Himalaya: Listen. Learn. Grow.

4.8K Ratings
Open In App
title

Cisco學習資訊分享

Li-Ji Hong (洪李吉)

4
Followers
15
Plays
Cisco學習資訊分享

Cisco學習資訊分享

Li-Ji Hong (洪李吉)

4
Followers
15
Plays
OVERVIEWEPISODESYOU MAY ALSO LIKE

Details

About Us

打造夢幻Internet

Latest Episodes

好的東西儘量放分公司,爛的放總公司

【好的東西儘量放分公司,爛的放總公司】 我曾經在某家公司工作。當時我在總公司,管理全公司整個集團的IP網路。因為每年的預算有限,籌備年度軟、硬體升級的時候,我經常必須抉擇,到底應該先升級「分公司」的路由器交換器,還是「總公司」的。 和一般人直覺相反,我也沒有詳細和其他人討論分享,我自己心裡面的取捨,其實是「好的東西儘量放分公司,爛的放總公司」。為什麼?我來聊一聊我的這個內心原則。 分公司的人力、技術資源比較有限 第一,「分公司」的人力數量,技術支援熟練度,通常都比「總公司」的團隊更有限制。 分公司的資訊技術支援,在我的觀察,一般都遠不及總公司。光是從人力來看,在總公司,通常會有專業分工的技術團隊,例如,專門有一群人做伺服器的任務、另外一群Windows作業系統,或者是還有一群人做網路。每個領域都有專門的團隊,分工執行。但是在分公司,通常都沒有這麼多的資訊人力。 少數的幾個員工,當他們在值班的時候,可能同時必須負責處理伺服器,又要同時處理Windows作業系統,還要處理網路的問題。如果我們給他們比較糟糕,問題很多的的路由器、交換器的話,當遇到問題的時候,他們不一定能夠像總公司專門的技術團隊能夠熟練的處理,時間上也不允許他們,花太多的力氣去判斷,光是「網路」這個技術領域,到底發生什麼狀況,只因為一個員工,同時要負責好多系統或任務。 還有技術文件,或是教育訓練的資源,「分公司」普遍來說都比較欠缺。 深入的技術問題,我寧可盡量控制在「總公司」內發生,專業團隊可以就近直接處理。別讓這些複雜的技術問題,發生在「分公司」裡面。 只要「分公司」的人沒辦法當地就近處理,接下來就是要「總公司」自己的團隊下去處理。如果經常需要「總公司」的團隊派人去處理,馬上我們就必須面對的二個問題。分公司的距離好遠,交通的時間和金錢花費都很高 第二,「分公司」的距離好遠,來回交通的時間和金錢,花費都很高。 距離越遠,交通的時間和金錢花費就會越高。這是直接的結果。 緊急狀況的時候,「總公司」的人即使願意花費交通的時間跟金錢,到現場去處理,有的時候也是趕不上時效性、達不到時間的目標,「緩不濟急」。例如網路斷線的狀況,只要故障沒有排除,好多系統會立刻停止工作。 另外,「總公司」的員工,通常還有很多任務要去處理,不論是「年度」的、「季度」的申請流程、報表、安全稽核等等,全部都必須由「總公司」的員工處理。如果你把有限的時間都花在交通上,其實也是很不划算的。 另外,我自己當時工作的時候,我沒有太多的時間去加班,我也不太願意加班,我也必須保留時間給我的家人。我盡量減少不必要的差旅交通。 只要我能夠遠端處理,我盡量只透過遠端處理。 盡量減少不必要的「總公司」往來「分公司」的之間的交通時間跟花費,我不只是可以幫公司省錢,我也不需要經常加班,因為我在正常辦公時間我就可以把所有的事情處理好。不會將時間浪費在交通和旅行上面。 障礙現場當地就能直接處理的問題,盡量能夠在當地直接解決。 萬一障礙還是不能解決的時候,我們只剩下一個選擇:請廠商協助。新的產品比較容易取得廠商的技術支援 第三,新的產品新的軟體硬體系統等等,通常比較容易取得廠商的技術支援。我相信這一個觀察點,也許注意到的朋友會比較少。 以網路硬體為例子,一套路由器或是交換器,假設已經是超過10年以上的老產品,備用的零件通常比較缺乏、昂貴、而且不齊全,即使廠商願意幫你提供支援服務。 比較新的,或者說是不要太老舊的產品,廠商的技術服務人員,也會得到比較多的教育訓練資源。 廠商比較願意支援新的產品,也比較有能力支援新的產品,通常也代表著,我們可以用比較有經濟效益的價格,來取得相同的支援服務內容。 太老舊產品,我就不會放在「分公司」。我那時候能夠做的是,舊的產品留在「總公司」使用,堪用的繼續用,能不更新就不急著更新。也就是說「分公司」全部都更新完了,最後我才會開始更新「總公司」的軟硬體系統。結論 這個取捨的原則,減少了我很多非必要的出差時間。幫我節省了非常多的力氣,我也不太需要經常加班,同時,我也幫公司節省了很多金錢,一舉數得。 One more thing... 其實還有一個關鍵的核心功能需求,就是「所有分公司的系統,必須能夠只透過網路,遠端就可以管理」。 所有的描述或假設,我的出發點都是,「分公司」軟硬體系統最低的要求,就是我一定要能夠從遠端去管理。 這些放在分公司的路由器、交換器,我其實從總公司,都可以透過IP網路來監看。異常日誌、存儲空間用完、電源、風扇模組故障、等等,我在總公司我其實都可以觀察得到。即使問題即將發生,我通常會提早察覺預測得出來。國泰金融大樓 台灣、台中市 我是洪李吉。我的網站是「Cisco學習資訊分享」。我們下次見!

--2 d ago
Comments
好的東西儘量放分公司,爛的放總公司

WEP並不安全

首先我要澄清,製作這個影片,我並不想要教大家,去破解別人的Wi-Fi網路。我只是要證明,WEP這個方法並不足以保護Wi-Fi網路。 第一步:準備動作,找到WEP目標因為後續的WEP工具,需要告知它去破解哪一個以WEP 保護的Wi-Fi網路,因此,我們需要找到這個被攻擊網路的 頻道號碼、還有BSSID,也就是基站的MAC地址。 我使用 airodump-ng 來掃描,命令是: sudo airodump-ng wlan0 –encrypt wep 這裡我們找到了,所要被攻擊的目標,它的BSSID,頻道,還有SSID名稱。確定這是我原本準備好的標靶。 第二步:使用主要破解工具 besside-ng 我使用 besside-ng,命令是: sudo besside-ng wlan0 -c -b 開源工具besside-ng的工作原理,大致上來說,是自動注入一些數據楨,強迫目標回應,然後擷取數據楨的內容,來找到足夠分析的IV值。 這個工具和步驟,所花的時間是最多的,時間長短的變動也最大,因此,需要耐心等待結果。 這次的錄影,我到了將近十萬個IV值,才完成WEP破解,花了將近半小時的時間;我印象中曾經只要兩萬多個IV,不到十分鐘,就破解了。 第二步完成的時候,WEP的金鑰已經被破解,也就是說,之後擷取到的Wi-Fi數據楨,都可以被軟體解密了。 假設我的終極目標,是要找出...

--JUL 27
Comments
WEP並不安全

Cisco MDS Zoning 基礎模式、CFS、和加強模式

【Cisco MDS Zoning 基礎模式、CFS、和加強模式】 Cisco MDS 9000 Family (截圖自Cisco.com官網) Fibre-Channel是存儲網路(Storage Area Network, SAN)領域中最常被使用的協定。Cisco也有存儲網路的交換器產品:Cisco MDS系列。Fibre-Channel 協定(後面我用FC來代替) 的安全管制機制稱為分區(Zoning, 將Zone變成動詞)。我們來討論,在Cisco MDS產品上,幫助FC Zoning設定的三種工具:基礎模式(Basic Zoning)、Cisco Fabric Service (CFS)、加強模式(Enhanced Zoning)。 為了方便理解,我這裡另外錄製了一段展示影片,可以跟這篇文章一起研讀。 我們先將三套MDS乾淨的VSAN建立好。展示的畫面中我使用VSAN 4。 Basic Zoning,基礎模式 Cisco MDS當VSAN剛建立完成的時候所預設的Zoning, 稱為 Basic Zoning。Basic Zoning是Fibre Channel的標準協定,可以跨廠牌支援。我們來觀察,在Cisco MDS上面的Zoning資訊傳遞行為。 我們先創建Zone Set“set4A”和“set4B”。 當我們創建Zone Set,但是尚未啟用(Activate)之前,所有的MDS都不會收到任何的Zoning資訊。 接下來我們執行“zoneset activate name set4A vsan 4”。這個命令,除了將會在本地的MDS,將Zoning的設定以set4A啟用...

--MAY 2
Comments
Cisco MDS Zoning 基礎模式、CFS、和加強模式

如何知道,我正在使用IPv6?

最近不少人在討論「全球 43 億個 IPv4 地址今日正式耗盡」,例如這一篇。我相信起因,是因為RIPE的Nikolas Pediaditis幾天前的一封公開Email,宣布RIPE NCC的IPv4地址,已經全部發放完畢。 https://www.ripe.net/ripe/mail/archives/ncc-announce/2019-November/001380.htmlDear colleagues,Today, at 15:35 UTC+1 on 25 November 2019, we made our final /22 IPv4 allocation from the last remaining addresses in our available pool. We have now run out of IPv4 addresses. ..... 五個「區域網際網路註冊中心」 原本IPv4地址的發放,由IANA統一控管,再下發給全球五個「區域網際網路註冊中心」 (Regional Internet Registry, RIR)。各區域內的電信、服務業者、企業、組織等等,如果需要IP地址,就自行跟「區域網際網路註冊中心」申請。 Wikipedia: Regional Internet Registries world map. Rir.gif: Dork BlankMap-World6,_compact.svg: Canuckguy et al. derivative work: Sémhur (talk) - Rir.gif BlankMap-World6,_compact.svg 目前全球一共分成五個「區域網際網路註冊中心」: (區域Regional所指的是全球來看,好幾個國家的區域。) AfriNIC:大致上是非洲APNI...

--2019 NOV 27
Comments
如何知道,我正在使用IPv6?

什麼是「網際網路交換中心」Internet Exchange (IX)?

我們普通的網際網路使用者,只需要將網路連接到網際網路服務業者(Internet Service Provider,ISP),剩下的網際網路的連通工作,業者會在幕後幫我們完成。 但是站在網際網路服務業者的角度,業者不只是必須跟國際的ISP連接,在國內,也必須同時跟國內的其他業者ISP相連接。於是,我們需要一個額外的腳色,專門服務業者和業者之間的網路封包的連通和交換。這個額外的腳色,就是 Internet Exchange (IX),我稱為「網際網路交換中心」。 我藉著下面假想的、台灣的例子,我們就可以理解網際網路交換中心,扮演什麼重要的功能。 假想情境:五家業者 首先,我先假設台灣國內有五家網際網路服務業者。這五家業者,各自租用連接到外國的國際線路,來讓各自的租用客戶,可以跟國際的Internet 相接通。 這樣已經可以讓網際網路開始工作了。但是,並不是很有效率。 我假設台灣國內某個熱門的購物網站,伺服器架設在業者一(ISP 1)。熱門購物網站的用戶端,肯定不只是業者一自己內部的租用客戶,一定也有不少的用戶,是來自於業者三、或者是業者五。 這時候問題來了。業者三租用客戶的封包,必須先跑到國外,才能再連回到業者一。反方向的流量,或者是業者五的用戶,也有完全相同的困擾...

--2019 NOV 13
Comments
什麼是「網際網路交換中心」Internet Exchange (IX)?

全球的BGP IPv4路由表突破800K

這一週,全球的BGP IPv4路由表,已經來到八十萬筆。不需要擔心,這只是一個時間上的里程碑。 我依然記得,在2001年,我幫客戶安裝了一套BGP路由器。這套路由器的型號是Cisco 3660,其實只有256 Megabytes的DRAM記憶體。當年的美好時光,全球的BGP路由表只有不到十五萬筆而已。雖然今天看起來256 Megabytes很小,當年依然跑得動。 隨著DRAM記憶體的價格下降,路由器硬體支援的DRAM記憶體容量越來越大。即使只安裝出廠預設的DRAM,不需要特別增加DRAM,BGP管理者也不容易買錯DRAM不足的路由器硬體。 我之前曾經寫過另外一篇文章,每十萬筆的單一鄰接的BGP資訊庫,大約需要80 Megabytes大小的DRAM記憶體。 Cisco學習資訊分享:BGP 記憶體需求估計 換句話說,如果要存放今天全球BGP八十萬筆的資訊庫,我們大約也只需要保留每個鄰接800 Megabytes,也就是0.8 Gigabytes的DRAM,給BGP協定來使用就夠了。對於今天的路由器硬體來說,小事一件。 我舉一個例子,Cisco ASR 1000 RP1加4G DRAM,今天來看已經不是太新潮的路由器硬體了。但是,它依然可以承載一百萬筆的BGP路由表。所以八十萬筆,裝得下沒問題。 CIDR REPORT 網站的畫面快照,November 6, 2019 「空盛桑運河」、和「昭披...

--2019 NOV 6
Comments
全球的BGP IPv4路由表突破800K

免安裝軟體的簡易IPv4地址掃描工具

我們經常需要做網段內的IPv4地址掃描。例如要確定IP地址有沒有被重複使用,或者是純粹做安全掃描,確保沒有隱藏的網路使用者。 為了掃描IP地址,我們也許需要從網路搜尋下載安裝免費的掃描工具,或者是昂貴的工具例如Cisco Prime Infrastructure。沒有工具,我們只能透過PING,來作手動掃描。不論是哪一個方式,都不是那麼簡單。 我這裡提供一個簡易工具,不需要下載安裝,不需要昂貴的軟體。您只需要一套Windows 10的PC。我們一起來看。 第一步:打開PowerShell視窗 在Windows上按下“Windows Logo Key ❖ + R”,輸入”powershell”。然後按下Enter開始執行。Windows 10會產生一個PowerShell視窗,這個視窗並不需要系統管理者的特權。 這點應該不難才對! 第二步:將下列單行腳本剪貼到PowerShell執行 $ipv4prefix=$(ipconfig | where {$_ -match 'IPv4.+\s(\d{1,3}\.\d{1,3}\.\d{1,3}\.)' } | out-null; $Matches[1]); 0..255 | %{"$ipv4prefix$_"}| % {"$($_): $(Test-Connection -count 1 -quiet -ComputerName $($_))"} 這個一行的PowerShell腳本,是我在我的電腦上面測試過可以使用的。 萬一剖析本地的IP地址有問題,或者是,您只是要掃描其他網段,您可以手工將$ip...

--2019 NOV 1
Comments
免安裝軟體的簡易IPv4地址掃描工具

ATM大當機只因為誤觸一條線路所導致嗎?

這是昨天(2019-10-17)的台灣媒體報導: 針對今天晚間各地銀行發生ATM(自動櫃員機)出現大當機,財金公司回應是一位IBM工程師進行維修時,「誤觸」一條線路導致 … 金管會表示,根據銀行及財金公司回報情況,跨行交易系統是在今晚17點42分出現壅塞,速度變非常慢,但並不是全部當機無法使用;後來狀況是晚間18點18分排除。 我從外部觀察者的角度,來聊一聊這個事件。 有沒有可能只因為碰掉一條網路線,就造成系統停止服務? 這是非常可能的,純粹看運氣。 我這裡假設一個情境,您碰掉的網路線,正好是伺服器的網路掛接存儲系統的唯一通道,偏偏伺服器的關鍵資料檔案就放在上面。 我這裡所提到的「網路掛接存儲系統」,就是Network Attached Storage, NAS。 這算不算是「單點故障全體故障」 當然算,這是一個典型的「單點故障全體故障」案例,Single Point of Failure, SPOF。 我也觀察到,整個事故從發現停止服務開始,在不到40分鐘之內,就恢復正常服務,我判斷系統只有暫停服務,並沒有造成緊急停機或是系統當機。非常可能,真的只因為瞬間失去網路連通性而已。我的經驗告訴我,很多系統,光是執行伺服器停機,或是開機程序,所花費的時間,都遠遠超過40分鐘。 如果無法...

--2019 OCT 18
Comments
ATM大當機只因為誤觸一條線路所導致嗎?

擺了乖乖,機房就會自己「乖乖」嗎?

在台灣我經常觀察到,好多公司的資訊機房內,會在機櫃頂端放著好幾包「乖乖」餅乾。難道這麼做,機房就真的會變得「乖乖」嗎?我今天來聊聊這個輕鬆的話題。 「乖乖」風潮 到底是誰先發起了這股「乖乖」風潮,今天應該已經是不可考證了。 大致上的起因,是因為資訊系統維護的日常工作當中,經常發生一些過於巧合的意外。一直都很穩定的系統,偏偏在放假前一天停止服務;有些從來都不曾故障過的硬體,半夜忽然故障發送告警;更新軟體每一次操作都成功,就只有我操作的這一次,軟體重啟後才察覺到服務帶不起來、等等等。 某些朋友也許在偶然間發現,如果在資訊機房、機櫃頂,放了幾包「乖乖」餅乾之後,這種巧合的意外,「感覺起來」,好像比較不會發生。似乎「放乖乖」和「更穩定」兩者之間,猶如真的存在某些關聯性。 這是迷信嗎? 「感覺起來」有關連性,不代表可以從客觀的統計過程當中,歸納出相同的關聯性。假設我們要永久的釐清,需要去蒐集數據,來證明「放乖乖」和「更穩定」兩者是否相關,或是不相關。 我還沒有找到研究報告,我個人目前也還沒有機會進行這種統計。我的確沒有足夠的證據,來指出這就是迷信。 我的看法 不過,我直觀認為,因為下面這幾個理由,「放...

--2019 AUG 13
Comments
擺了乖乖,機房就會自己「乖乖」嗎?

CCNA將於2020年改版重點整理

Cisco已經在官方網站上宣布,好多認證考試的更新,將於2020年2月24日發生。我這裡先整理CCNA的部分。 CCNA考試(200-301)內容改版 2020年新版的考試名稱,正式的名稱是CCNA 2.0認證考試。為了避免大家有誤解,我後面一律用考試代碼200-301稱呼它。 跟目前的考試版本200-125相比較,考試內容最大的差異,是考試範圍的廣度變大了,考試時間和題目數都加長了,增加了無線區域網路(Wireless LAN),增加了自動化和網路管理程式化(Automation and Programming)。簡單的說,就是考試變困難了。 好消息是,2020年2月24日距離現在,還有八個月左右的時間,200-125考試依然可以報考。 如果正要開始準備CCNA認證的朋友們,其實還有充足的時間準備,無論是打算報名密集訓練課程,或者是工作中、學校中自修,時間好好把握,應該是足夠的。 已經取得CCENT衝擊 如果原本計畫分兩階段考試,來取得CCNA的朋友們,這次的改版對您的衝擊是最大的。CCENT認證資格和考試,同樣的將於2020年2月24日一起消失。簡單的說,您必須將ICND1、ICND2兩次考試,一口氣在2020年2月24日之前完成,才能取得CCNA。 (根據我的觀察,台灣計畫分兩階段參加CCNA考試的朋友人數,應該不多。歡迎留言讓我知道!) 已經...

--2019 JUN 21
Comments
CCNA將於2020年改版重點整理

Latest Episodes

好的東西儘量放分公司,爛的放總公司

【好的東西儘量放分公司,爛的放總公司】 我曾經在某家公司工作。當時我在總公司,管理全公司整個集團的IP網路。因為每年的預算有限,籌備年度軟、硬體升級的時候,我經常必須抉擇,到底應該先升級「分公司」的路由器交換器,還是「總公司」的。 和一般人直覺相反,我也沒有詳細和其他人討論分享,我自己心裡面的取捨,其實是「好的東西儘量放分公司,爛的放總公司」。為什麼?我來聊一聊我的這個內心原則。 分公司的人力、技術資源比較有限 第一,「分公司」的人力數量,技術支援熟練度,通常都比「總公司」的團隊更有限制。 分公司的資訊技術支援,在我的觀察,一般都遠不及總公司。光是從人力來看,在總公司,通常會有專業分工的技術團隊,例如,專門有一群人做伺服器的任務、另外一群Windows作業系統,或者是還有一群人做網路。每個領域都有專門的團隊,分工執行。但是在分公司,通常都沒有這麼多的資訊人力。 少數的幾個員工,當他們在值班的時候,可能同時必須負責處理伺服器,又要同時處理Windows作業系統,還要處理網路的問題。如果我們給他們比較糟糕,問題很多的的路由器、交換器的話,當遇到問題的時候,他們不一定能夠像總公司專門的技術團隊能夠熟練的處理,時間上也不允許他們,花太多的力氣去判斷,光是「網路」這個技術領域,到底發生什麼狀況,只因為一個員工,同時要負責好多系統或任務。 還有技術文件,或是教育訓練的資源,「分公司」普遍來說都比較欠缺。 深入的技術問題,我寧可盡量控制在「總公司」內發生,專業團隊可以就近直接處理。別讓這些複雜的技術問題,發生在「分公司」裡面。 只要「分公司」的人沒辦法當地就近處理,接下來就是要「總公司」自己的團隊下去處理。如果經常需要「總公司」的團隊派人去處理,馬上我們就必須面對的二個問題。分公司的距離好遠,交通的時間和金錢花費都很高 第二,「分公司」的距離好遠,來回交通的時間和金錢,花費都很高。 距離越遠,交通的時間和金錢花費就會越高。這是直接的結果。 緊急狀況的時候,「總公司」的人即使願意花費交通的時間跟金錢,到現場去處理,有的時候也是趕不上時效性、達不到時間的目標,「緩不濟急」。例如網路斷線的狀況,只要故障沒有排除,好多系統會立刻停止工作。 另外,「總公司」的員工,通常還有很多任務要去處理,不論是「年度」的、「季度」的申請流程、報表、安全稽核等等,全部都必須由「總公司」的員工處理。如果你把有限的時間都花在交通上,其實也是很不划算的。 另外,我自己當時工作的時候,我沒有太多的時間去加班,我也不太願意加班,我也必須保留時間給我的家人。我盡量減少不必要的差旅交通。 只要我能夠遠端處理,我盡量只透過遠端處理。 盡量減少不必要的「總公司」往來「分公司」的之間的交通時間跟花費,我不只是可以幫公司省錢,我也不需要經常加班,因為我在正常辦公時間我就可以把所有的事情處理好。不會將時間浪費在交通和旅行上面。 障礙現場當地就能直接處理的問題,盡量能夠在當地直接解決。 萬一障礙還是不能解決的時候,我們只剩下一個選擇:請廠商協助。新的產品比較容易取得廠商的技術支援 第三,新的產品新的軟體硬體系統等等,通常比較容易取得廠商的技術支援。我相信這一個觀察點,也許注意到的朋友會比較少。 以網路硬體為例子,一套路由器或是交換器,假設已經是超過10年以上的老產品,備用的零件通常比較缺乏、昂貴、而且不齊全,即使廠商願意幫你提供支援服務。 比較新的,或者說是不要太老舊的產品,廠商的技術服務人員,也會得到比較多的教育訓練資源。 廠商比較願意支援新的產品,也比較有能力支援新的產品,通常也代表著,我們可以用比較有經濟效益的價格,來取得相同的支援服務內容。 太老舊產品,我就不會放在「分公司」。我那時候能夠做的是,舊的產品留在「總公司」使用,堪用的繼續用,能不更新就不急著更新。也就是說「分公司」全部都更新完了,最後我才會開始更新「總公司」的軟硬體系統。結論 這個取捨的原則,減少了我很多非必要的出差時間。幫我節省了非常多的力氣,我也不太需要經常加班,同時,我也幫公司節省了很多金錢,一舉數得。 One more thing... 其實還有一個關鍵的核心功能需求,就是「所有分公司的系統,必須能夠只透過網路,遠端就可以管理」。 所有的描述或假設,我的出發點都是,「分公司」軟硬體系統最低的要求,就是我一定要能夠從遠端去管理。 這些放在分公司的路由器、交換器,我其實從總公司,都可以透過IP網路來監看。異常日誌、存儲空間用完、電源、風扇模組故障、等等,我在總公司我其實都可以觀察得到。即使問題即將發生,我通常會提早察覺預測得出來。國泰金融大樓 台灣、台中市 我是洪李吉。我的網站是「Cisco學習資訊分享」。我們下次見!

--2 d ago
Comments
好的東西儘量放分公司,爛的放總公司

WEP並不安全

首先我要澄清,製作這個影片,我並不想要教大家,去破解別人的Wi-Fi網路。我只是要證明,WEP這個方法並不足以保護Wi-Fi網路。 第一步:準備動作,找到WEP目標因為後續的WEP工具,需要告知它去破解哪一個以WEP 保護的Wi-Fi網路,因此,我們需要找到這個被攻擊網路的 頻道號碼、還有BSSID,也就是基站的MAC地址。 我使用 airodump-ng 來掃描,命令是: sudo airodump-ng wlan0 –encrypt wep 這裡我們找到了,所要被攻擊的目標,它的BSSID,頻道,還有SSID名稱。確定這是我原本準備好的標靶。 第二步:使用主要破解工具 besside-ng 我使用 besside-ng,命令是: sudo besside-ng wlan0 -c -b 開源工具besside-ng的工作原理,大致上來說,是自動注入一些數據楨,強迫目標回應,然後擷取數據楨的內容,來找到足夠分析的IV值。 這個工具和步驟,所花的時間是最多的,時間長短的變動也最大,因此,需要耐心等待結果。 這次的錄影,我到了將近十萬個IV值,才完成WEP破解,花了將近半小時的時間;我印象中曾經只要兩萬多個IV,不到十分鐘,就破解了。 第二步完成的時候,WEP的金鑰已經被破解,也就是說,之後擷取到的Wi-Fi數據楨,都可以被軟體解密了。 假設我的終極目標,是要找出...

--JUL 27
Comments
WEP並不安全

Cisco MDS Zoning 基礎模式、CFS、和加強模式

【Cisco MDS Zoning 基礎模式、CFS、和加強模式】 Cisco MDS 9000 Family (截圖自Cisco.com官網) Fibre-Channel是存儲網路(Storage Area Network, SAN)領域中最常被使用的協定。Cisco也有存儲網路的交換器產品:Cisco MDS系列。Fibre-Channel 協定(後面我用FC來代替) 的安全管制機制稱為分區(Zoning, 將Zone變成動詞)。我們來討論,在Cisco MDS產品上,幫助FC Zoning設定的三種工具:基礎模式(Basic Zoning)、Cisco Fabric Service (CFS)、加強模式(Enhanced Zoning)。 為了方便理解,我這裡另外錄製了一段展示影片,可以跟這篇文章一起研讀。 我們先將三套MDS乾淨的VSAN建立好。展示的畫面中我使用VSAN 4。 Basic Zoning,基礎模式 Cisco MDS當VSAN剛建立完成的時候所預設的Zoning, 稱為 Basic Zoning。Basic Zoning是Fibre Channel的標準協定,可以跨廠牌支援。我們來觀察,在Cisco MDS上面的Zoning資訊傳遞行為。 我們先創建Zone Set“set4A”和“set4B”。 當我們創建Zone Set,但是尚未啟用(Activate)之前,所有的MDS都不會收到任何的Zoning資訊。 接下來我們執行“zoneset activate name set4A vsan 4”。這個命令,除了將會在本地的MDS,將Zoning的設定以set4A啟用...

--MAY 2
Comments
Cisco MDS Zoning 基礎模式、CFS、和加強模式

如何知道,我正在使用IPv6?

最近不少人在討論「全球 43 億個 IPv4 地址今日正式耗盡」,例如這一篇。我相信起因,是因為RIPE的Nikolas Pediaditis幾天前的一封公開Email,宣布RIPE NCC的IPv4地址,已經全部發放完畢。 https://www.ripe.net/ripe/mail/archives/ncc-announce/2019-November/001380.htmlDear colleagues,Today, at 15:35 UTC+1 on 25 November 2019, we made our final /22 IPv4 allocation from the last remaining addresses in our available pool. We have now run out of IPv4 addresses. ..... 五個「區域網際網路註冊中心」 原本IPv4地址的發放,由IANA統一控管,再下發給全球五個「區域網際網路註冊中心」 (Regional Internet Registry, RIR)。各區域內的電信、服務業者、企業、組織等等,如果需要IP地址,就自行跟「區域網際網路註冊中心」申請。 Wikipedia: Regional Internet Registries world map. Rir.gif: Dork BlankMap-World6,_compact.svg: Canuckguy et al. derivative work: Sémhur (talk) - Rir.gif BlankMap-World6,_compact.svg 目前全球一共分成五個「區域網際網路註冊中心」: (區域Regional所指的是全球來看,好幾個國家的區域。) AfriNIC:大致上是非洲APNI...

--2019 NOV 27
Comments
如何知道,我正在使用IPv6?

什麼是「網際網路交換中心」Internet Exchange (IX)?

我們普通的網際網路使用者,只需要將網路連接到網際網路服務業者(Internet Service Provider,ISP),剩下的網際網路的連通工作,業者會在幕後幫我們完成。 但是站在網際網路服務業者的角度,業者不只是必須跟國際的ISP連接,在國內,也必須同時跟國內的其他業者ISP相連接。於是,我們需要一個額外的腳色,專門服務業者和業者之間的網路封包的連通和交換。這個額外的腳色,就是 Internet Exchange (IX),我稱為「網際網路交換中心」。 我藉著下面假想的、台灣的例子,我們就可以理解網際網路交換中心,扮演什麼重要的功能。 假想情境:五家業者 首先,我先假設台灣國內有五家網際網路服務業者。這五家業者,各自租用連接到外國的國際線路,來讓各自的租用客戶,可以跟國際的Internet 相接通。 這樣已經可以讓網際網路開始工作了。但是,並不是很有效率。 我假設台灣國內某個熱門的購物網站,伺服器架設在業者一(ISP 1)。熱門購物網站的用戶端,肯定不只是業者一自己內部的租用客戶,一定也有不少的用戶,是來自於業者三、或者是業者五。 這時候問題來了。業者三租用客戶的封包,必須先跑到國外,才能再連回到業者一。反方向的流量,或者是業者五的用戶,也有完全相同的困擾...

--2019 NOV 13
Comments
什麼是「網際網路交換中心」Internet Exchange (IX)?

全球的BGP IPv4路由表突破800K

這一週,全球的BGP IPv4路由表,已經來到八十萬筆。不需要擔心,這只是一個時間上的里程碑。 我依然記得,在2001年,我幫客戶安裝了一套BGP路由器。這套路由器的型號是Cisco 3660,其實只有256 Megabytes的DRAM記憶體。當年的美好時光,全球的BGP路由表只有不到十五萬筆而已。雖然今天看起來256 Megabytes很小,當年依然跑得動。 隨著DRAM記憶體的價格下降,路由器硬體支援的DRAM記憶體容量越來越大。即使只安裝出廠預設的DRAM,不需要特別增加DRAM,BGP管理者也不容易買錯DRAM不足的路由器硬體。 我之前曾經寫過另外一篇文章,每十萬筆的單一鄰接的BGP資訊庫,大約需要80 Megabytes大小的DRAM記憶體。 Cisco學習資訊分享:BGP 記憶體需求估計 換句話說,如果要存放今天全球BGP八十萬筆的資訊庫,我們大約也只需要保留每個鄰接800 Megabytes,也就是0.8 Gigabytes的DRAM,給BGP協定來使用就夠了。對於今天的路由器硬體來說,小事一件。 我舉一個例子,Cisco ASR 1000 RP1加4G DRAM,今天來看已經不是太新潮的路由器硬體了。但是,它依然可以承載一百萬筆的BGP路由表。所以八十萬筆,裝得下沒問題。 CIDR REPORT 網站的畫面快照,November 6, 2019 「空盛桑運河」、和「昭披...

--2019 NOV 6
Comments
全球的BGP IPv4路由表突破800K

免安裝軟體的簡易IPv4地址掃描工具

我們經常需要做網段內的IPv4地址掃描。例如要確定IP地址有沒有被重複使用,或者是純粹做安全掃描,確保沒有隱藏的網路使用者。 為了掃描IP地址,我們也許需要從網路搜尋下載安裝免費的掃描工具,或者是昂貴的工具例如Cisco Prime Infrastructure。沒有工具,我們只能透過PING,來作手動掃描。不論是哪一個方式,都不是那麼簡單。 我這裡提供一個簡易工具,不需要下載安裝,不需要昂貴的軟體。您只需要一套Windows 10的PC。我們一起來看。 第一步:打開PowerShell視窗 在Windows上按下“Windows Logo Key ❖ + R”,輸入”powershell”。然後按下Enter開始執行。Windows 10會產生一個PowerShell視窗,這個視窗並不需要系統管理者的特權。 這點應該不難才對! 第二步:將下列單行腳本剪貼到PowerShell執行 $ipv4prefix=$(ipconfig | where {$_ -match 'IPv4.+\s(\d{1,3}\.\d{1,3}\.\d{1,3}\.)' } | out-null; $Matches[1]); 0..255 | %{"$ipv4prefix$_"}| % {"$($_): $(Test-Connection -count 1 -quiet -ComputerName $($_))"} 這個一行的PowerShell腳本,是我在我的電腦上面測試過可以使用的。 萬一剖析本地的IP地址有問題,或者是,您只是要掃描其他網段,您可以手工將$ip...

--2019 NOV 1
Comments
免安裝軟體的簡易IPv4地址掃描工具

ATM大當機只因為誤觸一條線路所導致嗎?

這是昨天(2019-10-17)的台灣媒體報導: 針對今天晚間各地銀行發生ATM(自動櫃員機)出現大當機,財金公司回應是一位IBM工程師進行維修時,「誤觸」一條線路導致 … 金管會表示,根據銀行及財金公司回報情況,跨行交易系統是在今晚17點42分出現壅塞,速度變非常慢,但並不是全部當機無法使用;後來狀況是晚間18點18分排除。 我從外部觀察者的角度,來聊一聊這個事件。 有沒有可能只因為碰掉一條網路線,就造成系統停止服務? 這是非常可能的,純粹看運氣。 我這裡假設一個情境,您碰掉的網路線,正好是伺服器的網路掛接存儲系統的唯一通道,偏偏伺服器的關鍵資料檔案就放在上面。 我這裡所提到的「網路掛接存儲系統」,就是Network Attached Storage, NAS。 這算不算是「單點故障全體故障」 當然算,這是一個典型的「單點故障全體故障」案例,Single Point of Failure, SPOF。 我也觀察到,整個事故從發現停止服務開始,在不到40分鐘之內,就恢復正常服務,我判斷系統只有暫停服務,並沒有造成緊急停機或是系統當機。非常可能,真的只因為瞬間失去網路連通性而已。我的經驗告訴我,很多系統,光是執行伺服器停機,或是開機程序,所花費的時間,都遠遠超過40分鐘。 如果無法...

--2019 OCT 18
Comments
ATM大當機只因為誤觸一條線路所導致嗎?

擺了乖乖,機房就會自己「乖乖」嗎?

在台灣我經常觀察到,好多公司的資訊機房內,會在機櫃頂端放著好幾包「乖乖」餅乾。難道這麼做,機房就真的會變得「乖乖」嗎?我今天來聊聊這個輕鬆的話題。 「乖乖」風潮 到底是誰先發起了這股「乖乖」風潮,今天應該已經是不可考證了。 大致上的起因,是因為資訊系統維護的日常工作當中,經常發生一些過於巧合的意外。一直都很穩定的系統,偏偏在放假前一天停止服務;有些從來都不曾故障過的硬體,半夜忽然故障發送告警;更新軟體每一次操作都成功,就只有我操作的這一次,軟體重啟後才察覺到服務帶不起來、等等等。 某些朋友也許在偶然間發現,如果在資訊機房、機櫃頂,放了幾包「乖乖」餅乾之後,這種巧合的意外,「感覺起來」,好像比較不會發生。似乎「放乖乖」和「更穩定」兩者之間,猶如真的存在某些關聯性。 這是迷信嗎? 「感覺起來」有關連性,不代表可以從客觀的統計過程當中,歸納出相同的關聯性。假設我們要永久的釐清,需要去蒐集數據,來證明「放乖乖」和「更穩定」兩者是否相關,或是不相關。 我還沒有找到研究報告,我個人目前也還沒有機會進行這種統計。我的確沒有足夠的證據,來指出這就是迷信。 我的看法 不過,我直觀認為,因為下面這幾個理由,「放...

--2019 AUG 13
Comments
擺了乖乖,機房就會自己「乖乖」嗎?

CCNA將於2020年改版重點整理

Cisco已經在官方網站上宣布,好多認證考試的更新,將於2020年2月24日發生。我這裡先整理CCNA的部分。 CCNA考試(200-301)內容改版 2020年新版的考試名稱,正式的名稱是CCNA 2.0認證考試。為了避免大家有誤解,我後面一律用考試代碼200-301稱呼它。 跟目前的考試版本200-125相比較,考試內容最大的差異,是考試範圍的廣度變大了,考試時間和題目數都加長了,增加了無線區域網路(Wireless LAN),增加了自動化和網路管理程式化(Automation and Programming)。簡單的說,就是考試變困難了。 好消息是,2020年2月24日距離現在,還有八個月左右的時間,200-125考試依然可以報考。 如果正要開始準備CCNA認證的朋友們,其實還有充足的時間準備,無論是打算報名密集訓練課程,或者是工作中、學校中自修,時間好好把握,應該是足夠的。 已經取得CCENT衝擊 如果原本計畫分兩階段考試,來取得CCNA的朋友們,這次的改版對您的衝擊是最大的。CCENT認證資格和考試,同樣的將於2020年2月24日一起消失。簡單的說,您必須將ICND1、ICND2兩次考試,一口氣在2020年2月24日之前完成,才能取得CCNA。 (根據我的觀察,台灣計畫分兩階段參加CCNA考試的朋友人數,應該不多。歡迎留言讓我知道!) 已經...

--2019 JUN 21
Comments
CCNA將於2020年改版重點整理
success toast
Welcome to Himalaya LearningDozens of podcourses featuring over 100 experts are waiting for you.