hồi, toàn bộ quá trình có thể mất đến một phút để thất bại.

Thông thường, do lỗi phía trình điều khiển, thiết bị không phản hồi gói tin yêu cầu Danh tính. Sự cố này thường đi kèm với lỗi CO_CLIENT_DELETE_REASON_CLIENT_EAP_TIMEOUT_FAILURE và lỗi CO_CLIENT_DELETE_REASON_CLIENT_EAP_ID_TIMEOUT, cùng lỗi 5440 Endpoint đã hủy phiên EAP và bắt đầu lại trên Cisco ISE.

Việc đặt giá trị này thành 10 lần thử lại mỗi 1 giây sẽ đảm bảo WLC cố gắng kết nối với client mạnh mẽ hơn. Việc thay đổi các giá trị này không đảm bảo sự cố sẽ được giải quyết. Cách duy nhất để khắc phục là nâng cấp trình điều khiển của thiết bị và hy vọng thiết bị client sẽ bắt đầu phản hồi các gói tin yêu cầu EAP (nhận dạng).

Timers có thể được cấu hình bằng cách sử dụng

conf t
wireless security dot1x identity-request retries 10
wireless security dot1x identity-request timeout 1
wireless security dot1x request retries 10
wireless security dot1x request timeout 1

webUI under Configuration > Advanced EAP

WPA3 & PMF

Recommendation:

WPA3 Policy = Disabled

PMF = Disabled

WPA3 và Protected Management Frame (PMF) đã ra mắt được một vài năm, nhưng vẫn còn rất nhiều vấn đề cần giải quyết với nhiều thiết bị client cũ.

Bạn nên tắt WPA3 và Protected Management Frame (PMF), đặc biệt là trên mạng mà bạn không có quyền kiểm soát client. Bạn có thể thực hiện việc này thông qua giao diện webUI trong phần cấu hình WLAN

DHCP Required

Recommendation:

DHCP Required = Disabled

Khi bật tính năng này, các thiết bị client được yêu cầu thực hiện DHCP mỗi khi tham gia mạng. Tất cả các máy khách đều thực hiện việc này theo mặc định. Tuy nhiên, vấn đề sẽ phát sinh khi chúng bắt đầu chuyển vùng.

Hầu hết thời gian, các thiết bị sẽ chỉ thực hiện một phần của quy trình DHCP DORA (Khám phá — Đề nghị — Yêu cầu — Xác nhận) khi di chuyển từ AP này sang AP khác bằng cách chỉ trao đổi Request + ACK để tăng tốc độ chuyển vùng. Tuy nhiên, một số thiết bị, sau khi di chuyển từ AP này sang AP khác, sẽ quyết định không thực hiện DHCP nữa và chỉ sử dụng lại địa chỉ cũ — về cơ bản hoạt động như một client với địa chỉ IP tĩnh.

Khi tùy chọn DHCP Required được bật, những thiết bị không thực hiện DHCP sau khi roaming sẽ không được phép tham gia và cuối cùng sẽ bị kick out. Thông thường, chúng sẽ tự động phục hồi sau khi bị kick out bằng cách thực hiện lại toàn bộ quy trình DHCP DORA, nhưng điều này vẫn sẽ gây ra khoảng cách kết nối đáng kể. Những sự cố này thường đi kèm với lý do CO_CLIENT_DELETE_REASON_IPLEARN_CONNECT_TIMEOUT hoặc CO_CLIENT_DELETE_REASON_MN_AP_IPLEARN_TIMEOUT trong trường hợp triển khai flex connect.

Tùy chọn này chỉ áp dụng cho các client thực hiện roaming chậm 802.11i (về cơ bản là xác thực đầy đủ khi roaming từ AP này sang AP khác). Tùy chọn này không áp dụng cho các máy khách thực hiện OKC hoặc Roaming nhanh 802.11. Lưu ý rằng các máy khách hỗ trợ Roaming nhanh 802.11 đôi khi có thể không thực hiện roaming nhanh và chọn không thực hiện roaming chậm, xác thực đầy đủ.

Bạn nên tắt tính năng này trong policy profile bằng lệnh:

configure terminal
wireless profile policy <Policy-profile-name>
 ipv4 dhcp required

WebUI

RX-SOP

Recommendation:

RX-SOP = Auto (disabled)

RX-SOP là một tính năng cho phép AP loại bỏ tất cả các gói tin được nhận ở cường độ tín hiệu yếu hơn cường độ tín hiệu được cấu hình. Mục đích của tính năng này là để AP loại bỏ các gói tin được gửi bởi các client ở rất xa AP, với hy vọng rằng client sẽ nhận ra rằng AP không phản hồi và cố gắng chuyển đến một AP mới.

Nó cung cấp 4 giá trị. 3 giá trị được xác định trước và một giá trị tùy chỉnh:

Cao = -79 dBm trên 2,4 GHz và -76 dBm trên 5 GHz

Trung bình = -82 dBm trên 2,4 GHz và -78 dBm trên 5 GHz

Thấp = -85 dBm trên 2,4 GHz và -80 dBm trên 5 GHz

Tùy chỉnh = được xác định bởi người dùng

Trên thực tế, tính năng này hầu như không ảnh hưởng đến quyết định roaming của client. Các thử nghiệm của tôi với MacBook và điện thoại Android cho thấy các client cố định (sticky client) sẽ liên tục cố gắng kết nối với một AP ở xa và việc bật RX-SOP hầu như không ảnh hưởng gì đến quyết định roaming. Kết quả duy nhất của việc bật RX-SOP là thay vì kết nối/tín hiệu kém khi cố gắng kết nối với một AP ở xa, client sẽ không có kết nối nào cả do các gói tin bị loại bỏ bởi RX-SOP.

Tính năng này phải được tắt (đặt thành Auto) trên globally hoặc trong cấu hình RF, tùy thuộc vào mục.

configure terminal
 ap dot11 5ghz rx-sop threshold auth
 ap dot11 24ghz rx-sop threshold auth

 ap dot11 24ghz rf-profile <24GHz-RF-profile-name>
  high-density rx-sop threshold auto
 ap dot11 5ghz rf-profile <5GHz-RF-profile-name>
  high-density rx-sop threshold auto

WebUI:

 

 

 

Hướng dẫn reset password root trong Vmware ESXi 7.0U3 hoặc cao hơn

Bắt đầu từ phiên bản esxi 7.0 update 2, cách lưu trữ một số file cấu hình trên ESXi đã thay đổi. Một trong những file này là mật khẩu người dùng ESXi.

VMware (và gần đây là Broadcom) chính thức tuyên bố rằng không thể reset mật khẩu ESXi và nếu admin quên mật khẩu, phải cài đặt lại (trừ khi bạn đã kết nối ESXi với vCenter để quản lý).

Sau một thời gian tìm kiếm với sự giúp đỡ của anh google tôi đã tìm được phương pháp khôi phục password dành cho phiên bản mới. Hướng dẫn này tôi chỉ thử nghiệm trên phiên bản 9 trong môi trường lab của tôi.

1- Khởi động server với ISO phiên bản 7.0U2 trở lên. (Tốt nhất là sử dụng cùng phiên bản được cài đặt trên server của bạn)

2- Sau khi ESXi khởi động và tiến trình cài đặt được hiển thị, hãy nhấn Alt+F1 để vào DCUI và từ đó, đăng nhập vào shell bằng tên người dùng rootkhông cần mật khẩu.

3- Nếu bạn thấy khó khi làm việc thông qua DCUI (ví dụ, vì không thể copy/paste), bạn có thể khởi động dịch vụ SSH và kết nối đến máy chủ thông qua SSH.

Trước tiên, hãy đảm bảo rằng địa chỉ IP đã được thiết lập theo cách nào đó trên ESXi của bạn. Mặc định, bản thân ESXi sẽ lấy địa chỉ IPv4 nếu trong hệ thống có DHCPv4 server . Đối với IPv6, nó cũng sẽ gán cho bạn một địa chỉ bằng SLAAC, bạn có thể kiểm tra IP như sau:

localcli network ip interface ipv4 address list
localcli network ip interface ipv6 address list

Nếu server không nhận được IP và bạn muốn sử dụng địa chỉ IP tĩnh, bạn có thể thực hiện theo cách sau:

localcli network ip interface ipv4 set --interface-name vmk0 --ipv4 YOUR_IPv4_Address --netmask YOUR_NETMASK --type static
localcli network ip interface ipv6 address add --interface-name vmk0 --ipv6 YOUR_IPv6_ADDRESS/PREFIX

Như bạn có thể thấy, tôi đang gán địa chỉ IP cho interface vmk0.

Trước khi bật SSH, hãy đảm bảo bạn đã đặt mật khẩu cho tài khoản root. Để thực hiện việc này, hãy sử dụng lệnh sau:

passwd root

Nếu bạn kích hoạt dịch vụ SSH mà không đặt mật khẩu, bạn có thể đăng nhập vào ESXi bằng tài khoản người dùng root mà không cần mật khẩu, điều này chắc chắn rất nguy hiểm về mặt bảo mật, đặc biệt nếu bạn sử dụng địa chỉ IP Public.

Cuối cùng, sử dụng lệnh sau để bật SSH:

/etc/init.d/SSH start

SSH sẽ chạy trên cổng 22/tcp.

4- Theo mặc định, ISO cài đặt sẽ tự động gắn các phân vùng cho bạn, bạn có thể xem trong đường dẫn này:

/vmfs/volumes/

5- Các phân vùng chúng ta quan tâm được gắn nhãn là BOOTBANK1 và BOOTBANK2 thuộc loại FAT. Nếu chưa bao giờ cập nhật ESXi, BOOTBANK2 sẽ trống, nhưng nếu đã cập nhật, ESXi sẽ thay đổi phân vùng khởi động mỗi khi bạn thực hiện cập nhật thành công.

Nếu bạn muốn chắc chắn 100%, hãy để ESXi khởi động và trong khi khởi động chờ 5 giây, hãy nhấn Shift+O và lưu ý giá trị bootUUID ở cuối màn hình trong dòng lệnh khởi động và cuối cùng sử dụng lệnh này sau khi bạn khởi động server bằng ISO

localcli storage filesystem list

6- Các thiết lập ESXi, bao gồm cả mật khẩu người dùng, được lưu trữ trong file state.tgz. Đối với các phiên bản ESXi mới hơn, nếu bạn giải nén file này, sẽ có hai file bên trong, một là encryption.info và file còn lại là local.tgz.ve.

Tôi sử dụng những lệnh này.

mkdir /tmp/thuonghdn
cd /tmp/thuonghdn
cp /vmfs/volumes/BOOTBANK1/state.tgz .
tar x -z -f state.tgz

Trong các phiên bản ESXi cũ hơn, file này chứa local.tgz.

* Lưu ý: Vì hệ thống file bootbank là FAT, nếu bạn giải nén ở đó, bạn sẽ mất quyền truy cập file. Tôi đã thực hiện thao tác này trong tmp để không mất quyền truy cập.

File local.tgz.ve là một loại file mà VMware gọi là file envelope và được mã hóa. Vì vậy, bạn không thể trích xuất và xem hoặc chỉnh sửa nội dung của file này như trước nữa.

File encryption.info là file văn bản thuần túy có nội dung phụ thuộc vào chế độ mã hóa bạn đang thiết lập. (Hiện tại có thể là NONE hoặc TPM)

Nếu phần cứng của bạn hỗ trợ và bạn muốn chuyển từ NONE sang chế độ TPM an toàn hơn, bạn có thể sử dụng một trong các lệnh sau sau khi đặt lại mật khẩu và đăng nhập vào ESXi:

localcli system settings encryption set --mode TPM
esxcli system settings encryption set --mode TPM

Phương pháp tôi chia sẻ cho phép bạn đặt lại mật khẩu ở cả chế độ NONE và TPM.

Nếu chúng ta muốn biết thông tin về mã hóa của file local.tgz.ve, chúng ta có thể thực hiện bằng lệnh này:

crypto-util envelope describe local.tgz.ve

Điều quan trọng nhất là KeyID được sử dụng để mã hóa file này.

Khóa này hiện không có trong bộ nhớ đệm khóa của bạn và nếu bạn hỏi ESXi khóa nào đang được sử dụng để mã hóa cấu hình, nó sẽ cung cấp cho bạn một khóa ngẫu nhiên được tạo trong quá trình khởi động ISO:

crypto-util keys getkidbyname ConfigEncryptionKey

Thông thường không giống với keyID mà chúng ta cần để giải mã file local.tgz.ve.

Hãy yêu cầu ESXi, khởi động từ ISO, sử dụng thông tin trong file encryption.info và thêm khóa mong muốn vào Bộ đệm khóa.

localcli --plugin-dir=/usr/lib/vmware/esxcli/int system settings encryption stop
localcli --plugin-dir=/usr/lib/vmware/esxcli/int system settings encryption setup -c encryption.info
localcli --plugin-dir=/usr/lib/vmware/esxcli/int system settings encryption start

Sau đó, nếu bạn hỏi ESXi lần thứ hai về khóa mà nó sử dụng để mã hóa cấu hình, nó sẽ trả về cùng một keyID mà chúng ta cần.

7- Ở bước tiếp theo, chúng ta sẽ giải mã file local.tgz.ve.

crypto-util envelope extract --aad ESXConfiguration local.tgz.ve local.tgz

8- Giải nén file local.tgz.

mkdir local
tar x -z -f local.tgz -C local
cd local

9- Nếu bạn xem kỹ, bạn sẽ thấy rằng kho lưu trữ này không còn bao gồm các tập tin sau như trước nữa.

etc/passwd
etc/shadow

Lý do là VMware không còn lưu trữ mật khẩu trong file này nữa và đã chuyển nó sang cơ sở dữ liệu sqlite, địa chỉ của cơ sở dữ liệu này là:

var/lib/vmware/configstore/backup/current-store-1

Và bạn có thể xem mã băm mật khẩu được lưu trữ cho người dùng bằng lệnh này.

/usr/lib/vmware/sqlite/bin/sqlite3 var/lib/vmware/configstore/backup/current-store-1 \
"SELECT * FROM Config WHERE Component='esx' AND ConfigGroup='authentication' \
AND Name='user_accounts' AND Identifier='root'"

10- Tạo một tập tin có nội dung sau.

UPDATE Config SET UserValue='{"name":"root","password_hash":"$6$OuBJHTuaUlOIkE/k$p2fCVL5q5kniGsWYo1xU4Tzct0ZJ7hFQeJH2z9c5F/srN2hQkBKf/lTepTZHwJqRim48vNJ9Meky3E5S0amnL0","description":"Administrator"}' WHERE Component='esx' AND ConfigGroup='authentication' AND Name='user_accounts' AND Identifier='root'

Sử dụng vi để tạo và lưu nó vào đường dẫn này:

vi /tmp/thuonghdn/reset-password.sql

Nếu bạn không thành thạo trong việc dùng vi, bạn có thể tạo file trong trình soạn thảo văn bản và chuyển nó sang ESXi bằng SFTP. (Ví dụ: bạn có thể sử dụng FileZilla hoặc WinSCP)

11- Chúng ta yêu cầu sqlite thực hiện truy vấn của chúng ta:

/usr/lib/vmware/sqlite/bin/sqlite3 var/lib/vmware/configstore/backup/current-store-1</tmp/thuonghdn/reset-password.sql

Thao tác này sẽ cập nhật giá trị băm trong cơ sở dữ liệu và bạn có thể xác minh thay đổi bằng lệnh ở bước 9.

Mã băm mà tôi sử dụng là từ pa$$w0rd

12- Chúng ta lưu trữ lại các tập tin để có được một tập tin local.tgz mới:

tar c -z -f /tmp/thuonghdn/local-new.tgz `tar t -z -f /tmp/thuonghdn/local.tgz`

13- Bây giờ mã hóa lại tập tin mới bằng khóa của mình.

cd /tmp/thuonghdn/
key_id='crypto-util keys getkidbyname ConfigEncryptionKey'
mv local.tgz.ve local-old.tgz.ve
crypto-util envelope insert --aad ESXConfiguration --id ${key_id} local-new.tgz local.tgz.ve

14- Chúng ta tạo một file state.tgz mới.

mv state.tgz state-old.tgz
tar c -z -f state.tgz local.tgz.ve encryption.info

15- Chúng tôi chuyển file sang bootbank và thay thế bằng file hiện có.

cd /vmfs/volumes/BOOTBANK1
mv state.tgz state.tgz.bak
mv /tmp/thuonghdn/state.tgz

Tôi cũng đã sao lưu file state.tgz gốc để đảm bảo.

Bây giờ bạn có thể khởi động lại máy chủ và đăng nhập bằng tài khoản root và mật khẩu pa$$w0rd.

Tôi hy vọng nó có thể hữu ích cho mọi người.

mkdir /tmp/thuonghdn
cd /tmp/thuonghdn
cp /vmfs/volumes/BOOTBANK1/state.tgz .
tar x -z -f state.tgz
localcli --plugin-dir=/usr/lib/vmware/esxcli/int system settings encryption stop
localcli --plugin-dir=/usr/lib/vmware/esxcli/int system settings encryption setup -c encryption.info
localcli --plugin-dir=/usr/lib/vmware/esxcli/int system settings encryption start
crypto-util envelope extract --aad ESXConfiguration local.tgz.ve local.tgz
mkdir local
tar x -z -f local.tgz -C local
cd local
/usr/lib/vmware/sqlite/bin/sqlite3 var/lib/vmware/configstore/backup/current-store-1 "UPDATE Config SET UserValue='{"name":"root","password_hash":"\$6\$OuBJHTuaUlOIkE/k\$p2fCVL5q5kniGsWYo1xU4Tzct0ZJ7hFQeJH2z9c5F/srN2hQkBKf/lTepTZHwJqRim48vNJ9Meky3E5S0amnL0","description":"Administrator"}' WHERE Component='esx' AND ConfigGroup='authentication' AND Name='user_accounts' AND Identifier='root'"
tar c -z -f /tmp/thuonghdn/local-new.tgz `tar t -z -f /tmp/thuonghdn/local.tgz`
cd /tmp/thuonghdn/
key_id=`crypto-util keys getkidbyname ConfigEncryptionKey`
mv local.tgz.ve local-old.tgz.ve
crypto-util envelope insert --aad ESXConfiguration --id ${key_id} local-new.tgz local.tgz.ve
mv state.tgz state-old.tgz
tar c -z -f state.tgz local.tgz.ve encryption.info
cd /vmfs/volumes/BOOTBANK1
mv state.tgz state.tgz.bak
mv /tmp/thuonghdn/state.tgz .

Hiểu về độ lệch trễ (Delay Skew) trong cáp Ethernet

Trong mạng Ethernet, thời gian là yếu tố quyết định. Một yếu tố thường bị bỏ qua có thể ảnh hưởng đến hiệu suất và độ tin cậy là độ lệch trễ (Delay Skew), nó là một chỉ số quan trọng trong việc thiết kế và thử nghiệm hệ thống cáp có cấu trúc.

Độ lệch trễ là gì?

Độ lệch trễ là sự khác biệt về thời gian truyền tín hiệu giữa các cặp xoắn trong cáp Ethernet. Độ lệch này có thể xuất phát từ sự khác biệt về chiều dài cặp, tốc độ xoắn hoặc trở kháng, và có thể ảnh hưởng đến thời gian truyền dữ liệu trên nhiều cặp.

Tại sao độ lệch trễ lại quan trọng?

Độ lệch trễ ảnh hưởng trực tiếp đến đồng bộ hóa thời gian trong mạng. Độ lệch trễ quá mức có thể dẫn đến lỗi thời gian, hỏng dữ liệu hoặc các vấn đề về tính toàn vẹn tín hiệu, ảnh hưởng đến độ tin cậy và hiệu suất mạng. Độ lệch trễ là một yếu tố quan trọng cần cân nhắc trong mạng Ethernet, đặc biệt là trong các ứng dụng đòi hỏi đồng bộ hóa thời gian chính xác, chẳng hạn như truyền dữ liệu tốc độ cao hoặc ứng dụng PoE (cấp nguồn qua Ethernet).

Giá trị độ lệch trễ chấp nhận được

Đối với cáp Ethernet tiêu chuẩn dài 100 mét:

Tốt nhất: < 25 ns

Tốt: < 45 ns

Có thể chấp nhận được: 45–50 ns

Không thể chấp nhận: > 50 ns

Việc lựa chọn cáp Ethernet chất lượng cao có hiệu suất lệch trễ được chứng nhận là điều cần thiết để đảm bảo hoạt động mạng ổn định, tốc độ cao.

Hiểu về nhiễu xuyên âm (NEXT) trong cáp Ethernet

Nhiễu xuyên âm gần đầu (NEXT) là hiện tượng thường gặp ở cáp Ethernet, đặc biệt là cáp có các cặp dây xoắn, trong đó tín hiệu truyền trên một cặp dây sẽ gây nhiễu tín hiệu truyền trên cặp dây liền kề.

Sự can thiệp này có thể dẫn đến lỗi truyền dữ liệu và làm giảm hiệu suất mạng. NEXT đặc biệt hữu ích trong các ứng dụng tốc độ cao như Gigabit Ethernet, nơi tính toàn vẹn của tín hiệu là yếu tố then chốt để duy trì kết nối đáng tin cậy và tốc độ truyền dữ liệu cao.

Nhiễu xuyên âm gần đầu (NEXT) có thể xảy ra do một số yếu tố, bao gồm:

+ Thiết kế xoắn đôi: Cáp Ethernet thường bao gồm nhiều cặp dây xoắn. ​​Mỗi cặp được xoắn để giảm nhiễu xuyên âm. Tuy nhiên, nếu các vòng xoắn không đủ chặt hoặc cáp được sản xuất kém, nhiễu xuyên âm có thể dễ xảy ra hơn.

+ Các vấn đề đấu nối: Việc đấu nối cáp không đúng cách có thể dẫn đến phản xạ tín hiệu và nhiễu xuyên âm. Việc lắp đặt hoặc đấu nối không đúng cách, không duy trì cấu hình xoắn đôi của các cặp dây, có thể gây suy giảm tín hiệu và làm tăng NEXT.

+ Tần số tín hiệu: Các tín hiệu tần số cao, chẳng hạn như tín hiệu được sử dụng trong Gigabit Ethernet hoặc mạng tốc độ cao, dễ bị nhiễu xuyên âm hơn. Khi tốc độ dữ liệu tăng, khả năng nhiễu giữa các cặp tín hiệu liền kề cũng tăng theo.

+ Các yếu tố môi trường: Các yếu tố bên ngoài như nhiễu điện từ từ thiết bị điện gần đó, nhiễu tần số vô tuyến hoặc thậm chí là cáp điện gần đó có thể gây ra hiện tượng nhiễu xuyên âm trong cáp Ethernet.

Giải đáp thắc mắc: Kênh sợi quang so với cáp quang (Fibre Channel vs. Fiber Optic Cable)

Trong thế giới cáp cấu trúc và cơ sở hạ tầng trung tâm dữ liệu, thuật ngữ “Fibre Channel” thường bị hiểu nhầm,  nhiều người cho rằng đây chỉ là tên gọi khác của cáp quang.

Nhưng sự thật là…

Kênh sợi quang (Fibre Channel) ≠ Cáp quang (Fiber Optic Cable)

Kênh sợi quang (Fibre Channel) là gì?

Fibre Channel (FC) là một giao thức mạng tốc độ cao được thiết kế để truyền khối lượng dữ liệu lớn giữa các máy chủ  thiết bị lưu trữ , thường là trong Mạng lưu trữ khu vực (SAN) . Giao thức này tập trung vào hiệu suất, độ tin cậy và độ trễ truyền thông thấp trong môi trường doanh nghiệp.

+ Các hình thức kết nối kênh sợi quang

Fibre Channel có thể hoạt động trên nhiều loại phương tiện vật lý khác nhau và không giới hạn ở cáp quang:

+ FCoE (Kênh sợi quang qua Ethernet)

Đóng gói lưu lượng Fibre Channel qua mạng Ethernet tiêu chuẩn.

– Cho phép hội tụ dữ liệu và lưu lượng lưu trữ

– Giảm thiểu việc sử dụng cáp và phần cứng

Cáp quang truyền thống

Được sử dụng làm phương tiện vận chuyển vật lý cho Fibre Channel trong các trung tâm dữ liệu.

– Hỗ trợ băng thông cao và độ trễ thấp

– Lý tưởng cho các chuyến chạy đường dài giữa bộ lưu trữ và máy chủ

Đồng Twinax (DAC khoảng cách ngắn)

Đối với các liên kết ngắn như trong rack hoặc giữa các rack liền kề.

 – Chi phí thấp hơn, phù hợp cho khoảng cách 5–7m

Tại sao nên sử dụng Fibre Channel?

 Băng thông cao : Hỗ trợ tốc độ dữ liệu 8, 16, 32 hoặc thậm chí 64 Gbps , hoàn hảo cho khối lượng công việc có thông lượng cao.

 Độ trễ thấp : Quan trọng đối với các ứng dụng sử dụng nhiều dữ liệu, trong đó mili giây là yếu tố quan trọng.

 Độ tin cậy và truyền tải không mất dữ liệu : Kênh sợi quang được thiết kế để truyền dữ liệu mà không bị mất hoặc truyền lại , điều này rất quan trọng trong môi trường SAN.

Các ứng dụng chính của Kênh sợi quang

– Mạng lưu trữ (SAN): Cung cấp liên kết chuyên dụng, nhanh chóng và đáng tin cậy giữa máy chủ và bộ lưu trữ.

– Môi trường ảo hóa: Cung cấp khả năng truy cập lưu trữ nhanh chóng cần thiết để chạy máy ảo hiệu quả.

– Sao lưu và phục hồi sau thảm họa: Cho phép sao lưu và phục hồi dữ liệu nhanh chóng với thời gian ngừng hoạt động tối thiểu.

– Máy tính hiệu suất cao (HPC): Hỗ trợ nhu cầu hiệu suất cực cao của máy tính khoa học và doanh nghiệp.

Khi chỉ định cơ sở hạ tầng cho trung tâm dữ liệu hoặc SAN, hãy luôn làm rõ:

– Bạn có đang nhắc đến giao thức Fibre Channel không?

– Hay bạn đang nói đến cáp quang như một phương tiện truyền dẫn?

Sự khác biệt này đảm bảo giải pháp phù hợp được triển khai cả về mặt kiến ​​trúc mạng  cơ sở hạ tầng cáp vật lý .