若你想在資料經過思科設備之間進行加密,思科crypto map是你的解決方案之一,基礎配置請參考如下拓樸的R1與R2,我這篇文章使用的路由器皆為7206系列、版本15.3。

當你完成R1與R2的設定,任何資料包含原生明文協定(如telnet、http)都會被路由器加密。

文章標籤

Chin 發表在 痞客邦 留言(0) 人氣()

網路攻防可說是日新月異,以前我們認為加密便能保護資料避免被中間人窺探我的信用卡、帳號密碼。變態的駭客為了一覽無疑敏感資料而不擇手段,而誕生SSL剝離攻擊。

在SSL剝離攻擊的角色,用戶角度,駭客扮演服務器、服務器角度,駭客扮演用戶端。駭客在連線的中間提供proxy功能,所以它不需要任何強大的解密工具去破壞加密封包。

文章標籤

Chin 發表在 痞客邦 留言(0) 人氣()

我使用EVEng community 5.0.1-13,hypervisor是VMware Workstation 17 Pro,為方便將實驗中的節點連接真實網路,我會對虛擬網卡做一些調整,如下

我建議以系統管理員身分開啟vmware,再參考我的操作。安裝完成vmware後,VMnet1網卡預設應該是host-only,我的習慣是VMnet1用來直連真實網路(意味著使用VM做PPPoE)、VMnet8用來做管理網路並重設定DHCP範圍。

文章標籤

Chin 發表在 痞客邦 留言(0) 人氣()

阿彌陀佛,最後更新:2024.11.02(六)

關於我

文章標籤

Chin 發表在 痞客邦 留言(0) 人氣()

首先,筆者主張「網管簡單化」,所以在這篇文章僅示範必要參數,不會在ansible配置文件有過多的花俏內容,如果讀者您想接觸更進階的ansible應用,我相信網路上能找到極其豐富的資源。

 

文章標籤

Chin 發表在 痞客邦 留言(3) 人氣()

首先感謝讀者願意與我一同分享防火牆技術,在此我將分享具有Cisco原廠授權的Firepower Threat Defense一書,其中處理封包的部份。

實體書如拍攝圖片

Chin 發表在 痞客邦 留言(0) 人氣()

這個VPN服務器可以使用ubuntu 16.04(建議)、21.04,優點是快速建置、操作簡單、完全免費,缺點是不像其他廠牌的remote-access VPN(即SSL-VPN)具備豐富功能的policy管理。

我建議使用ubuntu16,是因為測試多個Linux發行版中,目前它最穩定。

Chin 發表在 痞客邦 留言(0) 人氣()

Armis是一家網路安全公司,他在2020五月時向思科報告已發現的5個CDP漏洞,這5個漏洞分別為CVE-2020-3110、CVE-2020-3111、CVE-2020-3118、CVE-2020-3119、CVE-2020-3120,合稱CDPwn系列漏洞。

雖然各大網站對CDPwn描述得很驚恐,這個漏洞波及數以千萬計的思科設備,因為思科的作業系統預設啟用CDP,其實最關鍵的影響僅在思科IP電話、視訊產品上,因為這些設備依賴CDP運作,如果這個區域網路上沒有思科語音視訊流量的需求,關閉CDP即可。

Chin 發表在 痞客邦 留言(0) 人氣()

寫這文章的動機來自長期觀察思科證照事業、從校園接軌職場的就業力,我會針對這些做討論。

關於我

文章標籤

Chin 發表在 痞客邦 留言(5) 人氣()

首先我們要區分資訊鑑識數位鑑識計算機鑑識(或稱電腦鑑識)三者的不同。

資訊鑑識是利用任何可控制管道來辯證網路資訊的真偽,對象是人,最典型的例子就是流通在網際網路上的訊息或使用者的回應,例如Youtube(以下簡稱YT)頻道留言、LINE TODAY新聞、臉書貼文等等;

Chin 發表在 痞客邦 留言(0) 人氣()

對資訊安全研究人員而言,測試、模擬特定的環境與實驗是至關重要的。尤其面對猖獗的電腦病毒(如勒索病毒),如果我們使用病毒實體進行各項資安測試,將潛在高風險。

通常防毒軟體、企業級防火牆大多以「特徵碼」偵測病毒或其它攻擊,理論上誤判的可能有,實際上不易發生。

Chin 發表在 痞客邦 留言(0) 人氣()

本文適用高階網管!末學先與您逐一複習HSRP、VXLAN、虛擬化動態遷移等技術,並列表其特性。

HSRP

Chin 發表在 痞客邦 留言(0) 人氣()

從古至今,隨著計算機技術的進步,我們從Telnet演化到多元化遠端服務,包括檔案傳輸、撥打電話、遠端軟體內建的螢幕錄影功能、甚至支援AR等等,遠端連線技術逐漸強大。我在這裡會簡介各種遠端方式的特色與進階玩法。

Telnet:最單純的遠端存取技術,使用TCP 23,做為服務器端只要開啟Telnet service與相關設定(如配置IP、防火牆的允許、與身分驗證),就可以服務Telnet客戶端。

Chin 發表在 痞客邦 留言(0) 人氣()

筆者只想說竟有台商省錢省成這樣......這次客戶報修有少數電腦上網不順,網路品質差。

但是發生上網不順前,原架構是這樣

Chin 發表在 痞客邦 留言(0) 人氣()

當你需要架設不少的服務器,然而public IP卻不夠用,則port-forwarding是很好的解決方案,你只需要一個或幾個public IP,並於設備指定port號/服務,就可以將用戶端的請求指向內部配private IP的服務器。

比如架設HTTP、SSH server,但是我只有一個public IP,無論實體IP分配在哪一台服務器,另一個服務就無法使用;當然在相同的服務器配上實體IP並開啟HTTP、SSH service也可以,但這麼一來風險也大幅提高。

Chin 發表在 痞客邦 留言(1) 人氣()

首先review一下Cisco的port-security功能,這個功能的本意是為了防止未受信任者擅自接線,甚至偷偷地將員工電腦上的網路線,拔下並插上自己的筆電。

從摘要的技術角度而言,原理是終端主機上網會透過預設閘道(路由器)出去,但是終端主機不知道區域網路上的閘道地址,於是送出ARP請求(廣播封包),無論區域網路是否存在其他節點,交換機都會紀錄該終端主機MAC地址從哪個端口進來。如下圖,區域網路為10.1.1.0 / 24,R1為預設閘道(.254),SW1為交換器,PC1為終端主機(.1);並在SW1的e0/2啟用port-security。

Chin 發表在 痞客邦 留言(0) 人氣()

BGP聯盟是由單一AS細分多個子AS的方法,其目的包含解決水平分割在距離向量網路的缺點、也能減緩路由器維護BGP會談的負擔。

對於相同AS的路由器而言,iBGP必須有完全互連的連接才能正常運作,為了減緩路由器的負擔,主要有兩種方法:BGP路由器反射、BGP聯盟。

Chin 發表在 痞客邦 留言(0) 人氣()

Link-State ID是路由器、Link ID是路由器網路卡。我在CCIE RS v5.0這本書看到這個內容,作者是Narbik Kocharians - CCIE #12410、Peter Palúch - CCIE #23527。

我們必須先精通OSPF LSA封包的型別,才有能力區別兩者的不同。因為OSPF網路是基於區域(area)的概念,才設計出各種相應區域的LSA型別。所有LSA型別的內容有長有短,然而除了type 1 LSA,都有2個關鍵的相同點:所有LSA都是從type 1延伸、所有LSA都描述到達目的地網路與其下一站是誰(類似設定靜態路由)。

Chin 發表在 痞客邦 留言(0) 人氣()

在深入探討CEF技術前,建議您應具備CCNP程度以上之專業知識與資料結構

首先,我們必須精熟路由器處理封包的標準作業流程,以理解傳統的轉發模式的缺點,並清楚知道為何透過CEF能改善其缺點。請見圖

Chin 發表在 痞客邦 留言(0) 人氣()

對網管而言,SDN很吸引人的原因在於降低網路複雜化與充分運用資源不浪費,尤其資料連結層、網路層。

在傳統網路架構,「多路徑」僅適用IP層,路由器透過演算法交換資料,計算從來源至目的地之最佳路由;但是這個概念在資料連結層不存在,為防止L2迴圈形成廣播風暴,因此制定IEEEE 802.1D STP技術。

Chin 發表在 痞客邦 留言(0) 人氣()

其實在下的背景是資訊科技出身,只是也涉獵一點物理學的領域。那麼聊量子網路之前,我們對量子、網路應該要先有基本的認識。

何謂網路?末學認為任意2個節點之間不論以有線或無線的方法,並以相同格式相互傳輸訊號,就是網路。有一門特定學問稱「計算機網路」就是討論這些東西。

Chin 發表在 痞客邦 留言(0) 人氣()

這次我用第一段做總結,因為這篇會牽涉到的領域比較廣,有興趣請自行往下閱讀;若您是網管入門更要閱讀,因為會影響未來IPv6業務整合。

反應問題:在玩線上遊戲時,A玩家反應建立房間後,B玩家和其他玩家無法加入,但是A玩家能夠加入其他玩家的房間。

Chin 發表在 痞客邦 留言(0) 人氣()

這篇主要是給BGP初學者看的,BGP軟性重設以下我簡稱BGP軟清、BGP硬性重設簡稱BGP硬清。BGP的軟硬清在此官方文件第2頁有說明不同之處,另外我會再配合舉例、Lab幫助您更方便理解它。

BGP硬清會將session會談中斷,重新建立內部或外部BGP鄰居的連線。但是如果我只要改變BGP屬性,而不造成BGP連線中斷,例如調整weight權重、local-preference本地優先值等各種BGP屬性,卻不能中斷BGP連線,則使用BGP軟清。

Chin 發表在 痞客邦 留言(0) 人氣()

5G網路(5th generation mobile networks)是4G的次世代,並聲稱傳輸速度能高達10Gbps。

當然5G網路使用非常多的核心技術,那麼我只介紹其中一種集成技術:SDN( Software-Defined Networking )。

Chin 發表在 痞客邦 留言(0) 人氣()

這篇是在寫NHRP提供的路由捷徑,NHRPNext Hop Resolution Protocol 的縮寫。重要觀念是必須先有DMVPN,才能實現NHRP,也就是說NHRP是依附於DMVPN之上的。

NHRP經常用來提升NBMA網路效率,卻也有致命性的缺點,目前還無法基於NHRP以優化群組廣播。NHRP能講的東西也滿多的,在這篇文章我只寫NHRP的捷徑路由就好。

Chin 發表在 痞客邦 留言(0) 人氣()

其實很多人對DNS原理與設定都很熟,這篇文章會將重點放在自動取得DNS。

懂DNS的人若進行手動設定,不外乎Google的8.8.8.8、Hinet的168.95.1.1,或者學校、企業自行架設DNS server。

Chin 發表在 痞客邦 留言(0) 人氣()

這篇我要介紹IP重導向功能,從路由繞送的角度來看它是一個方便的功能,卻也意味著危險,我透過下面的圖、設定,示範IP重導向。

 

Chin 發表在 痞客邦 留言(0) 人氣()

拓樸:

01.png

Chin 發表在 痞客邦 留言(0) 人氣()

這篇是解釋BGP的next-hop-self功能。

請見拓樸與設定:

Chin 發表在 痞客邦 留言(0) 人氣()

==========What Is My IP原理==========

要查自己上網的合法IP,必先懂NAT

Chin 發表在 痞客邦 留言(0) 人氣()

乙太網路(Ethernet)之前,應該先談跨領域,因為乙太」起源自古典哲學、理論物理學。

亞里斯多德的著作《論天》描述物質的生與滅,並認為世界由5大元素構成:冷(液體)、熱(能量)、乾(固體)、濕(氣體)、乙太(神聖物質)。

Chin 發表在 痞客邦 留言(0) 人氣()