Linux 6.5 cluster 接 C6500 VSS 異常處理

問題狀況描述

Step1. Server1 & Server2 對外port eth0 接 Core (Cisco 6509/6504 不同台)
    服務狀態：cman / rgmanager 服務正常，但cluster service啟動失敗

Step2. Server1 & Server2 對外port eth0 對接
    服務狀態：cman / rgmanager / cluster service 啟動成功

Step3. Server1 & Server2 對外port eth0接上Dlink switch 再uplink to Core
    服務狀態：cman / rgmanager / cluster service 啟動成功

問題說明
Linux cluster 預設使用 multicast 溝通，所以switch需啟用 Multicast / IGMP

Linux cluster status 可由指令 clustat -im 確認

Cluster Status 正常

Cluster Status 異常

解決方案一、Server cluster enable Unicast

2.12. UDP Unicast 流量
就 RHEL 6.2 來說，叢集中的節點可以透過 UDP Unicast 傳輸機制來通訊。然而我們建議叢集的網路使用 IP multicasting。UDP unicast 是 IP multicast 無法使用時的備用方案。
您可透過設置 cluster.conf 配置檔案中的 cman transport="udpu" 參數，以將 Red Hat High-Availability 外掛配置為使用 UDP unicast。您亦可由 Conga 使用者介面的「網路配置」頁指定 Unicast，如 〈節 3.5.3, “網路配置”〉中所述。

解決方案二、Core switch Enable PIM on the Layer 3 Router/VLAN Interface 

All Catalyst platforms have the ability to dynamically learn about the mrouter port. The switches passively listen to either the Protocol Independent Multicast (PIM) hellos or the IGMP query messages that a multicast router sends out periodically.

ACS 帳號直接查詢 AD 密碼

前題：要事先完成外部資料庫查詢相關設定
例：資安考量，AD user 需定期修改密碼，
       若 AD user 改密碼，就可以用新密碼登入ACS控管設備了

Password Authentication : 選擇 Windows Database
PAP Password：不需輸入，直接查詢AD

Win8 64bit client can't install Cisco AnyConnect finish

一、安裝過程，錯誤訊息如下

\System\CurrentControlSet\Services\Eventlog\CiscoAnyConnect Secure Mobility Client\acvpndownloader

二、找到答案，再來更新

WLC Web-Auth with OpenLDAP

一、使用 LDAP Admin 確認 LDAP 運作情形
        註：LDAP 可能設限可存取IP (需開放WLC可存取認證)



二、查看 LDAP user 屬性 (各家設定不儘相同)
       objectClass :  person (其它常見：account)
       Attribute    ：cn (其它常見：uid)

三、WLC LDAP Server config

設定 User Attribute / Object Type
    註：若Simple Bind 選擇 Anonymous，也可認證成功

指定 LDAP server 為Web認證主機

四、測試

認證成功，check LDAP log

Cisco Anyconnect 連線錯誤訊息處理

訊息如下：

 The VPN client was unable to modify the IP forwarding table. A VPN connection will not be established. Please restart your computer or device, then try again.

解決方法：

注意：使用 Anyconnect VPN，網路共享服務，不能開啟 !!!

執行，輸入services.msc 後，找到 Internet Connection Sharing (ICS) 選項，停用即可

IronPort WSA：GATEWAY_TIMEOUT

通知：GATEWAY_TIMEOUT

症状：From client ping 目的地 URL，由 WSA 回應
原因：Block by WSA L4TM (L4 Traffic Monitor)
處理：Bypass URL from L4TM 即可正常

IronPort 重開機要小心

指令是 reboot 不是 reload

ironport2.lab.com> reboot

Are you sure you want to reboot?
[N]>

===========================

ironport2.lab.com> reload


WARNING !!

This command will erase customer data, reporting and log files,
erase proxy cache, reset to factory configuration (shipping mode),
including network settings and IP addresses and reboot the machine.

This command does NOT extend the feature keys.
Those must be applied separately.

WARNING !!

This command is primarily intended for Cisco IronPort Field Engineers
and may delete valuable data. Administrators should normally use
'resetconfig' instead.

Are you sure you want to continue? [y|n]

IronPort CLI downgrade 指令

CLI 下指令：revert (重開機完成，大約10~15分)