Chin Blog

若遺忘了當初申裝電信業者數據機的小卡片(記錄著PPPoE帳號密碼)，這篇文章或許是你的救星，但僅限於合法用途。不廢話了直接開始吧...
1.

讓我們複習一下計算機概論的網路章節，IPv4遇到地址耗盡的問題，因而制定較新的IPv6，在此過渡期間可採用堆疊(dual-stack)架構同時使用IPv4與IPv6、或使用NAT(Network Address Translation)。

若你想在資料經過思科設備之間進行加密，思科crypto map是你的解決方案之一，基礎配置請參考如下拓樸的R1與R2，我這篇文章使用的路由器皆為7206系列、版本15.3。
當你完成R1與R2的設定，任何資料包含原生明文協定(如telnet、http)都會被路由器加密。

網路攻防可說是日新月異，以前我們認為加密便能保護資料避免被中間人窺探我的信用卡、帳號密碼。變態的駭客為了一覽無疑敏感資料而不擇手段，而誕生SSL剝離攻擊。
在SSL剝離攻擊的角色，用戶角度，駭客扮演服務器、服務器角度，駭客扮演用戶端。駭客在連線的中間提供proxy功能，所以它不需要任何強大的解密工具去破壞加密封包。

我使用EVEng community 5.0.1-13，hypervisor是VMware Workstation 17 Pro，為方便將實驗中的節點連接真實網路，我會對虛擬網卡做一些調整，如下
我建議以系統管理員身分開啟vmware，再參考我的操作。安裝完成vmware後，VMnet1網卡預設應該是host-only，我的習慣是VMnet1用來直連真實網路(意味著使用VM做PPPoE)、VMnet8用來做管理網路並重設定DHCP範圍。

首先，筆者主張「網管簡單化」，所以在這篇文章僅示範必要參數，不會在ansible配置文件有過多的花俏內容，如果讀者您想接觸更進階的ansible應用，我相信網路上能找到極其豐富的資源。
 

首先感謝讀者願意與我一同分享防火牆技術，在此我將分享具有Cisco原廠授權的Firepower Threat Defense一書，其中處理封包的部份。
實體書如拍攝圖片

這個VPN服務器可以使用ubuntu 16.04(建議)、21.04，優點是快速建置、操作簡單、完全免費，缺點是不像其他廠牌的remote-access VPN(即SSL-VPN)具備豐富功能的policy管理。
我建議使用ubuntu16，是因為測試多個Linux發行版中，目前它最穩定。

Armis是一家網路安全公司，他在2020五月時向思科報告已發現的5個CDP漏洞，這5個漏洞分別為CVE-2020-3110、CVE-2020-3111、CVE-2020-3118、CVE-2020-3119、CVE-2020-3120，合稱CDPwn系列漏洞。
雖然各大網站對CDPwn描述得很驚恐，這個漏洞波及數以千萬計的思科設備，因為思科的作業系統預設啟用CDP，其實最關鍵的影響僅在思科IP電話、視訊產品上，因為這些設備依賴CDP運作，如果這個區域網路上沒有思科語音視訊流量的需求，關閉CDP即可。

寫這文章的動機來自長期觀察思科證照事業、從校園接軌職場的就業力，我會針對這些做討論。
關於我