TTL之大小與網路節點數量

上個月跟老婆看了一部很棒的電影In Time，中文翻成"鐘點戰"，描述每個人的生命在過了25歲之後，就開始跟手上的數字拔河，數字歸零時就是生命的終點!!

就像在網路我們透過Ping，去追查一個端點的TTL(Time to Live)值一樣，每經過一個網路節點(通常是Ruoter)，其TTL值就會扣掉"1"，一直到扣到TTL值為零時，該封包就像鐘點戰裡的人類一樣，代表生命的結束。

雖說透過TTL的大小可以判斷經過的節點，但…數值大就代表經過的節點少、數值小就代表經過的節點多嗎???

以下圖來說，從內部網路Ping到中華電信DNS主機的TTL值為: 247

而下圖，是內部網路節點的Ping資訊，TTL值是:63

如果我們單純以TTL值來判斷，那上面到DNS的值為247 > 63，代表連線到中華電信所經過的節點比較少!!

這是錯誤的判斷!!

原因是因為TTL的初始值是由對點，即您的目的地所決定的。這個初始值可以是32,64,128,255等變化，依不同的系統與設備有不同的TTL初始值，這裡可以看到一些初始TTL值:

http://noahdavids.org/self_published/TTL_values.html

所以當我們在判斷經過多少節點時，公式應該是這樣:

網路節點數量 = 初始TTL值  - Ping所得到的TTL值

所以以上例來說，我們需先得知究竟對點的初始TTL值為多少?

到中華電信的TTL值是247，初始值一定是255^^

而到192.168.40.253這台是環境的CoreSwitch，其TTL初始值是64

所以兩點的節點數量套用上面的公式分別如下:

中華電信DNS主機:

節點數量 = 255 - 247 = 8

內部CoreSwitch:

節點數量 = 64 - 63 = 1

所以....雖然從Ping得到的TTL值較小，但，其所經過的節點數量是較少的!!

故，當我們在判斷網路節點時，應以初始TTL減去Ping得到的TTL值來判斷，

而不是當以Ping得到的TTL值來判斷網路節點!!

體驗Foundstone 7

今天終於有機會把Found Stone 7給裝起來試看看^^

它的安裝需求與6.7一樣:

需要環境: Win2003(Eng)+SP2+IIS+Mysql2005+SP2

安裝好之後如下:

 跟6.7版一樣，是Web Client架構。
唯一感受上的差異是…安裝過程已經設定好GSGlobal 帳號的設定，
不需再另外設定…讓整個安裝流程簡化許多!!

6.7到7.0其實沒太大的差異，主要如下:
除了畫面有變美之外…就是對Web的安全檢測有加強!!

如下，可以對WEB安全檢測個各設定。

總結，不像6.0到6.7的大改版，7.0版只算是6.7版的進化，使用上的差異不大，

多了Web的檢測，與資產項目的整合。

防止私接Switch的利器 - BPDU GUARD

今天客戶問我一個問題:

為什麼設定了Spanning-tree portfast還有spanning-tree bpduguard enable後那個port不能接switch阿!?

回答這個問題之前，有三個名詞要先了解:

1.spanning-tree: 中文好像翻成生成樹，管它什麼翻譯，這個東西是Switch上的設定，設定上去後，Switch與Switch之間會相互溝通，避免網路迴圈(loop)狀況產生，缺點是剛接上switch的設備會需要30~50秒的時間…溝通…之後網路才會通。

2.portfast: 這是spanning-tree的進階設定，目的就是當確定網路port所連接的設備確定是終端設備，如印表機、PC、Server等時，不需要switch之間的spanning-tree那30~50秒的溝通，可以利用portfast跳過這個溝通時間。

3.BPDU:全面為bridge protocol data unit，為switch之間spanning-tree溝通的協定資料，只要有spanning-tree的環境就會有BPDU存在。

了解這三個名詞之後，再來看spanning-tree的進階設定"BPDUGUARD"，我們知道bpdu是switch之間溝通spanning-tree的協定資料，那來防止bpdu的bpduguard就是防止switch之間溝通spanning-tree的保彪，問題是…為什麼要禁止spanning-tree呀??這不是防止loop發生的好機制嗎??

原因是spanning-tree是cisco switch預設的功能，只要開機就有啦!!所以只要把一台switch接到另一個swich就會發生spanning-tree的溝通。這時....BPDU GUARD的功就用產生了，可以用來避免人把swich接到自已的網路環境，因為只要一接上就會有bpdu協定資料出現，這時bpdu guard就會將該port error disable，來避免有人私接swich進網路環境。

聰明的您應該有發現，這有個前提，整個bpdu guard的保護只能保護會發送bpdu的switch，如果對方把spanning-tree關掉，或是非cisco swich，這個安全機制就破功啦@@

雖然如此，這還是一個很好的功能，比如說某天自已忘了，接了一台swich上去，更動了原本的STP架構，這不就糗了!!透過BPDU GUARD就是在避免STP被更動的危險狀況!!

最後…回到原將問題:
為什麼設定了Spanning-tree portfast還有spanning-tree bpduguard enable後那個port不能接switch阿!?


因為spanning-tree bpduguard enable之後，會開啟spanning-tree的bpdu防護機制，避免swich之間有spanning-tree的溝通資料(bpdu)，或者說，避免有人私接switch進來，因為當對方一接進來，該port會偵測到bpdu資料，此時已啟用bpdu guard的switch會自動將該port Error Disable。所以更正確一點的說法是，不能接會發送bpdu的switch進來，如果非cisco swich或是已關掉spanning-tree的swich還是可以接進來的。

Cisco 瘦AP加入Controller (Lightweight AP join the Controller)

如何把Thin AP (Lightweight  AP)加入Controller內?

最近常有機會在不同的環境將thin ap 加入controller裡面好讓controller控制，方法很多，到底環境要用什麼樣的方式來加呢?先了解ap如何與controller溝通，再依不同的環境選合適的方式。

Cisco 瘦AP加入Controller的順序依序如下:

1.區域廣播(Local IP Subnet Discovery):

原理:先用廣播的方式，找到環境內的Controller，也就是thin AP與Controller在同一個網段裡，這是最快也最簡單的方式。

方法:只要把AP插上電與網路即可。

2.空中廣播Over The Air Provisioning(OTAP):

原理:當從網路線上廣播找不到controller時，第二步透過空氣中的無線電廣播，找尋有沒有其它ap已經有controller的資訊，有的話就跟著去找到Controller

方法: 把AP放置在已加入controller的thin ap 附近。

3.Locally Stored Controller IP Address:

原理:如果從空氣中找不到其它AP的訊號，第三步就是找尋自已AP內是不是有設定過Controller的資訊?Controller 的IP地址，有的話即透過此IP地址去找Controller

方法:以console線接到ap，從CLI輸入下列指令

lwapp ap controller ip add x.x.x.x

上面指令即是告訴AP controller在哪裡，如果環境沒有dhcp先配方ip的話，需要先設定ip給thin ap，指令如下:

lwapp ap ip address x.x.x.x x.x.x.x

4. DHCP option 43:

原理:如果AP本身沒有設定Controller的IP資訊，接下來即找尋DHCP的option43資訊，是否有設定controller的位址，有的話即套用此IP位址與controller溝通

方法: 以cisco switch為例，設定dhcp 的option如下:

ip dhcp pool wireless

   network 192.168.1.x 255.255.255.0

   dns-server 192.168.1.x

   default-router 192.168.1.254

   option 43 hex f104.c0a8.a202

簡單說明option 43，option43是16進制的IP位址，所以在option43之前需指定hex(16進)，而這16進的號碼是由Type + Length + Value 所組成。Type比較簡單，永遠是0xF1，只取F1為開頭。而Length就看有設定多少個IP位址，以IPv4來說，192.168.10.5是一個IP有四段，所以length為4，如果是兩個ip，比如192.168.10.5與192.168.10.6有兩個IP， length為8。最後Value就是把IP位址改成16進。

下面的例子是把192.168.10.5與192.168.10.20這兩個controller ip設定成option 43的格式:

option 43 hex f108c0a80a05c0a80a14

5. DNS Discovery:

原理:最後，DHCP沒設定option 43的話，就是看DNS有沒有指定Controller在哪?有的話即進行與controller的溝通。

方法: 即是在DNS上加入一比Recorder ，如下:

 CISCO-CAPWAP-CONTROLLER.localdomain  10.0.0.1

後面的localdomain為環境的網域名稱，上面紅色的部份是ap會找尋的固定名稱，需要一樣

當跑完上面五個流程都沒找到，就會從頭再來一次，直到找到controller為止，因為…thin AP沒辦法像FAT AP能夠勇敢、單獨的存在著。

所以可以簡單的把Thin AP 加入Controller的方式概分為兩種環境:

1.同一個網段裡: 這是最簡單的，即上面介紹的第一種方式區域廣播，只需要確認ap有電、有網路線即可。

2.不同網段裡:跨網段可以從上面2~4方式選一種，以簡單方便為主。

Cisco IP phone 常用秘技

常用密技1. Reset整台話機到預設值:
先把電源線拔除(或PoE線拔除)，再重新將電源接回。
電源線接上後長按#字鍵，直到mute,speaker或畫面旁的雙鍵輪流閃爍、
放開#字鍵，輸入: 123456789*0#
需在一分鐘內輸入完成，完成後即會在網路內找尋CUCM更新啦^^

常用密技2. 功能解鎖鍵:
輸入**# 即編輯上鎖的功能^^

弱點掃描自已來 - FoundStone6.7基本設定

裝好之後到開始掃之前，有一些設定要做，

做完之後才能開始掃~

1.  開啟FCMconsole程式:

   開始->所有程式集->FondStone->FCMconsole

   選擇Accept

2. 設定登入的Globaladmin帳號密碼: (安裝時所設定的密碼)

3. 登入後記下FS的IP與FQDN:

4. 修改Windows系統下的hosts檔案:

5. 以系統管理帳號進入FoundStone頁面:

   以https://localhost/ 開啟登入頁面，預設登入資訊:

   Organization: FSglobal

   User Name: Globaladmin

   Password: (在FCMconsole設定的密碼)

5. 於Organization下按右鍵新增一組可以掃描的組織:

名稱自取易記名稱

6. 設定這個組織可以掃描的Pool:

由於自已掃，所以就全開。點選0.0.0.1 ~ 255.255.255.254à按下Add to Pool:

7. 選擇這個組織可以掃描的引擎:

7. 設定這個組織的使用者: (重點在User Name 與Password待會登入使用)

按下Finish完成設定!!

弱點掃描自已來 - FoundScan6.7簡單安裝

許多環境都有弱點掃描需求，也常需要花費、或靠廠商來執行，
何不自已來呢??

硬體

¨   CPU: Pentium 4 or above (2GHz is better)

¨   Memory: 建議最少1G

¨   Disk Space: 40G以上

軟體

¨   Operating system: Windows 2003 Service Pack 2 IIS要啟動

¨   Microsoft SQL Server 2005 Stander with Service Pack 2

開始FoundScan安裝

1. Double click FoundstoneEnterpriseSetup67.exe

2. Architecture選擇”Single-Server”

   System 選擇”All Components”

3. 設定資料庫的密碼(即安裝SQL2005時所設的密碼，我的VM 密碼為ringline)

4. 安裝前系統檢測，需要全部Passed才能安裝，如果沒有就把系統環境補好再安裝(如Windows patch,IIS,SQL等環境)

5. 輸入主機資訊，主機名稱會自動帶上，密碼有複雜度要(我通常以P@ssw0rd符合要求也便利大家使用)

6. 安裝前參數確認，基本上就是按下next

7. 系統相依系確認，正常情況如下，確認都Pass即可繼續安裝: 

按下Next即開始安裝:

(安裝過程有錯誤訊息，需檢測Windows、IIS、SQL與patch是否安裝正確)

8. 看到這個訊息就是安裝完成啦!!

完重後要重開電腦

包著Allen Bradley外皮的Cisco Switch

今天客戶帶我去看他們產線，說switch出問題，到了現場在PLC設備箱子裡，
客戶指著上面這台設備，說~"就是這一台!!"

@@一頭霧水~~這是Switch?????
console進去看之後:(sh ver)

啥咪~~是lanbase IOS

沒有風扇，不用散熱~~原來這就是傳說中的工業用Switch!!所有操作就跟cisco設備一樣，真是開了眼界^^

用reload in mm 來避免遠端路由設定錯誤時斷線

最近在客戶端與外國客戶一起設定多點動態路由，偷學了外國人招^^

為了避免設定狀況錯誤，造成斷線，但…遠方又沒有人可以協助，

所以在設定之前用一個簡單的指令，排程路由器在幾分鐘之後自動重開，

就算全部斷線了，也會在重開後使用正常的config檔開機起來回復原來的狀況:

1. 先把自已的設定檔存起來:
write

2. 設定15分鐘後自動從開:
reload in 15

3. 開始改config與驗證

4. 如果確定新的設定都能運作，就把reload取消:
reload cancel

最後再把新的設定檔給存下去就ok啦^^

用Perl縮短維護Cisco Router Switch時間

因為一直用相同的指令在多台設備之間進行維護，實在覺得很…浪費時間，
透過Perl可以縮短許多重覆的部份。

下面是如何用Perl對一群Switch或Router做同樣的網路維護動作，
也把running-config備份下來:

Step.1 裝Perl:
以Windows來說，可以到這裡下載合適的Active Perl
http://www.activestate.com/activeperl/downloads
下載完點兩下進行安裝，安裝完記得重開機。

Step.2 裝Net::Telnet::Cisco 模組:
執行Comand_> ppm install Net::Telnet::Cisco進行安裝

Step.3 寫一段Perl:
用文字編輯器編寫並存成xxx.pl檔案:(以下範例即對一些IP進行相同的網維指令)

use Net::Telnet::Cisco;

my @hosts = qw( 192.168.1 192.168.3 192.168.6.6 192.168.8.8 192.168.12.4);
#把要登入的Swich或Router全打進上面

foreach my $host( @hosts ) {
my $session = Net::Telnet::Cisco->new(Host => $host);
$session->login('admin','1234');
#上面這段即輸入Switch或Ruter的帳號密碼
$session->enable('1234');
#再輸入enable的帳號密碼
open(write_file,">$host.txt");
#上面是把每一台主機的維護資訊都以IP名稱存檔
#下面是維護想要看的指令集
my @output;
push(@output,$session->cmd('show version'));
push(@output,$session->cmd('show log'));
push(@output,$session->cmd('show process cpu'));
push(@output,$session->cmd('show env all'));
push(@output,$session->cmd('show ip inter brief'));
push(@output,$session->cmd('show interface'));
push(@output,$session->cmd('show flash'));

print write_file @output;
close(write_file);
#最後再把running-config給備起來，IP是當時自已電腦的IP
$session->cmd('copy run tftp://IP');
}

Cisco 註冊碼之2101與2102

最近裝了一台4507R

遇到一個問題: 怎麼IOS都換不上去????

後來同事告訴我要注意Register值是不是2101，是的話就換不過去，Check一下:

到底什2101是啥咪意思?
這裡有說明:http://www.cisco.com/en/US/products/hw/routers/ps133/products_tech_note09186a008022493f.shtml

0x2101就是開機用bootstrap開機，不管你放在flash裡的東西:
Boots into bootstrap
Ignores break
Boots into ROM if initial boot fails
9600 console baud rate

更換成0x2102之後，就不用bootstrap開機，會去找flash裡的ios:
Ignores break
Boots into ROM if initial boot fails
9600 console baud rate default value for most platforms

時常要破掉密碼的0x2142就是跳過存在RAM裡的startup開機:
Ignores break
Boots into ROM if initial boot fails
9600 console baud rate
Ignores the contents of Non-Volatile RAM (NVRAM) (ignores configuration)

所以下次IOS換不過，可以確認一下註冊碼^^

耐熱的工業用Switch 2955

幫客戶維護發現這款Switch工作溫度竟然高達65度@@

確認過這款耐熱型Swich2955，工作溫度可達60度耶!!

真是夠屌的!

NME-X-23ES-1G-P模組的Password Recovery

這陣子在這下面台3845上:

插入了一片Switch的Service Module: NME-X-23ES-1G-P

這片模組是透過3845的背版相連接的，當登入到3845之後，要進入這片的方式如下:
Router#service-module gigabitEthernet 2/0 session

上面的gi 2/0就是3845上面接到模組的背版介面，以session即可連入。

如果是正常的情況要做密碼回復(Password Recovery)，只要到Cisco這個便利的網站:
http://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_tech_note09186a00801746e6.shtml
就能找到。

但… NME-X-23ES-1G-P這片模組比較糗的是，當你重開Router時，Switch也開好了@@
不知道怎麼進行Rest，其實方法很簡單，如下:

Step.1 重設NME-X-23ES-1G-P模組密碼:
Router#service-module gigabitEthernet 2/0 password-reset
Do you want to proceed with password reset process?[confirm]
Starting password reset process...
Wait for 50 secs for password reset process to complete
Password reset process is complete...

[Resuming connection 1 to 192.168.10.253 ... ]

重設好之後會再登入Switch
switch:

Step.2 初始化Switch
switch: flash_init

Initializing Flash...

flashfs[0]: 503 files, 7 directories

flashfs[0]: 0 orphaned files, 0 orphaned directories

flashfs[0]: Total bytes: 32514048

flashfs[0]: Bytes used: 19305984

flashfs[0]: Bytes available: 13208064

flashfs[0]: flashfs fsck took 9 seconds.

...done Initializing Flash.


switch:

Step.3 備份開機檔config.text
switch: rename flash:config.text flash:config.text.bak

Step.4 開機
switch: boot

Loading "flash:c3750-ipbase-mz.122-35.SE5/c3750-ipbase-mz.122-35.SE5.bin"...@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

File "flash:c3750-ipbase-mz.122-35.SE5/c3750-ipbase-mz.122-35.SE5.bin" uncompressed and installed, entry point: 0x3000

executing...
(原來NME模組上有自已的IOS耶~)

Step.5 設定新密碼
Would you like to enter the initial configuration dialog? [yes/no]: no
Switch>en
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#enable password Mypass123
Switch(config)#exit
Switch#write
Switch#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
Switch#reload

Fortinet的Password Recovery

如果實體能存取的到設備，只要接上Console就能重設admin的密碼，
方式如下:

輸入帳號:maintainer
密碼:bcpb(Forti的序號)
(如: bcpbFGT50A2905408509)

進去後改掉密碼:
config system admin
edit admin
set password
end

再輸入:
show system interface
了解現在ip後就可重WEB登入管理了^^

關閉Windows7上ipv6與ipv4轉換介面

由於工作時常要把自已的電腦ip改來改去，每次打個ipconfig指令，畫面就被洗掉@@
原因是windows內建ipv4與ipv6轉換的介面。
雖然從事網路工作應該push ipv6，不過目前使用度很低，還是先把它關掉，不要洗畫面比較方便。

關閉Windows 7 上ipv6轉換網卡:

Step.1 停掉這幾個不用的介面:
netsh interface teredo set state disable
netsh interface 6to4 set state disable
netsh interface isatap set state disable

Step.2 開啟隱藏介面:
電腦->右鍵->內容->裝置管理員->顯示/隱藏動作窗格->

其它動作->檢示->顯示隱藏裝置

Step.3 解除安裝介面
到網路介面卡內->分別選取teredo,6to4,isatap->右鍵->解除安裝

搞定!!收工!!

Voice Gateway上看現有的Voice Call

想在Voice Gateway上看到底目前有誰在打電話?

用這個指令:

C2821#show call active voice

Telephony call-legs: 1
SIP call-legs: 0
H323 call-legs: 1
Call agent controlled call-legs: 0
SCCP call-legs: 0
Multicast call-legs: 0
Total call-legs: 2

GENERIC:
SetupTime=4044898330 ms
Index=1
PeerAddress=7736
PeerSubAddress=
PeerId=0
PeerIfIndex=0
LogicalIfIndex=0
ConnectTime=4044901710 ms
CallDuration=00:00:09 sec
CallState=4
CallOrigin=2
ChargedUnits=0
InfoType=speech
TransmitPackets=456
TransmitBytes=72960
ReceivePackets=455
ReceiveBytes=72800

就可以看到即時電話使用狀況。

還有另一個指令可以看: show voice call status
C2821#show voice call status
CallID CID ccVdb Port Slot/DSP:Ch Called # Codec MLPP Dial-peers
0x11B4 17DC 0x4A95310C 0/0/0 0/1:1 *0063055818 None 0/3
1 active call found

都是很好用的指令

建立安全的Cisco Router與Switch

許多環境都有Cisco的Router與Switch，但大部份的建置考慮的是如何讓它”work”，而忽略了Security，以下提供六點，讓您檢示自已的網路設備是否有基本的安全設定。

1. 修改連線方式為加密傳輸:
管理Router或Switch的方式可以透過Console、telnet、SSH、HTTP、HTTPS，
就安全考量，流量有被監聽的可能，透過SSH連線比未加密的Telnet安全，用HTTPS比HTTP安全。
a. 是關閉Telnet開啟SSH的方法:
開啟SSH之前要先設定主機名稱與網域名稱
RouterA(config)#ip domain-name test.com
再來就是產生ssh的鑰匙
RouterA(config)#crypto key generate rsa general-keys modulus 1024
產生好之後再進到vty介面裡面設定驗證方式，下面是用router本身
來驗證:
RouterA(config)#line vty 0 4
RouterA(config)#login local
再指定只用ssh驗證，不用telnet:
RouterA(config-line)#transport input ssh
最後面的transport input ssh後面可以再加上telnet，如果沒有加的話就不能telnet進來了。
設好後，這時候登入你會發覺沒有帳號密碼可用@@再補一下:
RouterA(config)#username oya password 1234

b. 開啟HTTPS關閉HTTP:
確認關閉HTTP服務
Router(config)#no ip http server
先啟動HTTPS服務
Router(config)#ip http secure-server
設定驗證方式，如用本機驗證:
Router(config)#ip http authentication local
再開一個本機使用者
Router(config)#uaername oya privilege 15 secret 0 1234

2. 設置登入方式與修改密碼加密方式:
a. Enable password: 登入後為user mode，user mode不能做任何變更，只能透過show指令觀看設定，通常設給OP使用。需要再輸入帳號密碼後進入privileged mode才能變更設定，如下為設定enable密碼的方式:
Router(config)#enable password 1234
但由於enable password是使用Type 7 密碼，Type 7是直接對密碼使用OR或XOR進行加密，很容易可以破解，如使用Cain&Abel(http://www.oxid.it/cain.html)就可以破解密碼，使用上只需點選上方像Cisco綠色圖示，但cisco改為7的按紐，就會出現解碼的視窗，再把密碼貼上即可:

b. Enable secret
Cisco也發現Type7的弱點，改用MD5來對密碼加密，利用show run在密碼前的數字5就代表MD5加密，而數字0代表沒有加密，下面是啟用MD5的方式:
Router(config)#enable secret 1234

c. VTY password
不透過ssh或是telnet都是以vty的方式連線，設定密碼的方式如下:
Router(config)# line vty 0 4
Router(config-line)# password 1234
Router(config-line)# login
最後的login是指在login時需要輸入密碼

d. Console password
如果直接接上console管理設備的話，預設沒有密碼，為了安全避免任何人接上線就可以管理，設置方式如下
Router(config)# line con 0
Router(config-line)# password 1234

e. AUX password
輔助port的設定方式與console一樣，如下
Router(config)# line aux 0
Router(config-line)# password 1234
由於上面設定的密碼為type 7，可以很容易解開，再透過
Router(config)#service password-encryption
把Type 7全改為MD5加密。

3. 設定特權模式(Privilege Level)等級:
Privilege Level共有16個等級，從level 0 到 level 15，預設只會使用三個等級，Level 0 , 1 , 與15，等級愈高權限愈大。而level 2~14是留給使用者自訂的。設置Privilege Level的方式在使用都建立時設定，如下為設定等級15的方式
Router(config)#uaername oya privilege 15 secret 0 1234
自訂等級的方法如下，先指定Level 2可執行的指令，與設定進入level 2的密碼
Router(config)# privilege exec level 2 traceroute
Router(config)# enable secret level 2 1234
要登入時，輸入如下
Router> enable 2
Password: 1234
Router# show privilege

4. 保護開機設定(bootset):
透過Cisco IOS Resilient 設定，可以保護開機image與設定檔，避免損壞時，還可以從隱藏空間救回來，方式如下
Router(config)#secure boot-image
Router(config)#secure boot-config
下完這兩個指令可以讓image與running-config複製一份到隱藏儲存空間，想看的話可以打
Show secure bootset

5. 登入時的安全機制:
為防止非法人事不斷的Try密碼，可以設置一些安全機制，Cisco提供三種安全機制:
a. 延遲時間:
預設Cisco的設備會用設備能反應的最快時間提供登入，這可能使得暴力破解變的更方便，您可以使用login block-for來設定延遲秒數，預設為1秒鐘。啟用延遲的方式為login delay指令。

b. 關閉login:
為了避免受DoS攻擊，可以限制在一定時間內登入失敗就關閉登入功能一段時間，這個功能稱為login quiet-mode。有一個狀況，如果有人正在試密碼，使得router進入 quiet 模式，此時連系統管理員也無法登入，實在很奇怪，所以可以透過ACL的方式來設定:
Router(config)#login quiet-mode access-class

c. 啟用登入log:
Log是找問題找證據的好東西，一定要設。登入狀況的log要產生的話，可以用下列指令，來指定登入成功或失敗時產生log
Router(config)# login on-success
Router(config)# login on-failure
如果您透過auto secure來建立安全設定，那只會針對登入失敗產生log，登入成功的log需要手動設定。

6. 設定登入警示訊息:
這是發生在國外的法律糾紛，在自已的Router上寫上”Welcome”相關的訊息，駭客進去改東西之後，被告上法庭，因為Router本身就歡迎大家使用，而使得駭客無罪釋放。所以在您的Router,Switch上設置警示訊息，是必要的，可以避免未來的法律問題，下面為設置範例:
Router(config)# banner motd &
******************************************************
******************WARNING****************************
******************************************************
This Router is private property and may only be accessed by authorized
Users of this system. All access to this system is monitored and logged.
Violator will be prosecuted to the fullsest extent of the law.
&
上面在motd之後接的字元，就是整串警示訊息打完後的結束字元

離線安裝Cisco IVR

簡單的事情搞了半年了@@
才發覺IVR不能離線安裝，要離線安裝的話，下面的流程可以解決:

Step.1 調整網卡順序:
Advanced->Adapters and Bindings->調整使用的網卡到最上方

Step.2 透過CRS Serviceablility Tool修改IP:
開啟->Programs->Cisco CRS Administrator->Cisco CRS Serviceability Utility->切換到Node Information->輸入New IP Address之後->UPDATE

Step.3 修改註冊碼:
只透過Serviceability Tool修改IP，重開機後服務會有問題，會導致系統不斷重新開機，
要在重開機前，修改下面兩個註冊值:
Regedit-> \HKEY_LOCAL_MACHINE\SOFTWARE\Spanlink\CAD\Site setup\
下面修改兩個值: IOR HOSTNAME 與LDAP Host 1 修改為要更改的IP Address

修改完再重開機、或把Service 重開

Windows 2000下設定NTP Server

最近遇到Call Manager 3與IVR 3(運作在Windows 2000平台上)
要設定NTP校時問題，原來只要這幾行指令就搞定!!


net stop w32time
停止校時服務

net start w32time
開啟校時服務

net time /setsntp:"time.windows.com time.stdtime.gov.tw"
設定校時服務Server

w32tm -once
手動校時一次

原來這麼簡單^^

把多個檔案變成一個檔案

因為在CISCO測CUCM，抓下來有多個ISO，
要自已放到一個ISO裡，方法如下:

Windos:
COPY /B
UCSInstall_UCOS_7.1.5.30000-1.sgn.iso_part1of2+UCSInstall_UCOS_7.1.5.30000-1.sgn.iso_part
2of2 UCSInstall_UCOS_7.1.5.30000-1.sgn.iso

Linux:
cat UCSInstall_UCOS_7.1.5.30000-1.sgn.iso_part1of2
UCSInstall_UCOS_7.1.5.30000-1.sgn.iso_part2of2 > UCSInstall_UCOS_7.1.5.30000-1.sgn.iso

真是好玩^^