2020年3月17日 星期二

Fortigater HA驗證 (升版時)

出了一點事,所以還是去查了資料。以確認自己的印象正確。

https://help.fortinet.com/fos50hlp/52data/Content/FortiOS/fortigate-high-availability-52/HA_failover.htm

Fortigate的HA是用FGCP機制:In FortiGate active-passive HA, the FortiGate Clustering Protocol (FGCP) provides failover protection。VRRP要另外設定。

再來是升版時HA如何決定誰是active,其實看圖就很清楚,先比開機時間(久的優先),再比優先權(大的優先),最後比序號(大的優先)。在slave升完版開機之後,FortiOS會自動把master重開機(並進行升版),在這個時候只有原先的slave是開著的,它自然會成為master,在舊的master升完版重開機之後,由於我們有設定override,所以他又搶回master的位置。接著就是不斷的重覆這個過程 (假設你有一直升版的話)。



另外我是比較建議開啟session-pickup功能。

config system ha
set session-pickup enable
end

然後UDP跟ICMP也記得開session-pickup

config system ha
set session-pickup-connectionless enable
end


2020年3月12日 星期四

好用的Rutty (Putty及SecureCRT的替代品)

這兩年接手Fortigate的維護,有時需要大量貼入指令。用Putty有時會吃掉換行符號,導致從開始的錯一錯再錯。好用的SecureCRT又是貴鬆鬆的商業軟體,我也不想用破解版的。後來幾經找尋,找到Rutty,聽名字就知道是Putty魔改出來的。

Rutty可以讀檔然後慢貼,當然也可以設定每一個字元及及每一行要貼的間格時間。是個方便又免費的軟體。

把一條網路線分接成兩條terminal server線

因為懶得再爬上爬下佈線,就魔改,把一條網路線分成兩條terminal server線來用。

其實原理很簡單,看下圖就知道了...

原來的網路線不動,找兩個網路線延伸接頭,接著查一下terminal server需要的線 (就是一般設備的console介面),只需要tx,rx還有gnd三條線。

所以我就做了兩條線,把原來的8蕊線的前四蕊取三蕊做為tx,rx還有gnd。
同樣的,後四蕊也取三蕊作為tx,rx還有gnd。這樣就搞定了。



把舊的Raspberry Pi的GPIO拿來接設備的console port....

突發奇想,想把舊的Raspberry Pi的GPIO拿來接設備的console port,弄了很久都是亂碼,試了各種方法都無效,調了各種參數也一樣。最後想到會不會是電壓的關係。一查果然...Cisco的console port 要吃5V,一般USB轉RS232的輸出也是5V,但Raspberry Pi的GPIO輸出只有3.3V ......


3/13早上測試了一下,一般的USB to RS232 TX的電壓是9.6V



但是一般USB to RPI UART只有3.3V


網友大多建議要用GPIO接RS232的設備需要使用max232的ic,max323的Vcc in就是5V,看來是把他當升壓IC用。把TTL位準升成RS232位準。