Base Password Policy

基礎的密碼規定原則為資安防禦最重要的一環
通常常件的原則如下：

•    密碼必須要至少 8（含）個字元以上
Contains at least 8 characters

•    密碼設定建議需符合複雜性原則
Suggest to meet complexity requirements

–    即以下 3 種（含）以上之組合
Contains characters from 3 of the following 4 categories

1.    英語大寫字母（A - Z）/ Uppercase Alphabet Characters（A - Z）
2.    英語小寫字母（a - z）/ Lowercase Alphabet Characters（a - z）
3.    數字（0 - 9）/ Arabic Numerals（0 - 9）
4.    符號（@ ! $ # , %,..）/ Non-Alphanumeric Characters, such as, @ ! $ # , %

–    密碼不包含帳號或全名中的任一部分
Is not based on your account name

•    密碼要求 90 天更換一次，且不能與前 3 次相同
Change password every 90 days, and the new password must be different from your previous 3 passwords

•    密碼在同一天內不可變更 2 次（含）以上
Can not change password 2 times above one day

•    密碼在 15 分鐘內連續輸錯 5 次，帳號會被鎖定
Account will be locked, if type the wrong password 5 times between 15 minutes

無論是在系統撰寫或是密碼規則訂定時，這些是很好的準則(Baseline)。

如何在Switch上啟用snmp設定

以snmp-server為主要指令

C3750(Config)#snmp-server community RO

指的是SNMP協定時互相溝通的密碼
RO指的是Read Only (SNMP工具不允許修改設定)
RW指的是Read and Write (SNMP工具可以修改設定)

C3750(config)#snmp-server group SNMP_ROA v3 priv match exact

1.設定SNMP Group 名： SNMP_ROA  
2.Version ： V3   
3.最高的priv

C3750(config)#snmp-server user cater SNMP_ROA v3 auth MD5 cisco12345 priv des56 test12345

這行設定跟PRTG設定有關聯，一定要記清楚

1.使用者          ：cater
2.隸屬Group為：SNMP_ROA
3.驗證模式       ：MD5
4.密碼(MD5)    ：cisco12345   (PRTG要求要8碼以上)
5.Priv驗證密碼 ：test12345     (PRTG要求要8碼以上)

C3750(config)#snmp-server host 192.168.3.100 version 3 priv cater

1.指定SNMP SERVER：192.168.3.100
2.使用Version 3
3.使用Priv 模式，使用者為cater

ICMP/PING drops when pinging from Nexus 7000

Ref. https://supportforums.cisco.com/docs/DOC-15510

重要勘查指令
clear copp statistics 清除計數器
show policy-map interface cpntrol-plane 查看現行的內建Policy Tramit or Drop的累計量，如果沒有執行上述清除，這個指令下呈現的值會是累計量。

Dell PowerConnect 6248 常用指令一覽

Dell PowerConnect  6248
重要指令備註
檢視系統相關資訊

3NKR9T1#show system
System Description: Dell Ethernet Switch
System Up Time: 0 days, 00h:49m:34s
System Contact:
System Name: 3NKR9T1
System Location:
Burned In MAC Address: D067.E5B8.F810
System Object ID: 1.3.6.1.4.1.674.10895.3011
System Model ID: PCT6248
Machine Type: PowerConnect 6248
Temperature Sensors:

Unit     Temperature (Celsius)    Status
----     ---------------------    ------
 1        27                      OK

Fans:

Unit     Description    Status
----     -----------    ------
 1       Fan 1          OK
 1       Fan 2          OK
 1       Fan 3          OK

                   
 1       Fan 4          OK

Power Supplies:

Unit     Description    Status         Source
----     -----------    -----------    ------
 1       Main           OK             AC
 1       Secondary      Not present    DC

3NKR9T1#

檢視設備序號
3NKR9T1#show system id

Service Tag: 3NKR9T1
Serial Number: CN0XT800282982CT0013A17
Asset Tag: none
Unit Service tag       Serial number           Asset tag
---- ------------      --------------          ------------
1    3NKR9T1           CN0XT800282982CT0013A17 none          

檢視介面狀態
3NKR9T1#show interfaces status 

Port   Type                            Duplex  Speed    Neg  Link  Flow Control
                                                             State Status
-----  ------------------------------  ------  -------  ---- --------- ------------
1/g1   Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g2   Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g3   Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g4   Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g5   Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g6   Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g7   Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g8   Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g9   Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g10  Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g11  Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g12  Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g13  Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g14  Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g15  Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g16  Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g17  Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g18  Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g19  Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
--More-- or (q)uit
1/g20  Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g21  Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g22  Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g23  Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g24  Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g25  Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g26  Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g27  Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g28  Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g29  Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g30  Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g31  Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g32  Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g33  Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g34  Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g35  Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g36  Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g37  Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g38  Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g39  Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g40  Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g41  Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g42  Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
--More-- or (q)uit
1/g43  Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g44  Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g45  Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g46  Gigabit - Level                 N/A     Unknown  Auto Down      Inactive  
1/g47  Gigabit - Level                 Full    1000     Auto Up        Active    
1/g48  Gigabit - Level                 Full    1000     Auto Up        Active    
1/xg1  10G - Level                     N/A     Unknown  Auto Down      Inactive  
1/xg2  10G - Level                     N/A     Unknown  Auto Down      Inactive  
1/xg3  10G - Level                     N/A     Unknown  Auto Down      Inactive  
1/xg4  10G - Level                     N/A     Unknown  Auto Down      Inactive  


Ch   Type                            Link
                                     State
---  ------------------------------  -----
ch1  Link Aggregate                  Up    
ch2  Link Aggregate                  Down  
ch3  Link Aggregate                  Down  
ch4  Link Aggregate                  Down  
ch5  Link Aggregate                  Down  
ch6  Link Aggregate                  Down  
ch7  Link Aggregate                  Down  
ch8  Link Aggregate                  Down  
--More-- or (q)uit
ch9  Link Aggregate                  Down  
ch10 Link Aggregate                  Down  
ch11 Link Aggregate                  Down  
ch12 Link Aggregate                  Down  
ch13 Link Aggregate                  Down  
ch14 Link Aggregate                  Down  
ch15 Link Aggregate                  Down  
ch16 Link Aggregate                  Down  
ch17 Link Aggregate                  Down  
ch18 Link Aggregate                  Down  
ch19 Link Aggregate                  Down  
ch20 Link Aggregate                  Down  
ch21 Link Aggregate                  Down  
ch22 Link Aggregate                  Down  
ch23 Link Aggregate                  Down  
ch24 Link Aggregate                  Down  
ch25 Link Aggregate                  Down  
ch26 Link Aggregate                  Down  
ch27 Link Aggregate                  Down  
ch28 Link Aggregate                  Down  
ch29 Link Aggregate                  Down  
ch30 Link Aggregate                  Down  
ch31 Link Aggregate                  Down  
--More-- or (q)uit
ch32 Link Aggregate                  Down  
ch33 Link Aggregate                  Down  
ch34 Link Aggregate                  Down  
ch35 Link Aggregate                  Down  
ch36 Link Aggregate                  Down  
ch37 Link Aggregate                  Down  
ch38 Link Aggregate                  Down  
ch39 Link Aggregate                  Down  
ch40 Link Aggregate                  Down  
ch41 Link Aggregate                  Down  
ch42 Link Aggregate                  Down  
ch43 Link Aggregate                  Down  
ch44 Link Aggregate                  Down  
ch45 Link Aggregate                  Down  
ch46 Link Aggregate                  Down  
ch47 Link Aggregate                  Down  
ch48 Link Aggregate                  Down  

Flow Control:Enabled

針對多個介面進行設定
3NKR9T1(config)#interface range ethernet 1/g47-1/g48

檢視開機設定
3NKR9T1#show startup-config 
1 : !Current Configuration:
2 : !System Description "PowerConnect 6248, 3.3.3.3, VxWorks 6.5"
3 : !System Software Version 3.3.3.3
4 : !Cut-through mode is configured as disabled
5 : !
6 : configure
7 : hostname "3NKR9T1"
8 : stack
9 : member 1 2
10 : exit
11 : ip address 192.168.103.253 255.255.255.0
12 : no passwords min-length
13 : username "root" password e6e66b8981c1030d5650da159e79539a level 15 encrypted
14 : line telnet
15 : exec-timeout 0
16 : exit
17 : !
18 : interface ethernet 1/g47
19 : channel-group 1 mode on
20 : exit
21 : !

                   
22 : interface ethernet 1/g48
23 : channel-group 1 mode on
24 : exit
25 : exit

檢視目前正在執行的設定
3NKR9T1#show run
!Current Configuration:
!System Description "PowerConnect 6248, 3.3.3.3, VxWorks 6.5"
!System Software Version 3.3.3.3
!Cut-through mode is configured as disabled
!
configure
hostname "3NKR9T1"
stack
member 1 2
exit
ip address 192.168.103.253 255.255.255.0
no passwords min-length
username "root" password e6e66b8981c1030d5650da159e79539a level 15 encrypted
line telnet
exec-timeout 0
exit
!
interface ethernet 1/g47
channel-group 1 mode on
exit
!

                   
interface ethernet 1/g48
channel-group 1 mode on
exit
exit

檢視開機相關設定
3NKR9T1#show boot

Config download via DHCP:...................... Enabled
Auto Config State.............................. Waiting for boot options

The host retry count value is : 3
Auto Save mode is Disabled

3NKR9T1#show boot?

boot                     boot-version             bootpdhcprelay          
bootvar                

3NKR9T1#show bootvar

Image Descriptions

 image1 : default image
 image2 :


 Images currently available on Flash

--------------------------------------------------------------------
 unit      image1      image2     current-active        next-active
--------------------------------------------------------------------

    1     3.3.3.3     3.3.3.3             image1             image1

重新開機
3NKR9T1#reload 

Cisco學習資訊分享: 端點身分識別和授權定義與實施，Cisco ISE 產品介紹影片

Cisco學習資訊分享: 端點身分識別和授權定義與實施，Cisco ISE 產品介紹影片: From June 16~17, 2001. Green Island, 綠島 Cisco Identity Services Engine (ISE) 提供端點(Endpoints)在接入企業網路時，使用者的身分識別，和網路授權政策的定義和實施。這些功能，是以統一的管理介面，和分散式的佈署來完成。我們可以從以下的影片，瞭解這項產品所要解決的主要問題。

影片重點解析

1:17, ISE是授權政策定義、控制、和報表產生的統一來源。
1:25, ISE所提供的服務，包括身份識別(Authentication), 授權 (Authorization)，和使用歷程紀錄(Accounting)
1:35, 包括端點使用網路的姿態檢查 (Posture)，例如，檢查端點是否具有最新的病毒碼。
1:41, 包括端點的特性側寫(Profiler)，例如，辨認端點是PC還是iPhone。
1:48, 包括來賓用戶管理(Guest Management)。
2:04, ISE = ACS + NAC. ISE 包含兩者所有的功能，但是管理統一化，而且佈署模式更簡單。
2:28, 包含兩種包裝，包括(1)Base Package 這種包裝基本上就是 ACS + NAC Guest Server.
2:36, 和(2) Advanced package. 這種包裝基本上就是 Base Package + NAC Appliance 和NAC Profiler.
2:48, Cisco 原有的NAC佈署，不是所有的情境都需要立刻轉換成 ISE。例如，原有的 NAC 僅僅是小規模的局部佈署，只提供簡單的單一進出管制點(Choke Point).
3:07, Cisco NAC 新版的產品硬體，跟ISE完全一樣。只需要更換軟體，就能變成ISE產品。

後記

很多企業都開始準備推動，員工攜帶自己的IT產品到公司內使用 (Bring Your Own Device, BYOD)。或者是為了法規遵循，企業必須追蹤所有網路活動的「使用者身份」。這時候身份識別和授權定義與實施的系統，將是不可缺少的基本元件。
如果管制的技術必須包括有線、無線、和VPN，再加上分散式佈署模式，我目前的理解只有 Cisco ISE符合以上需求。
尚未採購的NAC佈署，建議直接從ISE開始。

*此文為引用，作者為連結上部落格主，非本人所著，特此聲明。

思科AP三角定位實際應用成果

這是Cisco Wireless Control System下轄七部Cisco Wireless LAN Controller，控制500顆左右的Wireless AP(Thin AP架構，有效Roaming)，利用Location Server計算三角定位後所有區域內上網行動裝置的動態示意圖，所有點位都是會移動。可以查看細節更是驚人，包含 登入PC名稱、網域的驗證、拿到的IP、用何種無線網路規格連上(a,b,g,n)、目前存取的AP與SSID資訊、連線時間、最近十筆連上記錄 都可以顯示。定位會有些許的上下樓層落差是目前技術上待改善的問題，不過已經算是相當精確了，因為在建置過程中是有輸入平面圖比例尺的。

PS：大顆綠點就是AP，藍點就是行動裝置，圖中顏色就是AP訊號強弱囉！

對華人區開思科案件(Cisco Case/TAC)

以下是思科的標準資訊回覆信件內容

對於泛亞華人區可以寄信到chinese-tac@cisco.com

信件內容需要完整提供以下資訊

如果您需要申请一个故障诊断/备件更换的CASE，请您提供以下相关信息：
用户名 (CCO)：
产品序列号(SN)：
售后服务合同号：
故障描述：
最终用户信息： (指使用該設備的客戶名稱)
(以下資訊為 工程師的連繫窗口)
联系人：
电话：
邮件地址：

思科會在短時間內以Mail回覆TAC Number，即完成開Case的手續。

或者有以上資訊直接使用思科電話報修：0080-1611206
思科客服部門會依序詢問以上相關信息，已完成開Case手續。

Case開立後，Cisco會派工尋找原廠工程師解決問題，20-40分鐘左右會致電給連繫人，詢問問題的詳細故障內容，屆時請直接與該思科原廠工程師溝通並偕同解決。