How to reset Cisco ASA 5500

Step by step


ciscoasa(config)# configure factory-default
ciscoasa(config)# write memory

*ciscoasa(config)# no enable password
ciscoasa(config)#reload

System Prepare

為了維護Windows作業系統當中，Security ID的唯一性，在Vcenter中進行Clone後，通常需要進行System Prepare，來保障SID不會產生衝突，有其是在擁有網域的環境下，以下為執行步驟。

How to change SID on Windows 7 and Windows Server 2008 R2 using sysprep?
Run as 'sysprep' , Important: select Generalize if you want to change SID.

必須選取一般化執行修改SID動作，而非只進行初始化。

Plug-in與Add-on有何不同？

大多數人把Plug-in稱為插件，而Add-on在國內鮮少看到中譯後的名稱(或許叫作外掛)，但事實上，它們在國外所釋出的英文技術文獻上，有明顯含義上的不同。

許多剛涉入資訊圈，或涉入不深的，都會認為沒有甚麼不同，但是實質上卻有很大的不同。兩者通常都是係指在既有的應用程式(Free Software/Open Source)上新增額外功能，而且普遍來看會是第三方所釋出的功能增強，而非原廠。如果是原廠所釋出的功能性增強，普遍會使用Extend、Expansion類似字眼，原有功能修正會稱為Fix、原有功能增強會稱為Patch，而Patch後通常會將軟件版本代碼更新，修正與增強兼而有之的會稱為Update或Pack。

回到正題，玩過Linux或是RHCE應該都能大致理解Plug-in與Add-on的不同，通常前者意味著這項第三方功能"有可能"會更動部分軟體程式碼，或者改變原有程式碼的數據，所以多數的Plug-in無法在應用程式運作的同時進行安裝，而且Plug-in的功能毀損或是程式碼安全性漏洞，會導致原有功能不穩會是停擺，因此Plug-in無法在程式提供服務的同時進行安裝，而且服務通常需要重啟，測試過後不穩可能還要移除，版本不符可能完全無法安裝或是運作。

Add-on意義就不一樣，通常Add-on表示額外附加功能，所以中文譯為外掛並無不妥，通常Add-on不會改動任何既有應用程式的程式碼，只會強化輸出結果或是重新整理、分析、搜尋等，所以User Interface方面的改動，通常都是Add-on；因此，有部分的軟件在新增Add-on的時候，並不需要暫停或中止服務運作就能安裝，服務重啟與否則是要看情況，而且Add-on不穩並不會對原有的應用程式造成任何影響，安全漏洞也不會影響原有功能，Add-on停擺也不會異常中止原有應用程式或功能。

在一些免費軟體中功能又很強大的監控軟體上，Plug-in跟Add-on界線更是清楚，因為他必須要讓網路管理者或是MIS主管單位理解，這項服務會不會中斷或停止，需不需要技術性測試與評估，導入的安全性為何...等等相關議題，所以會明確的區隔兩者的不同，例如：Linux平台上的Nagios軟體就是一例。

附帶一提，遊戲外掛通常是偽Add-on(掩人耳目)而實質的Plug-in(傳輸數據改動)，所以不可能不被抓到，只是有沒有心想抓而已。

輕鬆搞懂首站備援(VRRP) – 首站(戰)即決戰；一站(戰)定乾坤

Virtual Router Redundancy Protocol (VRRP) is a non-proprietary (but allegedly patented and licensed ^[1]) redundancy protocol described in RFC 3768 designed to increase the availability of the default gateway servicing hosts on the same subnet. This increased reliability is achieved by advertising a "virtual router" (an abstract representation of master and backup routers acting as a group) as a default gateway to the host(s) instead of one physical router. Two or more physical routers are then configured to stand for the virtual router, with only one doing the actual routing at any given time. If the current physical router that is routing the data on behalf of the virtual router fails, an arrangement is made for another physical router to automatically replace it. The physical router that is currently forwarding data on behalf of the virtual router is called the master router. Physical routers standing by to take over from the master router in case something goes wrong are called backup routers.

VRRP can be used in Ethernet, MPLS and token ring networks. Implementations for IPv6 are in development, but not yet stable (i.e. keepalived 1.2.x). RFC 5798 handles VRRP (version 3) for both IPv4 and IPv6 networks. VRRP provides information on the state of a router, not the routes processed and exchanged by that router. Each VRRP instance is limited, in scope, to a single subnet. It does not advertise IP routes beyond that subnet or affect the routing table in any way.

繼首戰(站)即決戰(站)，一戰(站)定乾坤之後，我們了解HSRP這個私有協定對於思科網路設備的重要性後，接下來即是公開的協定VRRP。

VRRP重點機制摘要

VRRP version2公開的協定(標準協定)，follow RFC 2338，同一時間僅有一台Router運作。

Group – 以VRID(Virtual Router ID)視為同一群組。不同的VRID會視為不同的群組。

機制：選出Virtual Router Master一台最高優先權的Router，其餘的為Virtual Router Backup，若VRRP的Virtual Router Master掛了，會從Virtual Router Backup中選擇一台成為Virtual Router Master

Virtual Router Master，每隔一段時間間隔(Advertisement Time)要發送multicast(我還活著)。若經過了Advertisement Time*3 + 偏移時間尚未間聽到相關活著的封包，擁有較高Priority的Router會優先發出multicast成為Master，而其他的Router則仍維持Virtual Router Backup的角色。

因為VRRP協定有明確的規範使用固定的MAC位址，所以當角色變換的同時，從Virtual Router Backup變成Virtual Router Master，會宣稱他有這個IP(Default Gateway)，並且同時修正MAC位址成為規範的位址。這對其他裝置而言完全不影響原本的二、三層資料與快取，像是ARP Table等等相關資訊。

公開的協定，不具有負載平衡機制，同一時間內僅有一台Router運作。

依據 RFC 2338 所定義的 VRRP version 2，VRRP 其實只是一種選舉 Virtual Router 的通訊協定，而 Virtual Router 又是由各個跑 VRRP 通訊協定的 Router 組成的，這些 Router 必須要有相同的 VRID(Virtual Router ID) 即相同的 Virtual IP，VRRP 才會把他們視為在同一個群組！

換句話說，一個 Virtual Router 是由擁有相同的VRID及相同的 Virtual IP 的 Router 組成的，一旦有一台 Router 同樣也有跑VRRP，但 VID 或 Virtual IP 不同，就會被當作另一個 Virtual Router 群組。

VRRP 是 從Virtual Router 選出一台擁有最高優先權的 Router 作為 Virtual Router Master，其餘的則為 Virtual Router Backup，而 Virtual Router Master 負責對外宣稱他擁有 Virtual IP，並處理任何要到達 Virtual IP 的封包，一旦 Virtual Router Master 掛了，VRRP 就會再從 Backup 中選出一台作為 Master，繼續接手處理要到達 Virtual IP 的封包。

成為 Virtual Router Master 的 Router 固定時間(Advertisement Interval) 會發出 Multicast(Advertisement)，告訴其他的Virtual Router "我還活著" 及一些相關訊息，而成為 Virtual Router Backup 的 Router 只負責聽 Master 所發出來的 Multicast(Advertisement)，萬一超過了時間(3 倍的 Advertisement time + 偏移時間）還沒聽到 Master 的 Multicast(Advertisement)，具有比較高 Priority 的 Router，會具有比較小的偏移時間，優先發出 Multicast 封包，持續成為 Master，而其他的 Router 則持續為 Backup Router。

由於 VRRP 有明定標準的 MAC Address，所以要切換成 Master 除了必須要對外宣告他有這個 ip 外，還需要改變自己的 MAC Address 成為標準的 VRRP MAC Address，因此這對於其他的機器而言，完全沒有任何感覺，這也是為什麼 VRRP 的 Fail-over 速度能如此快的理由。

VMware vCenter Converter Standalone

以下步驟可以將實體的機器轉成虛擬機，英文縮寫為 PtoV(P2V) - PC to VM。
下面步驟我們將實體機賦予代號為 A.(Source Machine)；將要轉到的目標虛擬平台稱為B. (Destination System)

Step I. 首先我們需要先確認兩台電腦都有管理者權限的帳號密碼(若無密碼也需要設定一組密碼給予Administrator)，A機器的本機防火牆必須為關閉狀態，以利Agent Software Tool安裝。

Step II.開啟VMware vCenter Converter並執行工作，按下Converter Machine，設定Source Type。
此處需要注意的點為Username格式務必寫成Hostname\Username，尤其是有納入網域也有本機管理著者的PC更需要特別註明。

圖一、Source System Setting

Step III. 下一步設定Destination System，需要注意的選項為Select Destination Type，我們這邊選擇在本機上所運作的VMware載台，並且要注意轉出來的Product版本，如果之後要移植的載台版本並非最新版，請注意不要選用太新版本的Product。
Select a location for Virtual Machine，此選項務必使用邏輯位址(\\Hstname\Shared_Folder架構)，不要使用IP位址，最好按鈕Browse點選共享資料夾點選。

圖二、Destination System Setting

Step IV. 下兩個步驟就比較單純的調整VM輸出的檔案細節內容與Summary了，沒必要我們通常會保留預設值，按下完成後就加入排程開始緩慢執行轉換作業了。

圖三、Options

圖四、Summary

輕鬆搞懂首站備援(HSRP) – 首站(戰)即決戰；一站(戰)定乾坤

對於區域網路連結到廣域網路來說，最重要的莫過於預設閘道，而預設閘道卻隱含了很多深刻的技術在其中，最重要的就是首站備援，即是閘道備援機制。

網路問題解決的標的：解決單點故障問題(Single Point of Failure)
解決方式：故障切換(Failover)
解決機制協定技術：
熱備援路由器協定(Hot Standby Router Protocol, HSRP) – Cisco Only
虛擬路由器備援協定(Virtual Router Redundancy Protocol, VRRP) - Standard
閘道負載平衡協定(Gateway Load Balancing Protocol, GLBP) – Cisco Only

HSRP
指令：ip standby
技術解析：兩台Router的VIP會指向一個相同的VIP。當其中一台Router故障或下線，另一台回承接其工作，快速切換arp後達到Gateway的迅速切換。
優先權設定：以優先權較高者獲選成為Active，其餘為Standby；優先權相同，則比較原網段VIP的大小，IP較大者成為Active；優先權預設為100。
搶奪設定(preempt)：當下線或故障的Router回復後，如原本是Active的位置，有設定搶奪，則優先權高者會搶回來成為Active。
介面追蹤(Track)：預防非Cisco Router本身故障，而是外部連結斷掉，設定界面追蹤指令，當Track失聯時，下修原本Router的優先權值，使其降為Standby。

簡易設定範例
ROUTER A.
Interfacef0/0
Ip address 192.168.100.2 255.255.255.0
Standby ip 192.168.100.1
Standby preempt
  Standby track serial0/0 10
ROUTER B.
IP address 192.168.100.3 255.255.255.0
Standby ip 192.168.100.1
Standby priority 95
Standby preempt
Standby track serial0/0 10

解釋：目前ROUTER為Active，因為預設優先權值為100較高，當所偵測的serial0/0界面無法連外時，自降10權值，B即成為Active，兩者皆設有搶奪。

告別2012 迎向2013

科技產業在2012拓展出非常多塊不同的天空，包含虛擬化的成熟、觸控技術、雲端運算、平板電腦、APP的應用。

未來在2013甚是是數年內，可能大量需求的技術還有：行動電池或是電力解決方案(為行動裝置解決續航力不足問題或是行動裝置降低耗電量與散熱問題)、行動裝置安全性(包含防毒、APP漏洞、惡意APP、被入侵等問題)、行動裝置安全性與關鍵性技術、網路DNSSEC等安全性議題與IPv6 Stack雙軌並行、更多的實體被虛擬取代(例如：會員卡、集點卡...等需要個人身分驗證的物品被智慧型APP取代)、無線網路的頻寬超越有線(今年很多國家已經進入黃金交叉，未來無論是需求還是應用都會被超越)、漫遊機制的普及(單一入口驗證、異質平台漫遊技術例如：3G跨Wifi免驗證)、輸出接口標準的統一(HDBaseT技術成熟並取代HDMI，為Displayport的戰國時代畫下句點)。

本人最關注的技術

行動電源的解決方案：目前智慧型手機普遍續航力不到10小時(3G開啟)，最省電只接電話、簡訊偶爾看網頁最多單一電池也不會超過兩天可用電力，這是急需被改善的項目之一。如果有相當成熟的解決方案出現，會有極為可觀的市場，從現在的行動電源市場就能看得出來。

行動裝置安全性與關鍵技術：後PC時代的行動裝置的市場很巨大，包含手機、筆記型電腦、各尺寸平版、電子書閱覽器、PDA…等，在觸控技術成熟後紛紛崛起，而通常這些裝置都包含了許多使用者的個人資料、隱私權(例如照片、影片等數位資訊)，而這些裝置通常了為了方便而犧牲了許多的安全性，相當多的安全性議題就此發生，個資外流、無線裝置Sniffer、不安全的網路連線、中間人攻擊等等。在這些數位內容產業來說，著作權、專利、不可串改、不可複製等專業技術更形重要。

網路DNSSEC和IPv6推廣：這個跟個人比較沒有甚麼關係，不過政府單位已經開始率先推行了，為了網路名稱解析可信度邁出了重要的一步，我還記得上一次提到這DNSSEC技術的時候是在我的碩士論文中。目前這些議題跟使用者比較無關，因為網路IPv6架構需要一段時間的Dual Stack並行，才能確定運作無誤，而DNSSEC則是頂層網域必需要優先推行，Root已經完全支援DNSSEC，台灣的tw也已經支援，再下一層已完工的是edu網域由交大與教育部合作優先導入，利用BIND建置DNSSEC。

更多的實體被虛擬取代：越來越多的公司組織將發行的實體卡轉戰到手機的APP上面，甚至是網路購票可以取得數位票卷的QR碼驗證技術，與小額付款、電子錢包跟金流進行組合，背後的APP市場無比巨大。在未來，很有可能不再需要任何的實體票據，更多的票據或個人身分驗證都能透過個人行動裝置處理之(例如電子發票、QR碼票據、QR碼驗證身分與通關)，但是這背後也隱含了許多的資訊安全議題，在裝置遺失後的資料保密、隱私外洩等議題上，也相形巨大。

無線網路的頻寬、需求皆超越有線：很多國家在前年Smart Phone與一般手機持有率出現黃金交叉，去年有上網需求的無線裝置數量與有線裝置數量出現了黃金交叉，未來可以預見常駐網路的使用者將大幅度的增加，從3G吃不飽方案就能窺見未來。Wifi的802.11ac技術成熟，雙頻普及後頻寬問題緩解，剩下基礎建設的大量佈點，無線網路不存在最後一哩問題，極有可能超越有線的使用。

漫遊機制普及：我還記得去年我替中原大學聯合辦公大樓建置了可以在整棟建築內漫遊的無線網路機制，不過這是個相同平台上的漫遊，與目前普遍的3G與Wifi間的漫遊不同，這需要一個驗證機制的建立，例如中華電信透過大量佈署Wifi，增加無線網路熱點覆蓋率，重點還是在單一Mobile Device只需要單一登入機制，而不用一直在不同平台上切來切去。

輸出接口的標準的統一：這點是目前最受到關注的標準之一，尤其是HDBaseT取代HDMI，前些日子USB3.0與mini USB取代所有亂七八糟的外接介面後，標準化越趨成熟了。如果在有線介面端等導入使用雙絞線(Cat 5e後的網路線)取代HDMI進行訊號傳輸，就開啟了家用客廳產品導入有線網路輸入輸出端子的先鋒技術，也為所有個人化IPv6開啟新局，未來建築佈線網路線取代一般電話線、電視線、網路線、小瓦數供電技術...等。雙絞線在技術上，非常具有競爭力，HDMI線長度超過5米訊號開始衰減，網路線(UTP Cat 5e)要超過100米才開始訊號衰減，頻寬HDMI目前上界約在10Gbps(但實際使用遠低於此)，網路線(UTP Cat 6)在端點裝置支援上就能上1Gbps，而UTP Cat 7可以到達10Gbps遠超過HDMI的頻寬；從佈線與拉線端來看，網路線拉線難度比HDMI低非常多，價格更是便宜數倍到數十倍，重點是目前幾乎所有大廠都支持HDBaseT的開發，例如：三星、LG等影像產品大廠。