Chin Blog

網路攻防可說是日新月異，以前我們認為加密便能保護資料避免被中間人窺探我的信用卡、帳號密碼。變態的駭客為了一覽無疑敏感資料而不擇手段，而誕生SSL剝離攻擊。

在SSL剝離攻擊的角色，用戶角度，駭客扮演服務器、服務器角度，駭客扮演用戶端。駭客在連線的中間提供proxy功能，所以它不需要任何強大的解密工具去破壞加密封包。

我使用EVEng community 5.0.1-13，hypervisor是VMware Workstation 17 Pro，為方便將實驗中的節點連接真實網路，我會對虛擬網卡做一些調整，如下

我建議以系統管理員身分開啟vmware，再參考我的操作。安裝完成vmware後，VMnet1網卡預設應該是host-only，我的習慣是VMnet1用來直連真實網路(意味著使用VM做PPPoE)、VMnet8用來做管理網路並重設定DHCP範圍。

南無阿彌陀佛。

關於我

首先，筆者主張「網管簡單化」，所以在這篇文章僅示範必要參數，不會在ansible配置文件有過多的花俏內容，如果讀者您想接觸更進階的ansible應用，我相信網路上能找到極其豐富的資源。

首先感謝讀者願意與我一同分享防火牆技術，在此我將分享具有Cisco原廠授權的Firepower Threat Defense一書，其中處理封包的部份。

實體書如拍攝圖片

這個VPN服務器可以使用ubuntu 16.04(建議)、21.04，優點是快速建置、操作簡單、完全免費，缺點是不像其他廠牌的remote-access VPN(即SSL-VPN)具備豐富功能的policy管理。

我建議使用ubuntu16，是因為測試多個Linux發行版中，目前它最穩定。

Armis是一家網路安全公司，他在2020五月時向思科報告已發現的5個CDP漏洞，這5個漏洞分別為CVE-2020-3110、CVE-2020-3111、CVE-2020-3118、CVE-2020-3119、CVE-2020-3120，合稱CDPwn系列漏洞。

雖然各大網站對CDPwn描述得很驚恐，這個漏洞波及數以千萬計的思科設備，因為思科的作業系統預設啟用CDP，其實最關鍵的影響僅在思科IP電話、視訊產品上，因為這些設備依賴CDP運作，如果這個區域網路上沒有思科語音視訊流量的需求，關閉CDP即可。

寫這文章的動機來自長期觀察思科證照事業、從校園接軌職場的就業力，我會針對這些做討論。

關於我

首先我們要區分資訊鑑識、數位鑑識與計算機鑑識(或稱電腦鑑識)三者的不同。

資訊鑑識是利用任何可控制管道來辯證網路資訊的真偽，對象是人，最典型的例子就是流通在網際網路上的訊息或使用者的回應，例如Youtube(以下簡稱YT)頻道留言、LINE TODAY新聞、臉書貼文等等；

對資訊安全研究人員而言，測試、模擬特定的環境與實驗是至關重要的。尤其面對猖獗的電腦病毒(如勒索病毒)，如果我們使用病毒實體進行各項資安測試，將潛在高風險。

通常防毒軟體、企業級防火牆大多以「特徵碼」偵測病毒或其它攻擊，理論上誤判的可能有，實際上不易發生。

本文適用高階網管！末學先與您逐一複習HSRP、VXLAN、虛擬化動態遷移等技術，並列表其特性。

HSRP

從古至今，隨著計算機技術的進步，我們從Telnet演化到多元化遠端服務，包括檔案傳輸、撥打電話、遠端軟體內建的螢幕錄影功能、甚至支援AR等等，遠端連線技術逐漸強大。我在這裡會簡介各種遠端方式的特色與進階玩法。

Telnet：最單純的遠端存取技術，使用TCP 23，做為服務器端只要開啟Telnet service與相關設定(如配置IP、防火牆的允許、與身分驗證)，就可以服務Telnet客戶端。

筆者只想說竟有台商省錢省成這樣......這次客戶報修有少數電腦上網不順，網路品質差。

但是發生上網不順前，原架構是這樣

當你需要架設不少的服務器，然而public IP卻不夠用，則port-forwarding是很好的解決方案，你只需要一個或幾個public IP，並於設備指定port號/服務，就可以將用戶端的請求指向內部配private IP的服務器。

比如架設HTTP、SSH server，但是我只有一個public IP，無論實體IP分配在哪一台服務器，另一個服務就無法使用；當然在相同的服務器配上實體IP並開啟HTTP、SSH service也可以，但這麼一來風險也大幅提高。

首先review一下Cisco的port-security功能，這個功能的本意是為了防止未受信任者擅自接線，甚至偷偷地將員工電腦上的網路線，拔下並插上自己的筆電。

從摘要的技術角度而言，原理是終端主機上網會透過預設閘道(路由器)出去，但是終端主機不知道區域網路上的閘道地址，於是送出ARP請求(廣播封包)，無論區域網路是否存在其他節點，交換機都會紀錄該終端主機MAC地址從哪個端口進來。如下圖，區域網路為10.1.1.0 / 24，R1為預設閘道(.254)，SW1為交換器，PC1為終端主機(.1)；並在SW1的e0/2啟用port-security。

BGP聯盟是由單一AS細分多個子AS的方法，其目的包含解決水平分割在距離向量網路的缺點、也能減緩路由器維護BGP會談的負擔。

對於相同AS的路由器而言，iBGP必須有完全互連的連接才能正常運作，為了減緩路由器的負擔，主要有兩種方法：BGP路由器反射、BGP聯盟。

Link-State ID是路由器、Link ID是路由器網路卡。我在CCIE RS v5.0這本書看到這個內容，作者是Narbik Kocharians - CCIE #12410、Peter Palúch - CCIE #23527。

我們必須先精通OSPF LSA封包的型別，才有能力區別兩者的不同。因為OSPF網路是基於區域(area)的概念，才設計出各種相應區域的LSA型別。所有LSA型別的內容有長有短，然而除了type 1 LSA，都有2個關鍵的相同點：所有LSA都是從type 1延伸、所有LSA都描述到達目的地網路與其下一站是誰(類似設定靜態路由)。

在深入探討CEF技術前，建議您應具備CCNP程度以上之專業知識與資料結構。

首先，我們必須精熟路由器處理封包的標準作業流程，以理解傳統的轉發模式的缺點，並清楚知道為何透過CEF能改善其缺點。請見圖

對網管而言，SDN很吸引人的原因在於降低網路複雜化與充分運用資源不浪費，尤其資料連結層、網路層。

在傳統網路架構，「多路徑」僅適用IP層，路由器透過演算法交換資料，計算從來源至目的地之最佳路由；但是這個概念在資料連結層不存在，為防止L2迴圈形成廣播風暴，因此制定IEEEE 802.1D STP技術。

其實在下的背景是資訊科技出身，只是也涉獵一點物理學的領域。那麼聊量子網路之前，我們對量子、網路應該要先有基本的認識。

何謂網路？末學認為任意2個節點之間不論以有線或無線的方法，並以相同格式相互傳輸訊號，就是網路。有一門特定學問稱「計算機網路」就是討論這些東西。

這次我用第一段做總結，因為這篇會牽涉到的領域比較廣，有興趣請自行往下閱讀；若您是網管入門更要閱讀，因為會影響未來IPv6業務整合。

反應問題：在玩線上遊戲時，A玩家反應建立房間後，B玩家和其他玩家無法加入，但是A玩家能夠加入其他玩家的房間。

這篇主要是給BGP初學者看的，BGP軟性重設以下我簡稱BGP軟清、BGP硬性重設簡稱BGP硬清。BGP的軟硬清在此官方文件第2頁有說明不同之處，另外我會再配合舉例、Lab幫助您更方便理解它。

BGP硬清會將session會談中斷，重新建立內部或外部BGP鄰居的連線。但是如果我只要改變BGP屬性，而不造成BGP連線中斷，例如調整weight權重、local-preference本地優先值等各種BGP屬性，卻不能中斷BGP連線，則使用BGP軟清。

5G網路(5th generation mobile networks)是4G的次世代，並聲稱傳輸速度能高達10Gbps。

當然5G網路使用非常多的核心技術，那麼我只介紹其中一種集成技術：SDN( Software-Defined Networking )。

這篇是在寫NHRP提供的路由捷徑，NHRP是 Next Hop Resolution Protocol 的縮寫。重要觀念是必須先有DMVPN，才能實現NHRP，也就是說NHRP是依附於DMVPN之上的。

NHRP經常用來提升NBMA網路效率，卻也有致命性的缺點，目前還無法基於NHRP以優化群組廣播。NHRP能講的東西也滿多的，在這篇文章我只寫NHRP的捷徑路由就好。

其實很多人對DNS原理與設定都很熟，這篇文章會將重點放在自動取得DNS。

懂DNS的人若進行手動設定，不外乎Google的8.8.8.8、Hinet的168.95.1.1，或者學校、企業自行架設DNS server。

這篇我要介紹IP重導向功能，從路由繞送的角度來看它是一個方便的功能，卻也意味著危險，我透過下面的圖、設定，示範IP重導向。

拓樸：

這篇是解釋BGP的next-hop-self功能。

請見拓樸與設定：

==========What Is My IP原理==========

若要查自己上網的合法IP，必先懂NAT。

談乙太網路(Ethernet)之前，應該先談跨領域，因為「乙太」起源自古典哲學、理論物理學。

亞里斯多德的著作《論天》描述物質的生與滅，並認為世界由5大元素構成：冷(液體)、熱(能量)、乾(固體)、濕(氣體)、乙太(神聖物質)。