Cisco學習資訊分享

真的嗎，美國封殺外國製家用路由器？

hongliji@gmail.com (Li-Ji Hong (洪李吉)) — Sun, 29 Mar 2026 14:10:00 +0800

美國華盛頓時間2026年3月23日，美國聯邦通訊傳播委員會FCC宣布，將所有的美國本土以外，外國製造的消費型路由器，全部列入「不審查名單」(Covered List)。不審查，代表「不可能通過FCC的許可」，意思就是所有外國製造的消費型路由器，全部都不能在美國銷售，也就是媒體普遍報導的「美國封殺外國製家用路由器」。

FACT SHEET: FCC Updates Covered List to Include Foreign-Made Consumer Routers, Prohibiting Approval of New Models

不過，新的政策生效後，初期所影響的範圍，其實沒有想像中大。

日本小樽天狗山夜景

只影響新型號

只影響新型號，之前FCC已經許可通過的產品，都還可以繼續賣、繼續用。

New devices on the Covered List, such as foreign-made consumer-grade routers, are prohibited from receiving FCC authorization and are therefore prohibited from being imported for use or sale in the U.S. This update to the Covered List does not prohibit the import, sale, or use of any existing device models the FCC previously authorized.

這次加入的「不審查名單」，事實上也保留例外：只要是美國戰爭部(DoW)、國土安全部(DHS)有條件允許的名單，都可以維持正常的FCC審查，就有機會可以如同往常一樣，新型號的產品依然可以正常在美國販售使用。

Producers of consumer-grade routers that receive Conditional Approval from DoW or DHS can continue to receive FCC equipment authorizations. Interested applicants are encouraged to submit applications to conditional-approvals@fcc.gov.

綜合來說，美國的新政策就是，所有的外國製造的消費型路由器，只要不是美國戰爭部(DoW)、國土安全部(DHS)有條件允許的名單，未來任何新的型號消費型路由器產品，全部都不能在美國國內銷售或使用。

衝擊外國製造路由器的廠商

這個新政策的頒布，衝擊最大的，並不是消費型路由器的使用者，而是在外國製造路由器的廠商。因此對於外國製造商，我這裡指出幾個可行的因應措施。

1. 將新型號產品，儘速安排送交美國戰爭部、美國國土安全部審查

我目前找到如何送審的管道，只有跟"conditional-approvals@fcc.gov."聯絡。這的確也是一個可行的努力方向。

2. 將路由器生產廠房，搬進美國本土生產

FCC目前只針對外國製造的消費型路由器提出限制。美國本土所生產的消費型路由器，完全不受新政策的影響。

One more thing…

美國為了自己的國家安全考量，對於網路基礎建設提高了新一層又一層的安全管制，我們外國人只能尊重與配合。

要保護好台灣自己的國家安全，我建議我們應該借鏡美國的新政策。

台灣學術網路上，傳出最近看不到B站，原因是什麼

hongliji@gmail.com (Li-Ji Hong (洪李吉)) — Sat, 18 Oct 2025 00:56:00 +0800

來源：台灣學術網路

今天網路上很多人議論，在台灣學術網路(TANet)上，最近很多學生回報連線不上「B站」。也就是中國的影片網站「哔哩哔哩bilibili.com」。

「中央社：傳學術網路封鎖Bilibili 教育部：網段路由轉送異常。」

要理解發生了什麼事，我們先一起想像這個情境。

假設你面前有一疊撲克牌，一疊一共有52張。現在出現了一個請求，要你從這一疊撲克牌，將「梅花三」這一張抽掉，讓整疊撲克牌只剩下51張。

五秒鐘後，新的請求來了，要求你將「梅花三」放回去，讓這一疊撲克牌又變成52張。

接下來每五秒鐘不斷重複這個要求，要求你五秒鐘後抽出「梅花三」出來，五秒鐘後再放回去。

我讀到這裡已經感到有點厭煩了，我相信你也是。現在這個假設的狀況下，一疊撲克牌只有52張紙牌。雖然有點煩人，卻也不是做不到。但是當我將問題放大成這一疊撲克牌，總共有一百萬張牌呢？一樣的要求你五秒鐘後抽出「梅花三」出來，五秒鐘後再放回去，不斷重複。我們一定感覺得到，這將是多麼龐大而惱人的操作呢！

路由表

在全世界的Internet(後面通稱「網際網路」)上，路由器和路由器之間，會彼此同步路由資訊。路由資訊大概長這樣。包含封包可能的目的地網段定義、若符合的話，應該從哪一個下一站轉送封包出去。

(路由表範例)
封包目的地落在網段 172.16.16.0/24 內，請經由 10.10.10.25轉送
封包目的地落在網段 172.31.130.0/16 內，請經由 10.10.10.3轉送

問題的產生

路由器轉送每個封包時，會抓取封包的目的地，再依據路由表所定義的選路規則，選擇轉送到哪個下一站。在全世界的網際網路上，這樣的路由器有數十萬數百萬台，分別由數萬家不同的公司、或組織來各自管理。同時這樣的路由資訊，不重複的才算一筆，今天已經超過一百萬筆。假設今天網際網路上突然出現了一個「害群之馬」，因為該公司的設定或是內部線路的問題，對著其他公司的鄰居路由器，重複的，每五秒鐘請求鄰居「刪除規則999」、「加入規則999」，也就是跟前面的例子一樣的「抽出梅花三」、「放回梅花三」，這種垃圾請求擴散出去後，所有數十萬數百萬台的路由器，就跟著這個「害群之馬」反覆的「抽出來」、「放回去」，這豈不是在浪費全體路由器的處理資源嗎？

拍動Flapping

這樣的重複指定某一筆路由資訊「抽出來」、「放回去」，如同這一筆路由資訊一會兒「上」，一會兒「下」，上上下下，就好像是鳥類的翅膀上上下下地拍動，因此這個現象被稱為「路由拍動」(Route Flapping)。

持續而重複的拍動會癱瘓小型路由器

更何況，很多公司或組織，原本路由器的硬體處理效能只能應付平常的工作，就已經不夠快，沒有多餘的硬體資源了。一旦網際網路上面出現了這種害群之馬，路由器的處理器肯定承擔不起這些意外的、完全無意義、又浪費處理資源的額外操作。最後路由器不是封包傳送效能越變越慢，就是路由器用光了緩存記憶體後直接整台重開機。所有穿越這套路由器的封包，無論目的地是不是「害群之馬」的封包，當下就全部都過不去，全部都斷線了。

一個「害群之馬」，影響到全體的流量。

自我保護機制：(遲滯)阻尼Dampening

因此，路由器設計時都會內建一個自我保護功能。當某一筆路由資訊更動太過於頻繁，路由器就會自動將這一筆路由資訊標記為「黑名單」：這一筆路由資訊將不被路由器參照使用，如同這筆路由資訊完全不存在一樣，所有目的地往這個網段的封包全都丟棄。路由器不需要浪費資源去跟著重複「抽出來」、「放回去」，讓路由器還能維持「游刃有餘」的工作。簡單的說，就是放棄掉「害群之馬」，來讓其他正常使用者還可以繼續正常工作。等候經過一個冷靜期，如果「拍動」的狀況解除了，這一筆路由資訊才會再度被回頭參照使用，進到封包查詢的路由表中，這個網段才會恢復連線。

要冷靜多久才算狀況解除，如何評估，整個機制通稱為「阻尼Dampening」。

通常是處理速度越慢的路由器，越需要阻尼的自我保護。這個功能可以透過設定開啟、調整敏感度、或是關閉。處理效能越好的路由器，通常可以設定成比較不敏感，或是設定成平時關閉，必要時才手動打開。

回到台灣學術網路無法連線B站問題

其實根本原因就是因為「B站」自己發出的路由資訊，最近因為不明原因持續產生路由拍動，當這個現象擴散到台灣學術網路的路由器，觸發了阻尼這道自我保護的機制。因此，在這段阻尼自動啟動的時間當中，無法經由台灣學術網路連上「B站」。

我目前的觀察，外人很難要求「B站」立刻自己解決拍動的問題，只能等待「B站」的善意回應。台灣學術網路這裡，我建議可以考慮在路由器硬體還能負擔的前提下，調整阻尼設定，設成比較不敏感。或者是，乾脆多編一些預算給教育部，比照商業電信公司(例如中華電信、台灣大、遠傳)，儘快大幅升級路由器硬體的效能。

One more thing…

話說回來，台灣學術網路TANet原本就是為了學術研究而存在，例如很多國際間的學術論文查閱系統，都透過台灣學術網路連接。台灣學術網路運作的費用，全部由台灣的教育部贊助，幾乎不跟各連線學校另外收取國際流量的費用，如果只用來欣賞休閒娛樂的影片，實在有點可惜。

每個學校、學生宿舍原本都可以自由的、自行決定要不要付費租用商用電信公司的網路，或者是個人的手機網路，完全沒有任何限制。看不到「B站」，硬要將話說成是「箝制言論自由」，說這種話的人真的太誇張了。

另外，我的記憶還停留在，台灣學術網路並不開放例如YouTube這類的影音播放服務，照道理也不應該開放「B站」才正確。國際流量使用太高的學校，當年還會定期被公告檢討，真的很丟臉。很有可能，現在已經越來越開放了。今天的學生，都要惜福啊！

在網際網路上面，跨公司的路由器跟路由器之間的路由資訊交換協定，是全世界通用的BGP (Border Gateway Protocol) 協定。我前面提到的阻尼自我保護機制，BGP協定裏面都有定義。我這裡刻意略過複雜的技術內容，讓更多人知道到底發生了什麼事。如果大家對BGP協定有興趣，我就放在其他篇幅更深入討論BGP。

這篇文章主要說明的路由器自我保護機制是什麼?

滑鼠點開來看答案。

阻尼Dampening

BGP百萬大富翁

hongliji@gmail.com (Li-Ji Hong (洪李吉)) — Sun, 4 May 2025 14:04:00 +0800

【 BGP百萬大富翁】

我從幾個指標觀察到，大致上是2025年2~4月這幾個月以來，全球的IPv4 BGP 路由表總數，已經穩定的突破100萬筆。

我使用這個工具製圖。資料區間：2025/2/1 ~ 2025/4/30

首先我先釐清100萬這個數字。因為是數數量，我這裡所指的100萬筆，就是剛剛好1,000,000這個數字。我知道很多人習慣的1,024*1,024=1,048,576這個數字，目前尚未突破。我相信也很快，也許數週之後就會達到了。到時候，我可以再發出一篇新的更新訊息。

目前我的觀察，還沒有太多人在網路上慶祝這個里程碑，我相信是因為，今天的路由器硬體，已經不存在2014年左右，所發生的硬體筆數不足的事故。

因為沒有造成困擾，所以討論的人也不多，我的猜想。

我做了一些調查，最近這幾年的硬體路由表筆數支援，尤其是電信業者線上的路由器硬體，都已經遠超過100萬這個數字。因此100萬筆這個里程碑，純粹是一個值得紀念的數字，並不會產生任何可能的服務中斷的事故。大家都不需要感到恐慌。

現在起，我們都是BGP百萬大富翁。

One more thing…

今天的主角是IPv4。那麼，IPv6的BGP路由表大小，是多少呢？

今天2025年五月初，大約是22萬筆。

我是用這個工具製圖。資料區間：2025/2/1 ~ 2025/5/4。

海底光纜如果被破壞，將如何修復？

hongliji@gmail.com (Li-Ji Hong (洪李吉)) — Fri, 10 Jan 2025 14:09:00 +0800

我相信大家一定跟我一樣很想要知道，海纜如果真的被破壞的話，修復船是如何修復海纜的。綜合網路上所找得到的資訊，我製作今天這個影片，希望能夠解答大家的疑惑。

海底光纖纜線，我後面用海纜來稱呼。修復的進程，大致上可以分解成以下的階段。

1. 正常工作海纜

最初的正常狀態是，海纜正常工作，海纜沉降服貼在海床上。

2. 海纜故障出現

海纜可能因為天然因素的損壞，例如纜線老化、地震、落石、生物咬食；也可能是人為因素的損壞，例如，漁網拖曳、下錨撞擊、惡意破壞。故障發生的時候，有可能只是纜線的保護皮破損、光纖折斷、或甚至被整個切斷。

3. OTDR確認故障範圍後，派出維修船到A

「光時域反射儀」(OTDR, Optical Time-domain Reflectometer)利用雷射光反射的時間差，可以用來量測故障斷點距離所接上的OTDR儀器的光纖路徑長度，由這個資訊可以推斷出光纖故障的距離範圍區間，以及在光纖海圖上的位置。

確定位置之後，就可以派出維修船，抵達計畫中的海纜A地點，找到海纜A端。

4. 截斷A端

因為接下來要將A端整個用浮標繫留漂浮在海面上，因此必須找A端適合的位置截斷海纜。找到與截斷海纜的方式，可能透過維修船上特製的海底拖曳勾爪，或者是放出水下海底機器人等。

換句話說，我們並不是在舊的海纜上進行修修補補，而是將整段有問題的切掉換成新的。

5. 抓起後，浮標固定A端

將A端海纜抓到海面後，以浮標繫留在海面，維修船就可以離開A地點前往計畫中的B地點。

6. 維修船移動，抓起B端

維修船到了B地點的海域後，同樣可以透過海底拖曳勾爪，或是放出水下海底機器人等方式，找到B端海纜。同樣的，將B端海纜抓到維修船上。

7. 熔接B端到新海纜

在維修船上，進行光纖熔接，將B端熔接到新的替換海纜線捲上。通常在熔接的時候，會透過特製的套件，方便維修船上的熔接施工。

8. 新海纜佈放回到A端浮標

熔接完成之後，維修船可以將B端海纜與新的替換海纜逐漸的沉降佈放到海底。接下來，一路進行佈放回到A地點的A端浮標。

9. 新海纜熔接到A端

維修船回到A地點的A端浮標，將A端的海纜，和新的替換海纜，抓在維修船上進行熔接。一樣的，通常也透過特製的熔接套件完成熔接。

10. 海纜歸位

A端熔接完成後，海纜已經回到可工作連通狀態。因此整段的海纜就可以沉降拉伸回到海底。

到這裡，完成了海纜故障修復的全部施工。

One more thing…

根據修復施工的進程，我們立刻發現，沒有海纜維修船，基本上無法進行任何的海纜修復。同時海纜修復船全世界並沒有很多艘，光是將修復船開過來地點A，即使以30節的高航速，每小時時速依然不到60公里，以這樣的航行速度，肯定要花上好幾天的時間，才能到達現場。因此，海纜修復時間一定是以週數來計算的。

站在網路業者的角度，海底光纜的使用，一定要做到多線路、多路經的同時備援。

另外，我們也知道，熔接過後的光纖，一定會增加穿透能量的損耗。當修復熔接次數超過某個數字，整條的光纖就會不堪使用了。海纜是壽命有限的，需要定時安裝全新的海纜來替換。

最後，萬一海纜的破壞，是屬於人為故意的，我建議至少可以採取這兩個措施：

增加海纜維修船的分布密度。如此一來，我們可以減少等待維修船的排程，和移動航行的時間。
加派巡邏隊守護海纜路徑。正常的船隻航行，不會任意在海面上下錨或靜止。如果有這種跡象，而且徘徊在海纜路徑上，很大的機會一定是故意的行為。

使用哪一種設備量測光纖斷點距離？

滑鼠點開來看答案。

使用「光時域反射儀」(OTDR, Optical Time-domain Reflectometer)

Cisco IOS工作小技巧，列出所有的工作埠

hongliji@gmail.com (Li-Ji Hong (洪李吉)) — Tue, 31 Dec 2024 16:28:00 +0800

這個影片的重點，在於使用正則表達式(Regular Expression)來過濾命令的輸出內容。

影片的內容，不知道對您是否有幫助？歡迎您在文章下方的留言區，或者是YouTube上面，留言讓我知道。

這個影片主要展示的命令是什麼?

滑鼠點開來看答案。

"show interfaces | include ..."

好酷的，沉浸式冷卻法

hongliji@gmail.com (Li-Ji Hong (洪李吉)) — Wed, 5 Jun 2024 18:35:00 +0800

【好酷的，沉浸式冷卻法】

我頭一次看到這種冷卻技術。

每次想到液體冷卻、水冷式冷卻，我腦中浮現的畫面是，不漏水的散熱水管分布在主機板上。我沒有想到過這種可能性，將整個主機板，包含散熱風扇，全部泡在液體中散熱。

Cisco Service Provider Tweet

我第一次看到Cisco Live的展示影片的時候，我看到透明清澈的液體，我以為那就只是普通的水。問題是，水會導電，別說泡在水裡，就連碰到一滴水，主機板肯定立刻短路燒毀。難道說，現在發明了什麼新的保護鍍膜技術，可以讓主機板防水，還可以泡在水裡？

我搜尋網路，找到這個影片。看完之後，我才知道，原來所有的魔術，都在這個透明的液體。這種液體由「Engineered Fluids」所生產，名稱是「ElectroCool Dielectric Coolant」。

https://youtu.be/PvmMs6mU0NU?si=-NgiEM5AbHxdu_kE

這個特殊液體材料，本身在數十仟伏特、仟安培的電力下不會導電。因此，將它倒入運行中的主機板、散熱風扇、光纖收發器，如同倒入一種更稠密的空氣，將原本的自然空氣排出，因此主機板等元件，依然可以持續工作。同時這個特殊液體材料，本身比自然空氣，有著更強大的吸熱散熱能力，對於高速運轉、產生高熱的元件和電路，能夠提供更好的散熱功能。

我的確還沒有看到Cisco的確認，Cisco的展示影片所用到的就是「ElectroCool Dielectric Coolant」。即使不是，肯定也是其他公司所生產的類似的液體材料。

這種冷卻方式，我學習到至少有下列的幾個優點：

這種液體完全透明，不導電，散熱效果比純氣冷式散熱更好。
這種液體減少了風扇的噪音，讓機房更安靜。
這種液體沒有毒性，至少影片中看到人體可以直接安全碰觸。
比在主機板上安裝不漏水水管還要更簡單，直接整個泡在液體桶裝裡面就好了。
光纖收發器也可以正常工作，沒有光學折射的問題。

One more thing…

目前我也想到幾個可能的問題，我還沒有得到答案：

這種液體會不會腐蝕金屬，長時間後最終破壞主機板？會不會傷到旋轉的風扇？
這種液體會不會容易揮發，如果是，我們需要準備很多，一直補充。
這種液體萬一遇到真的水，例如，消防水、凝結水、雨水，會發生什麼事？會不會開始導電短路？

無論如何，這是一個有趣的數據中心伺服器、網路設備的散熱新技術，值得我持續觀察。

乙太網無窮迴圈(Looping)的另外一個斷線案例

hongliji@gmail.com (Li-Ji Hong (洪李吉)) — Wed, 29 May 2024 20:57:00 +0800

我剛才在Faceoobk看到這張圖片。如果是我的網站讀者，應該很快就會發現問題所在。

案例和圖片來源(Thanks!)：

這個現象，稱為乙太網無窮迴圈(Looping)。發生的時候，一個數據楨會在這一條網路線，兩個埠中間，無限循環複製。結果會造成整部交換器的轉發送數據楨硬體資源，全部消耗完畢。看得到的現象，就是這兩個埠燈號比正常還更快速閃爍，加上所有穿越這套交換器的網路數據楨，全部穿不過去，等同於網路全部斷線。

非Cisco廠牌的網路交換器，我碰到過的幾乎都是如此，預設都沒有打開STP(Spanning Tree Protocol，生成樹協定、擴張樹協定)。因此，只要跟圖片一樣的接法，埠的燈號一亮起，穿越這個交換器的網路馬上就斷了。

反過來看，如果交換器品牌是Cisco的，只要你沒有故意關閉STP功能，即使跟圖片完全一樣的接法，網路依然完全不會斷線。

(我又幫Cisco在賣產品了，哈哈哈)

這個問題現象在家用型的Wi-Fi路由器、分享器上，很容易重現。驗證完成後，記得還原拔斷這條網路線。

One More Thing .....

"Spanning Tree Protocol"協定裡面的"Spanning Tree"，其實就是是離散數學、資料結構裡面都會討論到的一個最小的樹狀結構子集合，同時連結圖(Graph)上的所有的節點。一般在離散數學、資料結構的教科書，將Spanning Tree翻譯成「擴張樹」。我知道網路相關的中文書籍，幾乎都翻譯成「生成樹」。因此，「生成樹協定」「擴張樹協定」我都認為是正確的翻譯。同時我也注意到：

如果你會將Spanning Tree翻譯成「擴張樹」的，很有可能你曾經讀過、修過離散數學，或是資料結構等學科。

Facebook十月四日大當機，我的陰謀論

hongliji@gmail.com (Li-Ji Hong (洪李吉)) — Wed, 6 Oct 2021 00:38:00 +0800

2021年十月四日，Facebook跟所屬的服務，例如Instagram等，意外發生長時間停止服務。查詢 Wikipedia，我確認這一次的Facebook斷線，持續了七個小時。目前看得到的報導，都是說因為網路設定出錯，所導致。不過，根據我觀察過的案例，我認為，「網路設定出錯」，只是一個藉口。

如果這一次的事件發生，只跟「網路設定」有關，網路硬體其實只需要回朔到前一個版本的設定，即使在最差的狀況下，頂多硬體也必須重開機。花不了一個小時的時間，一定可以回到前一個可以用的狀態。

因此，斷線時間如果只有一兩個小時，有可能真的只是純網路設定問題。但是持續時間如此的長，我真的不太相信。

當發現BGP協定的設定出錯，只要斷線持續超過20分鐘，回朔到前一個版本的設定，一定是必然的決策。如果好多路由器一起回朔設定、重新啟動，那也只是頂多再加上一個小時左右的時間而已。

更何況，我不認為Facebook的網路工程師，會是如此的差勁。因為錯誤的設定，讓整個Facebook 完全跟世界斷開來。我認為設定上的錯誤，頂多只會弄壞部分的服務狀態，而不是讓整個Facebook都離線。

Cloudflare的描述我認為是可以相信，而且是客觀的準確描述。Cloudflare只是服務Facebook的外部廠商。同時，BGP的活動紀錄，是我們外部世界、相鄰網路業者，所能夠唯一觀察到的Facebook表面活動。

綜合我目前觀察到的，Cloudflare加上Facebook官方的公告，我個人提出的假想理論是：

Facebook 遇上了未公開的、不得已的緊急狀態。
Facebook「故意」刪除掉全部DNS伺服器所在網段的BGP路由表，讓全世界用戶端軟硬體，都無法解析到 Facebook.com。等到DNS解析紀錄完全過期之後，沒有任何用戶可以解析到Facebook.com的IP地址，等於拒絕全世界用戶端的請求。
接下來，Facebook 「故意」刪除掉所有的BGP路由表，讓整個Facebook對外服務的網路，徹底跟全世界斷開來。
經過數個小時的處理後，Facebook慢慢送出正確的BGP路由表。恢復正常服務狀態。

One more thing…

除非Facebook未來願意公開資訊，我這個「陰謀論」很難驗證。我只是要強調我的重點：如果只是單純網路設定的錯誤，斷線時間如果遠遠超過兩個小時，是很不符合經驗上所能觀察到的案例通則的。

歡迎大家留言告訴我，您的看法！

巴克禮紀念公園
台南市

需要幾條路由表，接通三個辦公室？

hongliji@gmail.com (Li-Ji Hong (洪李吉)) — Tue, 27 Jul 2021 23:19:00 +0800

我們藉由一個連接三個辦公室，三個網段的簡單拓樸，來說明連接辦公室網路，維護正確的路由表內容的時候，到底應該使用靜態路由，還是多多運用動態路由協定。

網路拓樸中，三部路由器，分別代表一個獨立辦公室，背後各只有一個區域網路、LAN網段。圖中每一個區域網路，我只列出一部電腦，來代表網段內的使用者，或者是伺服器。

為了聚焦在路由表本身，IP地址已經全部配發完成。電腦上面只有基本網路連接功能。

我們的目標是，完全接通三個辦公室中，不同的區域網路，區域網路內的任何電腦、電腦之間，都必須完全連通。

路由表的基本知識回顧

我們先回顧路由表的基本知識。

路由器在轉送每一個封包的時候，一律查詢路由表。封包的目的地地址，如果在路由表中存在定義，那就按照路由表的定義轉送。反過來看，封包的目的地地址，如果在路由表中找不到定義，這個封包就會被直接丟棄。

回到三個辦公室的情況。任何從電腦出發的封包，要到達其他辦公室的電腦的話，看完網路拓樸，我們馬上知道，都必須穿越兩次不同的路由器。

因此，第一站的路由器裡面的路由表，必須包含兩個遠端辦公室網段的資訊，封包才有機會，被往下一部路由器轉送。

事實上，拓樸中的三部路由器，上面的路由表，都必須包含對面遠端兩個辦公室的網段資訊，否則，完全的接通，肯定無法實現。

路由表的初始內容

接下來，我們觀察路由器上面，路由表的初始內容。

初始的路由表的內容，有一些資訊是自動產生的。例如，直接相連的網段。除此之外，全部都必須透過我們的設定，來將缺少的路由表加進來。

這樣的初始內容，肯定是不夠的，因此網路連通性，還不存在。所以，我們開始加入缺少的路由表內容。

要加入路由表，我們有兩個選擇。

靜態路由
動態路由協定

我們兩者都試試看，先別急著下結論。最後我們再來比較，哪一個工具比較好。

加入路由表方法一：使用靜態路由

依照剛才分析的結果，我們需要在三部路由器上面，分別透過靜態路由工具，來加入各兩筆的靜態路由資訊。

以R1為例子，需要在IP、IPv4分別加入這兩筆：

[R1]

ip route 10.2.1.0 255.255.255.0 10.0.12.2

ip route 10.3.1.0 255.255.255.0 10.0.13.3

ipv6 route fd10:2:1::/64 Ethernet1/0 FE80::200:FF:FE12:2

ipv6 route fd10:3:1::/64 Ethernet1/1 FE80::200:FF:FE13:3

完成之後，「完全接通」這個目標，我們達到了。我們可以透過任意兩部電腦、電腦之間的PING工具，來驗收這個目標。

以上的例子，分析過程應該不難理解。只不過，如果只能使用靜態路由，真的很不方便。

首先，輸入的時候，靜態路由命令很長，而且隔壁路由器的地址資訊，需要反覆檢查確認。非常容易出錯。

我們再觀察下面的兩個狀況，我們會發現，採用靜態路由，來維護路由表，真的很不方便。

案例一

假設第三號辦公室，需要增加一個網段。請參考網路拓樸。

分析的過程差不多，但是，每一部的路由器上面，就必須分別增加一筆第三號辦公室的新網段。我這裡用路由器一來說明。我們必須先檢查目前有的路由表，得知缺少的新網段，然後透過靜態路由命令，來加入這一筆。

事實上，路由器二，也必須完成相同的檢查，和確認。

如果這樣還不夠讓人感到苦惱，我再加入一個狀況：

案例二

二號辦公室，要改換網段地址。

相同的分析之後，我們發現，我們必須修改，所有路由器上面，跟二號網段相關的所有路由表的內容。我同樣用路由器一來說明。我們必須先檢查目前有的路由表，得知變更了的網段路由表內容，然後透過靜態路由命令，來移除舊的，加入新的這一筆路由表。

當然，路由器三也必須完成相同的路由表檢查跟編輯。

因此，如果我們只能使用靜態路由這個工具，將會很不方便，沒有彈性，糟糕的是，路由表並不會自動隨著網段地址改變而自動調整。

有沒有更好的解決方案？當然是有的。

加入路由表方法二：使用動態路由協定

我們就挑選OSPF協定，來展示動態路由協定的優勢。

我們會發現，OSPF協定的啟動、設定命令，每一部路由器都完全一樣，我們不需要來回檢查確認其他路由器的地址。我們甚至可以用剪貼(copy paste)的方式，一口氣設定完全部的路由器。

router ospf 1
 network 0.0.0.0 255.255.255.255 area 7

ipv6 router ospf 1
int e1/0
 ipv6 ospf 1 area 7

int e1/1
 ipv6 ospf 1 area 7

int e2/0
 ipv6 ospf 1 area 7

int lo0
 ipv6 ospf 1 area 7

我們輸入完成之後，接下來，只需要等待協定的交談結果，讓路由器自動幫我們將正確的路由表內容準備好。

數秒鐘後，目前的路由表內容，已經是完全正確的。

透過動態路由協定，是不是簡單很多呢？

同時，前面所提到的兩個案例，動態路由協定，甚至於會幫助我們，自動更新路由表的內容。

案例一

我們的確必須透過命令，告知路由器三R3，新增加這個網段。除此之外，其他設定，全部不需要改變。路由表自動更新完成。

案例二

我們甚至於不需要修改任何原有的設定。

因此，前面的兩個場景，我們同樣使用OSPF的時候，我們幾乎不需要更動增加設定，路由表就會自動調整過來。

結論

動態路由協定，可以幫助我們自動找到正確的路由表內容，更棒的是，當網路拓樸改變，路由表的內容，也會自動更新。同時，動態路由協定的命令，通常行數、字數也會比較少。

所以，我們必須花時間去學習，類似於OSPF這類型的、自動化的動態路由協定，來幫助我們，用最少的命令，讓路由器自動去探索拓樸，調整路由表的內容。

One more thing…

只需要透過少數幾行的命令，就可以讓路由器自動維護，完全正確的路由表內容，確保辦公室網路的連通性。是不是既省力，效果也很讓人滿意呢？

如果喜歡以上的內容，請訂閱「Cisco學習資訊分享」YouTube頻道。事實上，我們還可以從其他的觀察角度出發，來增加我們網路服務的品質。例如「斷線自動修復」，和「網路遠端管理」，我還沒有討論到。我將放在未來的影片中。

歡迎大家開啟畫面、左方的影片連結，裡面有更多「Cisco學習資訊分享」的影片喔！

不安裝額外軟體，在Windows 10快速找到Wi-Fi無線網路接入速度

hongliji@gmail.com (Li-Ji Hong (洪李吉)) — Tue, 11 May 2021 20:21:00 +0800

不安裝額外軟體，在Windows 10上面我們要如何快速找到，我現在工作中的Wi-Fi無線網路連線速度呢？我是洪李吉。

在Windows 10上面我們很容易知道，我們目前作業系統，是不是連上Wi-Fi網路。但是速度是多少呢？好像沒有比較簡單的方法，可以快速知道我們當前 Wi-Fi無線網路接入速度到底是多少。我這篇文章的內容就是來分享我常用的幾個方法。

影片版

方法一、使用滑鼠操作圖形介面

這個方法在Windows 10上面，肯定是沒問題的。主要是因為Windows 10的圖形介面設計很不錯，甚至不需要看任何文件，稍微摸索一定找得出來。

但是，這個方法有缺點。經常發生，一段時間後，Windows可能會調整它的操作介面、路徑。換句話說，我們現在熟悉的流程，或者是我現在錄製下來的軌跡參考，非常可能日後還需要做調整更新。甚至於在未來的Windows版本裡面，流程完全都不一樣了。

我們需要有心理準備，經過一段時間之後，現在所錄製的畫面，很可能是不正確的。因此，接下來我介紹方法二。

方法二、使用netsh (Net Shell)

Windows命令列工具netsh已經存在Windows作業系統家族裡面非常久了。預設內建，不需要另外安裝。

顯示Wi-Fi無線網路速度的命令，其實不長。

netsh wlan show interfaces

執行使用netsh，我們可以從命令列 CMD視窗，或者從PowerShell視窗來執行都可以。

方法三、使用PowerShell

PowerShell也是Windows 10內建的命令列的介面。預設內建，不需要另外安裝。

他的命令稍微複雜一點，解釋起來的確需要花一段時間，整個命令的細節我先不解釋。

Get-WmiObject -Class Win32_NetworkAdapter | `
    Where-Object { $_.Speed -ne $null -and $_.MACAddress -ne $null } | `
    Format-Table Name, `
    @{Label='Connected'; Expression={-not $_.OperationalStatusDownMediaDisconnected}}, `
    @{Label='Speed(MB)'; Expression = {$_.Speed/1000000}}, `
    FullDuplex,InterfaceDescription

相同的，命令執行之後，馬上就知道，我們的Wi-Fi無線網路接入速度是多少。

結論

以上我所分享的幾種方法，可以在Windows 10上面不需要安裝額外的任何軟體，就可以快速知道，我現在工作中的Wi-Fi網路接入速度是多少。希望對大家有幫助。

One more thing…

Wi-Fi的接入的速度，我這裡的意思是，從Windows出發，到達第一站的接入點(Access Point)的這一段鏈接的速度。因此，真實的端到端(End to End)網路有效連線速度，不一定會這麼好。這是因為，端到端網路連線，並不是只有Wi-Fi這一段的路徑，還要再經過有線網路，中間也許還會經過其他的網路設備，例如，路由器、交換器、防火牆。最後的速度，可能不太一樣。

另外，在Wi-Fi無線網路的領域，所謂接入的速度是指，輪到你用的時候，你在無線信號上的瞬間傳輸速度。實際上，Wi-Fi無線網路，一定是共用的。我們會跟好多用戶，共用分享少數的接入點。這個速度的數字，還需要往下再打個折扣。

在Windows 10上面 PowerShell是預設內建，不需要另外安裝，而且快速方的命令列管理工具，同時也是可程式化的，就跟Python、BASH相當。假設大家想要更深入了解，歡迎在下方的留言區告訴我！

我是洪李吉。我的網站是「Cisco學習資訊分享」。我們下次見！

從「蘇伊士運河」事件，檢視網路中是否有「單點故障、全體故障」缺陷

hongliji@gmail.com (Li-Ji Hong (洪李吉)) — Fri, 26 Mar 2021 23:29:00 +0800

就在三天前，2021年3月23日，當地時間大約7:40 (5:40 UTC)，台灣的長榮海運公司的貨櫃輪「長賜輪」(EVER GIVEN)，在「蘇伊士運河」的航道上意外擱淺，正好將整個通道阻塞。因此，「蘇伊士運河」完全停止服務，任何輪船都無法穿越，一直到影片製作的現在。

我從「維基百科」、「Google地圖」的觀察，我發現，「蘇伊士運河」本身存在著「單點故障、全體故障」的問題，也就是Single Point of Failure, SPOF。因為開鑿運河本身，就是一個極為昂貴的工程，我的重點不是在指出「蘇伊士運河」的設計規劃有問題。我只是藉由這個例子，來說明任何網路系統的設計，如果存在著「單點故障、全體故障」的服務停止缺陷，雖然發生的機會很小，只要機會不是零，我們就必須預先規劃好，如何降低發生的機率；或是當這個狀況發生的時候，所產生的代價，我們是否可以承受；還有，我們必須花費多久時間，才能修復回正常服務的狀態。

「蘇伊士運河」事件的摘要

我先將視野，站在「蘇伊士運河」業主本身。

我從報導得知，「蘇伊士運河」在2020年一整年的過路費收入，大約是56 億美元 (5.6 Billion USD)。我假設運河本身365日每天都營運，平均每一天的收入，大約是一千五百萬美元 (15 Million USD)，這個數字大約是超過新台幣四億元。因此每停止服務一天，過路費收入的損失就是一千五百萬美元。

到目前為止我的觀察，「蘇伊士運河」業主本身能夠做的手段，還沒有看到明顯的效果，包括使用拖船、挖開擱淺岸邊的砂土。目前已經尋求外部救援公司的協助。如果最後真的需要外部救援公司才能解決，我的估計，光是移動外部救援公司的機具到現場，可能就要好幾個星期，因此，這個阻塞問題需要更多的日子，才能夠解決。

光是過路費的收入，就是一筆好大好大的數字。

我將視野，拉回到網路系統。萬一我們的網路規劃，還存在著類似的「單點故障、全體故障」的SPOF問題，我提出下面幾個思考的切入點，來避免我的工作網路遇到，跟進行中的「蘇伊士運河」事故一樣糟糕的結果。

停止服務事件，發生的機率有多大？

雖然我沒有具體的統計數字，但是，經驗上告訴我，纜線、路由器、交換器、防火牆，任何可單獨安裝的硬體單位，一年內完全沒有任何故障的機率，幾乎是零。就算完全沒有故障，也只能算是運氣好。

我必須預期，一條纜線，一個路由器，一個交換器，一個防火牆，就在未來的一年內，一定會產生故障的事件。在這個情境下，來進行我的網路規劃。

因此即使發生單一硬體故障，也不會造成服務停止的冗餘設計(Redundancy)，非常重要。例如，多重冗餘路徑、多重冗餘硬體的加入，都能夠減少停止服務的機率。

即使最後因為不敷成本不採用冗餘設計，這些冗餘設計的選項，我也必須列入考慮清單中。未來如果條件改變，我可以快速知道，我還有哪一些備案可以選擇。

停止服務事件，發生後的代價有多大？

地點不同，代價也不相同。如果某個網路連線，只服務一個時間要求不高的使用者，例如，單一普通員工的座位電腦、小群組印表機，代價也許不明顯。

但是如果是主幹道上面的網路，停止服務後，損失一定很可觀。如果可能，將預期的損失用金錢來估算，這樣會比較有感覺，同時，這個數字也能夠幫助我評估，我能夠投入的合理預算，有多少。

停止服務事件，發生的時候，要花多久時間修復？

在網路系統距離不遠處，準備一些多餘的可能故障的備用品，例如網路線、光纖收發器(Transceiver)，甚至是交換器，都可以減少停止服務的時間。

尋求外部公司的協助，也是可行的選項。例如資訊系統另外付費的「保證四小時內到場維護」等級的硬體服務。

結論

前面三個切入點的問題，每個企業內的系統的情境、取捨，可能都不一樣。重點是，我都必須隨時準備好，我要如何去回答。

One more thing…

雖然我的視角只是網路系統，事實上，前面全部的檢視，也適用於任何的資訊系統。

回到「蘇伊士運河」。

誰能事先想得到，竟然會這麼剛好，擱淺意外，發生在「蘇伊士運河」單向、單通道的航道段，而且主角是總重量超過二十萬噸的、世界最大型的貨櫃船。

如果能回到過去，改成發生在雙通道航道段，或者是主角不是如此笨重的輪船，一切就不會演變成整個「蘇伊士運河」完全阻塞。

只要機率不是零，我都必須假設，這種事故真的會發生。我不能只靠運氣好。

我是洪李吉。我的網站是「Cisco學習資訊分享」。我們下次見！

IPv6協定在台灣用戶端連線數，超越IPv4

hongliji@gmail.com (Li-Ji Hong (洪李吉)) — Thu, 18 Feb 2021 23:50:00 +0800

我這幾天在「網路攻防戰」Facebook頁面看到文章「標題：台灣 IPv6 使用率已經超過 50%」，我順著找到了好多關於台灣IPv6發展現況的資訊。我這時候才驚覺到，原來在台灣，IPv6協定用戶端連線數，目前已經超越IPv4協定。

APNIC從「用戶端」完成的成功工作連線數，來做為量測依據。因此，並不是IP地址空間中的可能地址數，而是有真實意義的使用人數、人次。

台灣目前Internet上面的IPv6的使用連線數，已經超過台灣全部的IPv4連線數了。或者這樣看，假設您的用戶端只能支援IPv4，那麼您已經是屬於不到一半的少數了。

我整理出我的三個觀察，跟大家分享。


資料來源：https://stats.labs.apnic.net/ipv6/TW

行動電話上面的網路活動，IPv6遠高於IPv4

光從APNIC的圖表，我馬上注意到中華電信的數字。


資料來源：https://stats.labs.apnic.net/ipv6/TW

「IPv6 Capable」所指的是透過IPv6執行完畢完整的連線。

「IPv6 Preferred」所指的是，雙協定用戶端，最後選擇IPv6執行完畢完整的連線。

其中，EMOME代表的是中華電信來自於行動電話的樣本，HINET上面流量是來自於中華電信其他技術的使用者。APNIC量測到的數值來看，HINET上面的「IPv6 Capable」大約佔全部連線數的30%，但是EMOME行動電話IPv6 Capable竟然已經達到大約90%。因此可以看得出來，行動電話上面的IPv6普及性非常高。

行動電話應該是台灣IPv6使用者的主要成分

同樣依照中華電信的數字來計算，我將APNIC所取得的樣本數字乘以IPv6 Capable百分比，EMOME大致上的IPv6 Capable樣本數目，是HINET的兩倍(23,864 vs 11,885)。因此我推斷，行動電話是台灣IPv6使用者的主要成分。


資料來源：https://stats.labs.apnic.net/ipv6/TW

台灣屬於高度IPv6使用率的領先群

APNIC的量測數值，是浮動的，台灣目前的世界排名，大致上是第七名、第六名之間跳動。即使如此，台灣IPv6使用率，目前依然大幅領先全世界的很多國家。


資料來源：https://stats.labs.apnic.net/ipv6

結論

整體來看我相信，並不是IPv4使用人數大幅減少，而是因為IPv6使用人數大增。同時最近這幾年，行動電話的數量大幅增加，增加的速度遠超過PC、Notebook。因此我推測，新增加的行動電話用戶，幾乎都是IPv6 Capable，使用IPv6來連網。

我完全同意「網路攻防戰」Facebook頁面的建議：「還不熟悉 IPv6 的資訊/資安從業人員，要盡早補充相關知識了。」

One more thing…


資料來源：https://stats.labs.apnic.net/ipv6

簡單的來說，APNIC的量測方式，是透過HTTP/HTTPS連線數，也就是瀏覽器、App等所完成的樣本連線數來量測。我認為這是接近於真實的Internet行為。因為從一般的實務統計來看，HTTP/HTTPS已經超越90%以上的Internet流量。

另外，不只是APNIC在研究量測這個主題，好多商業公司、非營利組織，都同時使用不同的量測工具來估計IPv6的使用率。因此，我這裡所分享的APNIC來源，只是其中之一。

我稍作觀察，不論是來自哪一個發布的來源，台灣其實都屬於領先群。


資料來源：https://labs.ripe.net/Members/wilhelm/ipv6-adoption-statistics-a-comparison-of-different-metrics

台灣春天的山櫻花
台灣、桃園市、Feb. 5, 2021

我是洪李吉。我的網站是「Cisco學習資訊分享」。我們下次見！

有點讓我慚愧的，網路靈異事件

hongliji@gmail.com (Li-Ji Hong (洪李吉)) — Thu, 17 Dec 2020 11:51:00 +0800

今年2020年初，我用Windows 10筆記型電腦，接在別人的某電信業者的寬頻網路上網。網路盒上面其實同時開通著Wi-Fi，因為我人就坐在網路盒子旁邊，我依然使用有線網路連網。

我的電腦裡面，所安裝的軟體很單純，基本上只有瀏覽器，和Microsoft的Office軟體而已。我將乙太網路線，一插入網路盒的埠上面，甚至連PPPoE撥接、密碼等等，全部都不需要設定或輸入，Windows 10馬上就顯示，「網際網路存取」已經接通。接下來，不論是瀏覽器連接Google、YouTube、Facebook、Twitter等，收郵件、甚至是Windows Update，完全都沒有問題。於是，我沒有多想，就繼續將網路線接在這個網路盒，開開心心的上網去了。

直到，有同事請我幫他測試一個網站。

我覺得好奇怪，打開這個網站，瀏覽器居然發生逾時的錯誤，就連首頁畫面，都無法開啟。我跟同事都覺得好奇怪，剛才從其他的網路測試，明明都可以連接上去，為何現在會連首頁都打不開？

因為我連接其他的網路服務，全部都沒有問題，只有這個「待測網站」，就連首頁都打不開。我第一個先懷疑的，應該是這個網站伺服器自己的問題。

靈異事件，即將開始

我乾脆將網路線拔掉，改用同一個網路盒的Wi-Fi 服務連網，反正我也知道密碼。輸入完成密碼之後，Wi-Fi接通，所有的網際網路服務，當然都還是可以正常工作。

於是我再重新測試一次，這個「待測網站」。

「待測網站」的首頁，這次，竟然可以打開！

這怎麼可能？？！！

我都是通過完全相同的網路盒連接，只不過，透過有線網路，「待測網站」首頁打不開，透過無線網路，竟然可以打開！

難道是，有防火牆安插在網路盒上嗎？我仔細想想，這個網路盒應該是超級低成本的，不太可能。

難道是，被電信業者封鎖住我的IP地址了嗎？我能夠完全正常使用其他的網站，這點也不成立。

難道是，我的Windows 10電腦，錯誤的將這個網站當成惡意網站，給封鎖住了嗎？我明明使用完全相同的Windows 10電腦連接，怎麼可能有線網路就封鎖，Wi-Fi反而接通？

完全沒有任何科學理論，可以合理解釋，正發生在我眼前的這個，十分詭異的靈異現象！

我被這個靈異現象，嚇出了一身冷汗，就這樣持續了五百個毫秒。

我只剩下最後一招了，於是，我只能打開Windows 10命令列視窗。準備執行「ipconfig /all」命令。

當閃動的游標停在「all」的「L」字母後面，我開始遲疑了，我到底應不應該，接著按下Enter按鍵？？

再經過五百個毫秒的遲疑之後，我總算下定決心，將Enter鍵按下去。

於是，我得到了這個類似的畫面(事後模擬)。

乙太網路卡乙太網路:

連線特定 DNS 尾碼 . . . . . . . . :

描述 …

IPv6 位址. . . . . . . . . . . . .: 2001:b011:0000:0000:0000:0000:0000:0000(偏好選項)

臨時 IPv6 位址. . . . . . . . . . : 2001:b011:0000:0000:0000:0000:0000:0000(偏好選項)

連結-本機 IPv6 位址 . . . . . . . : fe80::0000:0000:0000:0000%2(偏好選項)

IPv4 位址 . . . . . . . . . . . . : 169.254.1.2

子網路遮罩 . . . . . . . . . . . .: 255.255.0.0

…

原來如此，我之前一直能夠成功連網，是因為，網路盒所提供的IP地址，其實一直都只有IPv6地址。

Google、YouTube、Facebook、Twitter，全部都是 IPv6 Ready的網路服務。

「待測網站」因為還在開發，伺服器上面只有IPv4地址。

電信業者的網路盒上的Wi-Fi功能，因為提供了標準的IPv4 NAT 地址轉譯(用Cisco的術語，應該稱為PAT)，還有DHCP功能，可以自動配發IPv4私有地址。

簡單的說，我連接在有線網路上面的時候，所使用的是IPv6網路，因此可以正常連線網際網路，但是不能連接「待測網站」。

我連接在Wi-Fi的時候，所使用的是IPv4網路，在NAT後面，因此，可以連接所有的網站，也包含「待測網站」。

所有的謎團，所有的靈異現象，全部都解開了！

我之所以會嚇出一身冷汗，是因為，我完全沒有預期到，我竟然可以透過電信業的網路盒，直接使用IPv6連網。而且，完全分辨不出來，我到底是在IPv6網路，還是IPv4網路上面。

我覺得有點慚愧。因為，身為網際網路工作者，我竟然忘了想起IPv6的存在。

One more thing…

只可惜，當時我沒有將畫面擷取下來。之後我回到相同的網路，想要將畫面重新擷取，卻發現，電信業者已經將IPv6功能關閉了。我拿自己家裡的相同電信業者的寬頻網路盒來測試，也不能取得IPv6地址。電信業者並沒有在網站上公開這個功能，看起來，只是我運氣好(或者說，運氣不好)，剛好遇到測試中的網路功能。

不過，我也歡迎大家在下方的留言區，分享您所遇到過的「靈異現象」！我們可以一起來找找，問題可能出現在哪裡。

我記錄這一個故事，其實還有一個目的。

正因為在Windows 10上面使用IPv6網路技術，原來會讓人完全察覺不出來，到底我們人是連接在IPv6網路，還是在IPv4上面。因此，未來我如果提到，「Internet」、「Internet Protocol」、「IP」、「網際網路」，只要我沒有特別說明，我將調整我的習慣，我所指的，就是IPv6。

如果是跟舊的技術有關，我才會單獨指出，是IPv4。

「IP」我所指的，就是預設的、IPv6。

「IPv4」我所指的，就是舊的網際網路技術。

我是洪李吉。我的網站是「Cisco學習資訊分享」。我們下次見！

設定連接IPv6網路，沒有想像中那麼困難

hongliji@gmail.com (Li-Ji Hong (洪李吉)) — Tue, 15 Dec 2020 18:38:00 +0800

很多網管工作的朋友，不能立刻接受IPv6網路技術的原因，我的觀察，是因為感覺到IPv6技術好複雜。我設計了這個簡易的網路架構圖，來說明，感覺不一定完全正確，IPv6其實可以遠比IPv4容易設定。

在這個架構圖裡面，一共只有4套路由器，8個網段。其中路由器、路由器之間，一共只有6個網段，再加上用戶端、伺服器端各一個網段。只有這樣，就這麼簡單的拓樸。

假設給定的需求只有「連接用戶端、伺服器」，不限定第三層的協定，使用IPv4或者是IPv6。我們分別完成它們的設定，然後來做兩者之間的比較。

IPv4設定連接

傳統的IPv4設定的流程，我們必須先分配IPv4地址。地址決定好之後，我們再到路由器上面，設定IP地址還有路由協定。

我們會發現，大部分時間，竟然是花費在IPv4地址的計算，而不是路由器的設定。

下面我只列出R1的設定。

hostname R1

interface Loopback0

ip address 10.0.0.1 255.255.255.255

interface Ethernet1/0

description To R2

ip address 10.0.12.1 255.255.255.0

interface Ethernet1/1

description To R3

ip address 10.0.13.1 255.255.255.0

interface Ethernet1/2

description To R4

ip address 10.0.14.1 255.255.255.0

interface Ethernet2/0

description To Client

ip address 10.1.0.1 255.255.255.0

router ospf 1

network 10.0.0.0 0.255.255.255 area 1

end

下面是IPv4路由表。

R1>show ip route

...

C 10.1.0.0/24 is directly connected, Ethernet2/0

L 10.1.0.1/32 is directly connected, Ethernet2/0

O 10.2.0.0/24 [110/20] via 10.0.13.3, 00:01:24, Ethernet1/1

...

R2>show ip route

...

O 10.1.0.0/24 [110/20] via 10.0.12.1, 00:05:11, Ethernet1/0

O 10.2.0.0/24 [110/20] via 10.0.23.3, 00:02:37, Ethernet1/1

R3>show ip route

O 10.1.0.0/24 [110/20] via 10.0.13.1, 00:02:48, Ethernet1/0

C 10.2.0.0/24 is directly connected, Ethernet2/0

L 10.2.0.3/32 is directly connected, Ethernet2/0

...

R4>show ip route

...

O 10.1.0.0/24 [110/20] via 10.0.14.1, 00:05:59, Ethernet1/0

O 10.2.0.0/24 [110/20] via 10.0.34.3, 00:03:32, Ethernet1/2

R4>

IPv6設定連接

IPv6的設定流程，我們並不需要設定路由器、路由器之間的地址，因為，IPv6原本就會自動產生「鍊路內本地地址」(Link Local)，更棒的是，大部分的路由協定，只需要「鍊路內本地地址」，就已經可以正常工作了。

下面我只列出R1的設定。

hostname R1

ipv6 unicast-routing

interface Loopback0

ipv6 address FDE0:0:0:1::1/64

ipv6 ospf 1 area 1

interface Ethernet1/0

description To R2

ipv6 enable

ipv6 ospf 1 area 1

interface Ethernet1/1

description To R3

ipv6 enable

ipv6 ospf 1 area 1

interface Ethernet1/2

description To R4

ipv6 enable

ipv6 ospf 1 area 1

interface Ethernet2/0

description To Client

ipv6 address FDE0:0:0:100::1/64

ipv6 ospf 1 area 1

ipv6 router ospf 1

end

下面是IPv6路由表。

R1>show ipv6 route

IPv6 Routing Table - default - 9 entries

Codes: C - Connected, L - Local, S - Static, U - Per-user Static route

B - BGP, R - RIP, H - NHRP, I1 - ISIS L1

I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary, D - EIGRP

EX - EIGRP external, ND - ND Default, NDp - ND Prefix, DCE - Destination

NDr - Redirect, O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1

OE2 - OSPF ext 2, ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2, l - LISP

...

C FDE0:0:0:100::/64 [0/0]

via Ethernet2/0, directly connected

L FDE0:0:0:100::1/128 [0/0]

via Ethernet2/0, receive

O FDE0:0:0:200::/64 [110/20]

via FE80::C803:72FF:FE33:1C, Ethernet1/1

...

R1>

R2>show ipv6 route

...

O FDE0:0:0:100::/64 [110/20]

via FE80::C801:78FF:FE7F:1C, Ethernet1/0

O FDE0:0:0:200::/64 [110/20]

via FE80::C803:72FF:FE33:1D, Ethernet1/1

...

R2>

R3>show ipv6 route

...

O FDE0:0:0:100::/64 [110/20]

via FE80::C801:78FF:FE7F:1D, Ethernet1/0

C FDE0:0:0:200::/64 [0/0]

via Ethernet2/0, directly connected

L FDE0:0:0:200::3/128 [0/0]

via Ethernet2/0, receive

...

R3>

R4>show ipv6 route

...

O FDE0:0:0:100::/64 [110/20]

via FE80::C801:78FF:FE7F:1E, Ethernet1/0

O FDE0:0:0:200::/64 [110/20]

via FE80::C803:72FF:FE33:1E, Ethernet1/2

...

R4>

為什麼

為什麼有這麼大的差異？IPv4主要的問題，是在於沒有自動產生「鍊路內本地地址」的功能。因此，所有的路由器、路由器之間的網段，全部都需要手動檢查設定IP地址。除了手動設定這些地址之外，IPv4地址更需要手動詳細檢查，一一確認，子網段的分割、遮罩長度的定義、十進位二進位轉換計算、網段內地址是否相符…等等等。

光是地址分配，再加上檢驗的步驟，將會比全部的路由器命令輸入設定，都還要更花時間。而且計算過程，讓人非常痛苦。最糟糕的是，非常、非常容易出錯。

結論

您管理IPv4時所遇到的痛苦，在新的IPv6世界裡面，很多都已經自動消失了。希望這個資訊，讓您更有動力，將網路協定改成IPv6。

One more thing…

不設定路由器、路由器之間的IPv6單播路由地址，的確也有缺點。假設我們習慣於使用 PING、TRACEROUTE工具，來確認，某路由器的指定鍊結是否正常工作，這個老習慣就不能工作了。

我建議別再使用以上的老習慣。改從路由協定本身，確認鄰居的狀態的同時，也確認鍊路的工作狀態。例如OSPF鄰居、EIGRP鄰居。只要鄰居的狀態是維持住的，代表著鍊路狀態也是正常工作的。

我是洪李吉。我的網站是「Cisco學習資訊分享」。我們下次見！

全球IPv6 BGP路由表，總數突破十萬筆 (100K)

hongliji@gmail.com (Li-Ji Hong (洪李吉)) — Tue, 1 Dec 2020 14:11:00 +0800

今年2020年11月初，我開始注意到全球IPv6的BGP路由表，突破了十萬筆，也就是100K筆。雖然中間有幾天又彈回十萬筆以下，不過，這一週左右以來倒是穩定的突破了100K。

這是一個有趣的里程碑，代表著，IPv6的使用者人數、電信業者、企業，都越來越多，數量上已經來到一定的規模了。我記錄下這個里程碑，順便分享兩個我的觀察。

IPv6 BGP筆數會上上下下浮動

資料來源：https://twitter.com/bgp6_table/status/1330964625127583744/photo/1

Internet是一個分散式管理的網路，每一家組織、電信業者、企業，彼此之間並沒有直接的管理強制性。因此當需要的時候，電信業者、企業可能會各自自主的、動態的新增路由資訊、或者移除路由資訊。

例如，將沒有用到的合法網段，從BGP設定中移除，因此，全球的BGP筆數可能會減少。

例如，為了流量負載分散，可能需要將一個大網段分割成多筆的小網段路由資訊，分別送給不同的鄰接公司或是不同線路，因此，全球的BGP筆數可能動態增加或減少。

當然，正常的網路擴充增加網段，或者是公司解散繳回網段，或者設定錯誤，都可能造成筆數浮動的結果。

資料來源：IPv6 CIDR Report for 30 Nov 20

IPv6 BGP筆數的預測，相當準確

APNIC或是RIPE的預測網頁，都指出，大約會在2020下半年，突破100K。我個人認為這些推估都相當準確。

資料來源：APNIC, "BGP in 2019 - The BGP Table"

資料來源：RIPE, "BGP in 2016"

IPv6 BGP筆數成長的比例，比IPv4高

去年2019年大約十月，IPv6 BGP筆數來到80K左右，經過一年的時間，目前成長到了100K，也就是，成長率大約是25% (=20/80)。

相同的時間，去年2019年大約十月，IPv4 BGP筆數來到80萬筆(800K)左右，經過一年左右的時間，目前成長到了大約85萬筆(850K)，也就是，成長率大約是6.25% (=5/80)。

因此IPv6 BGP筆數成長的比例，比IPv4高，而且，高很多。

One more thing…

有關IPv6 BGP需要佔用路由器的記憶體空間估計，我找不到IPv6第一手的記憶體使用量的樣本，我用之前「IPv4 BGP每十萬筆需要大約80 Megabytes」來估算。

因為IPv6單一個地址，是IPv4的四倍長，我粗略的估計，大約記憶體的使用量應該不會超過四倍，也就是「IPv6每十萬筆需要大約不超過320 Megabytes。」

我的估計，跟您的觀察有多大的誤差呢？歡迎大家一起在下方留言指正了！

高雄港出口，從「打狗英國領事館文化園區山上官邸」俯瞰
台灣、高雄市

我是洪李吉。我的網站是「Cisco學習資訊分享」。我們下次見！

好的東西儘量放分公司，爛的放總公司

hongliji@gmail.com (Li-Ji Hong (洪李吉)) — Sun, 27 Sep 2020 17:21:00 +0800

【好的東西儘量放分公司，爛的放總公司】

我曾經在某家公司工作。當時我在總公司，管理全公司整個集團的IP網路。因為每年的預算有限，籌備年度軟、硬體升級的時候，我經常必須抉擇，到底應該先升級「分公司」的路由器交換器，還是「總公司」的。

和一般人直覺相反，我也沒有詳細和其他人討論分享，我自己心裡面的取捨，其實是「好的東西儘量放分公司，爛的放總公司」。為什麼？我來聊一聊我的這個內心原則。

分公司的人力、技術資源比較有限

第一，「分公司」的人力數量，技術支援熟練度，通常都比「總公司」的團隊更有限制。

分公司的資訊技術支援，在我的觀察，一般都遠不及總公司。光是從人力來看，在總公司，通常會有專業分工的技術團隊，例如，專門有一群人做伺服器的任務、另外一群Windows作業系統，或者是還有一群人做網路。每個領域都有專門的團隊，分工執行。但是在分公司，通常都沒有這麼多的資訊人力。

少數的幾個員工，當他們在值班的時候，可能同時必須負責處理伺服器，又要同時處理Windows作業系統，還要處理網路的問題。如果我們給他們比較糟糕，問題很多的的路由器、交換器的話，當遇到問題的時候，他們不一定能夠像總公司專門的技術團隊能夠熟練的處理，時間上也不允許他們，花太多的力氣去判斷，光是「網路」這個技術領域，到底發生什麼狀況，只因為一個員工，同時要負責好多系統或任務。

還有技術文件，或是教育訓練的資源，「分公司」普遍來說都比較欠缺。

深入的技術問題，我寧可盡量控制在「總公司」內發生，專業團隊可以就近直接處理。別讓這些複雜的技術問題，發生在「分公司」裡面。

只要「分公司」的人沒辦法當地就近處理，接下來就是要「總公司」自己的團隊下去處理。如果經常需要「總公司」的團隊派人去處理，馬上我們就必須面對的二個問題。

分公司的距離好遠，交通的時間和金錢花費都很高

第二，「分公司」的距離好遠，來回交通的時間和金錢，花費都很高。

距離越遠，交通的時間和金錢花費就會越高。這是直接的結果。

緊急狀況的時候，「總公司」的人即使願意花費交通的時間跟金錢，到現場去處理，有的時候也是趕不上時效性、達不到時間的目標，「緩不濟急」。例如網路斷線的狀況，只要故障沒有排除，好多系統會立刻停止工作。

另外，「總公司」的員工，通常還有很多任務要去處理，不論是「年度」的、「季度」的申請流程、報表、安全稽核等等，全部都必須由「總公司」的員工處理。如果你把有限的時間都花在交通上，其實也是很不划算的。

另外，我自己當時工作的時候，我沒有太多的時間去加班，我也不太願意加班，我也必須保留時間給我的家人。我盡量減少不必要的差旅交通。

只要我能夠遠端處理，我盡量只透過遠端處理。

盡量減少不必要的「總公司」往來「分公司」的之間的交通時間跟花費，我不只是可以幫公司省錢，我也不需要經常加班，因為我在正常辦公時間我就可以把所有的事情處理好。不會將時間浪費在交通和旅行上面。

障礙現場當地就能直接處理的問題，盡量能夠在當地直接解決。

萬一障礙還是不能解決的時候，我們只剩下一個選擇：請廠商協助。

新的產品比較容易取得廠商的技術支援

第三，新的產品新的軟體硬體系統等等，通常比較容易取得廠商的技術支援。我相信這一個觀察點，也許注意到的朋友會比較少。

以網路硬體為例子，一套路由器或是交換器，假設已經是超過10年以上的老產品，備用的零件通常比較缺乏、昂貴、而且不齊全，即使廠商願意幫你提供支援服務。

比較新的，或者說是不要太老舊的產品，廠商的技術服務人員，也會得到比較多的教育訓練資源。

廠商比較願意支援新的產品，也比較有能力支援新的產品，通常也代表著，我們可以用比較有經濟效益的價格，來取得相同的支援服務內容。

太老舊產品，我就不會放在「分公司」。我那時候能夠做的是，舊的產品留在「總公司」使用，堪用的繼續用，能不更新就不急著更新。也就是說「分公司」全部都更新完了，最後我才會開始更新「總公司」的軟硬體系統。

結論

這個取捨的原則，減少了我很多非必要的出差時間。幫我節省了非常多的力氣，我也不太需要經常加班，同時，我也幫公司節省了很多金錢，一舉數得。

One more thing...

其實還有一個關鍵的核心功能需求，就是「所有分公司的系統，必須能夠只透過網路，遠端就可以管理」。

所有的描述或假設，我的出發點都是，「分公司」軟硬體系統最低的要求，就是我一定要能夠從遠端去管理。

這些放在分公司的路由器、交換器，我其實從總公司，都可以透過IP網路來監看。異常日誌、存儲空間用完、電源、風扇模組故障、等等，我在總公司我其實都可以觀察得到。即使問題即將發生，我通常會提早察覺預測得出來。

國泰金融大樓
台灣、台中市

我是洪李吉。我的網站是「Cisco學習資訊分享」。我們下次見！

WEP並不安全

hongliji@gmail.com (Li-Ji Hong (洪李吉)) — Mon, 27 Jul 2020 17:20:00 +0800

首先我要澄清，製作這個影片，我並不想要教大家，去破解別人的Wi-Fi網路。我只是要證明，WEP這個方法並不足以保護Wi-Fi網路。

第一步：準備動作，找到WEP目標

因為後續的WEP工具，需要告知它去破解哪一個以WEP 保護的Wi-Fi網路，因此，我們需要找到這個被攻擊網路的頻道號碼、還有BSSID，也就是基站的MAC地址。

我使用 airodump-ng 來掃描，命令是：

sudo airodump-ng wlan0 –encrypt wep

這裡我們找到了，所要被攻擊的目標，它的BSSID，頻道，還有SSID名稱。確定這是我原本準備好的標靶。

第二步：使用主要破解工具 besside-ng

我使用 besside-ng，命令是：

sudo besside-ng wlan0 -c -b

開源工具besside-ng的工作原理，大致上來說，是自動注入一些數據楨，強迫目標回應，然後擷取數據楨的內容，來找到足夠分析的IV值。

這個工具和步驟，所花的時間是最多的，時間長短的變動也最大，因此，需要耐心等待結果。

這次的錄影，我到了將近十萬個IV值，才完成WEP破解，花了將近半小時的時間；我印象中曾經只要兩萬多個IV，不到十分鐘，就破解了。

第二步完成的時候，WEP的金鑰已經被破解，也就是說，之後擷取到的Wi-Fi數據楨，都可以被軟體解密了。

假設我的終極目標，是要找出 WEP登入密碼，我還需要第三個步驟。

第三步：找到WEP登入密碼

這裡我使用 aircrack-ng 來反解。命令是：

sudo aircrack-ng wep.cap

其中的wep.cap檔案，是第二步驟 besside-ng所自動擷取存檔的WEP數據楨內容。因此，這個步驟，其實可以離線進行。

總結來說，假設您還在使用WEP來保護Wi-Fi網路，任何段數的駭客，花個幾十分鐘，就可以進到您的網路。WEP真的很不安全！

One more thing…

我發現，即使是家用型的Wi-Fi網路產品，幾乎預設都已經不再使用WEP來保護了。大家不需要看完我的影片，就開始感到恐慌。

就算是不小心連接到使用WEP保護的Wi-Fi網路，Windows 10也會自動警告，這個Wi-Fi網路並不安全。

Wi-Fi網路，也就是IEEE 802.11的網路，還是一種方便取得的無線通訊技術，讓企業能夠完全掌握，而且足夠安全。我們不一定非得要在企業內部架設或提供Wi-Fi網路服務，但是，我們一定要有足夠的能力，來監視企業場地內的Wi-Fi通訊活動。

白沙尾觀光港
台灣屏東縣、小琉球

我是洪李吉。我的網站是「Cisco學習資訊分享」。我們下次見！

Cisco MDS Zoning 基礎模式、CFS、和加強模式

hongliji@gmail.com (Li-Ji Hong (洪李吉)) — Sun, 3 May 2020 01:17:00 +0800

【Cisco MDS Zoning 基礎模式、CFS、和加強模式】

Cisco MDS 9000 Family (截圖自Cisco.com官網)

Fibre-Channel是存儲網路(Storage Area Network, SAN)領域中最常被使用的協定。Cisco也有存儲網路的交換器產品：Cisco MDS系列。Fibre-Channel 協定(後面我用FC來代替) 的安全管制機制稱為分區(Zoning, 將Zone變成動詞)。我們來討論，在Cisco MDS產品上，幫助FC Zoning設定的三種工具：基礎模式(Basic Zoning)、Cisco Fabric Service (CFS)、加強模式(Enhanced Zoning)。

為了方便理解，我這裡另外錄製了一段展示影片，可以跟這篇文章一起研讀。

我們先將三套MDS乾淨的VSAN建立好。展示的畫面中我使用VSAN 4。

Basic Zoning，基礎模式

Cisco MDS當VSAN剛建立完成的時候所預設的Zoning, 稱為 Basic Zoning。Basic Zoning是Fibre Channel的標準協定，可以跨廠牌支援。我們來觀察，在Cisco MDS上面的Zoning資訊傳遞行為。

我們先創建Zone Set“set4A”和“set4B”。

當我們創建Zone Set，但是尚未啟用(Activate)之前，所有的MDS都不會收到任何的Zoning資訊。

接下來我們執行“zoneset activate name set4A vsan 4”。這個命令，除了將會在本地的MDS，將Zoning的設定以set4A啟用之外，還會透過Fibre Channel底層的協定，將啟用過的Zoning設定，複製同時啟用，到所有的MDS上面。

我們透過“show zoneset active vsan 4”命令來檢查所有的MDS，啟用中的Zone Set。

我們可以觀察到，所有的MDS，都是“set4A”被啟用。

任何時間，我們只能有一份的Zone Set是啟用中。通常，我們在MDS上面，不只是保存啟用中的Zone Set，我們經常會面對不同場景的，保留好幾份的Zone Set，輪流按照需要啟用。這些定義過，無論是否被啟用的Zone Set，全部合起來稱為 Full Zone Set。

我們可以透過 “show zoneset vsan 4”命令來檢查，所有MDS上面的Full Zone Set。然而，因為Basic Zoning所傳遞的資訊，並不包含Full Zone Set，因此除了我們有設定過的這套MDS之外，其他的MDS完全看不到Full Zone Set。

Cisco Fabric Service, CFS

在Basic Zoning工作模式之下，我們無法透過標準的Fibre Channel協定來傳遞 Full Zone Set。我們只能透過，Cisco私有的協定Cisco Fabric Service(後面簡稱為CFS)，來傳遞 Full Zone Set。

CFS協定預設已經開啟。但是，我們必須手動要求CFS傳送Full Zone Set。我們利用 “zoneset distribute vsan 4” 來立刻傳遞 Full Zone Set。

CFS的限制是，除非我們手動下達“zoneset distribute vsan 4”，否則，CFS不會自動將更動過的Full Zone Set的內容，同步複製到所有的MDS。

我們可以編輯加入一組新的Zone Set “set4C”，然後再次透過 “show zoneset vsan 4”來確認，包含“set4C”的Full Zone Set並沒有自動被傳送出去。

Enhanced Zoning，加強模式

如果我們希望Full Zone Set會自動同步到所有的MDS，同時，在編輯Zone Set的時候，MDS幫我們做編輯鎖定，只有一位管理者可以做Zone Set編輯，避免Basic Zoning所可能產生的內容相互覆蓋的風險，我們需要改良過的Enhanced Zoning。

要開啟Enhanced Zoning模式，我們只需要挑選一套MDS，下達“zone mode enhanced vsan 4”即可。這個開啟的結果，會自動傳遞生效到所有的MDS。

我們可以透過“show zone status vsan 4”命令，來確認所有的MDS已經變更成Enhanced Zoning。

開啟Enhanced Zoning模式的同時，原本新增的 Zone Set “set4C”，自動會傳遞到所有的MDS。我們可以再次透過“show zoneset vsan 4”命令確認。

Enhanced Zoning之下，Zone Set的編輯和啟用

我們再次加入“set4D”，我們依然可以驗證，包含“set4D”的Full Zone Set會被自動同步到所有的MDS。

首先我們會注意到，在Enhanced Zoning工作模式之下，任何MDS上面的Zone Set編輯，都會鎖定所有MDS的編輯功能。

直到我們下達生效解鎖的Commit命令“zoneset commit vsan 4”。這個命令執行完成後，我們可以再次透過“show zoneset vsan 4”確認，同步成功。

假設因為需要，我們必須啟用“set4D”，我們可以到任何的一套MDS，下達“zoneset activate name set4D vsan 4”。

最後我們使用“show zoneset active vsan 4”來確認，的確啟用中的Zone Set，已經正確變成 “set4D”。

加強模式Enhanced Zoning同時提供了基礎模式的啟用功能和CFS的同步完整Zoning設定的服務內容，再加上編輯鎖定、自動同步，是更佳的工作模式。全新的SAN安裝，應該直接設定成Enhanced Zoning。

One more thing…

FC協定是存儲網路協定，雖然不是TCP/IP的通訊封包協定，但是因為有相似的特性，只要願意多花一些時間，TCP/IP的工作者也可以快速熟練SAN協定。最棒的是，Cisco在SAN或是TCP/IP都有硬體，MDS的命令集基本上就是NX-OS環境，因此轉換上不存在太多的障礙。

「東方寺」和盛開的櫻花
台北市士林區

我是洪李吉。我的網站是「Cisco學習資訊分享」。我們下次見！

如何知道，我正在使用IPv6？

hongliji@gmail.com (Li-Ji Hong (洪李吉)) — Wed, 27 Nov 2019 19:12:00 +0800

最近不少人在討論「全球 43 億個 IPv4 地址今日正式耗盡」，例如這一篇。我相信起因，是因為RIPE的Nikolas Pediaditis幾天前的一封公開Email，宣布RIPE NCC的IPv4地址，已經全部發放完畢。

https://www.ripe.net/ripe/mail/archives/ncc-announce/2019-November/001380.html

Dear colleagues,

Today, at 15:35 UTC+1 on 25 November 2019, we made our final /22 IPv4 allocation from the last remaining addresses in our available pool. We have now run out of IPv4 addresses. .....

五個「區域網際網路註冊中心」

原本IPv4地址的發放，由IANA統一控管，再下發給全球五個「區域網際網路註冊中心」 (Regional Internet Registry, RIR)。各區域內的電信、服務業者、企業、組織等等，如果需要IP地址，就自行跟「區域網際網路註冊中心」申請。

Wikipedia: Regional Internet Registries world map.
Rir.gif: Dork BlankMap-World6,_compact.svg: Canuckguy et al. derivative work: Sémhur (talk) - Rir.gif BlankMap-World6,_compact.svg

目前全球一共分成五個「區域網際網路註冊中心」：

(區域Regional所指的是全球來看，好幾個國家的區域。)

AfriNIC：大致上是非洲
APNIC：大致上是亞洲、太平洋區域
ARIN：大致上是北美洲，其實只有美國和加拿大。
LACNIC：剩下的美洲，大致上是拉丁美洲、中、南美洲。
RIPE NCC：大致上是歐洲、中東、俄羅斯

所以，RIPE NCC用完IPv4地址，並不代表”全球”的所有區域全部都用完。事實上，我剛才查到，AfriNIC，今天 (Nov 27, 2019) 的確還沒有用完。

http://www.potaroo.net/tools/ipv4/網站的 Nov. 27, 2019 快照

為什麼我現在跟電信業者申請新的網路，我還是可以取得IPv4地址可以使用呢？

電信業者都會有庫存的IPv4地址。電信業者跟「區域網際網路註冊中心」申請地址的時候，一定會考慮到預留未來可能增加的客戶數，批次申請。因此，一定還有庫存可以使用。

電信業者依然可以分配客戶使用的IPv4地址，這個事實，跟「區域網際網路註冊中心」的IPv4地址已經用完了的事實，兩者並不衝突。

「區域網際網路註冊中心」IPv4地址用完了，最著急的不是使用網路的各位，而是電信業者，或者是需要專用IPv4地址的大型企業。因為他們必須跟「區域網際網路註冊中心」申請IPv4地址，而「區域網際網路註冊中心」的確已經用完了，因此他們目前都只能排隊，等待奇蹟的出現，或者是，必須改用IPv6地址。

我想告訴大家的是，別擔心，您很可能已經天天都連接在IPv6網路上，而且使用好一陣子了。我今天來分享，我如何知道我已經連接在IPv6網路上面。

工具一：Google IPv6 Test

https://ipv6test.google.com/

Google的這個網站不會告訴您太細節的資訊。他只會說，您的環境使用IPv6沒有問題。即使您現在沒有連接在IPv6網路上面，只要可以打開Google，您就會知道您的環境能不能在只有IPv6的新世界中使用。

我的PC沒有連接在IPv6，但是依然可以檢測IPv6支援。(Chrome, Windows 10)

工具二：“test-ipv6.com” 網站

https://test-ipv6.com

這個網站會告知您的電腦目前所使用的IPv6地址，還有您目前所連接的網路環境，是否支援IPv6。

範例：沒有連接到IPv6 (Chrome, Windows 10)

範例：連接到IPv6。連接IPv6成功，會多出一個TAB「Other IPv6 Sites」。(Chrome, Windows 10)

令我比較意外的是，我手邊的 iPhone手機、Android手機，也已經是IPv6使用中，更精準的描述是，IPv6/IPv4 Dual Stack雙協議。我的電信業者是中華電信。

iPhone (iPhone SE, Safari) 成功連接 IPv6 的畫面

Android (Samsung S8, Stock Browser) 成功連接 IPv6 的畫面

所以我才說，您很可能已經天天都連接在IPv6網路上，而且使用好一陣子了！所以，您完全不需要擔心，IPv4地址用完的問題。

我目前還沒有機會，分別拿各家電信業者的行動網路，都來測試看看，結果如何。如果您看了這篇文章，是否可以在下方留言，跟我分享，您使用不同電信業者的結果如何呢？

One more thing…

IPv4地址即將用完，已經不算是什麼新鮮的新聞了。事實上，我判斷也不太可能有這麼一天，IPv4地址「百分之百」的全部乾淨的被用完。這是因為，「區域網際網路註冊中心」，或者是電信業者的內部，持續的都在做IPv4地址回收的工作。就算今天真的都用完了，改天也有可能因為回收，又多出一段IPv4地址，可以讓「區域網際網路註冊中心」再分配。

因此，大家也不需要覺得意外，即使最近每年都在討論IPv4地址已經用完，可是怎麼IPv4地址好像一直都沒有真正用完的一天。

有些公司或組織倒閉了、消失了，之前分配給這些公司的地址，當然可以回收使用。

有些公司或組織當年分配到A等級地址，後來發現，其實用不了這麼多，當然也可以繳回回收。例如美國的史丹佛大學自發性的在2000年繳回36.0.0.0/8。

我是洪李吉。我的網站是「Cisco學習資訊分享」。我們下次見！

什麼是「網際網路交換中心」Internet Exchange (IX)？

hongliji@gmail.com (Li-Ji Hong (洪李吉)) — Wed, 13 Nov 2019 17:51:00 +0800

我們普通的網際網路使用者，只需要將網路連接到網際網路服務業者(Internet Service Provider，ISP)，剩下的網際網路的連通工作，業者會在幕後幫我們完成。

但是站在網際網路服務業者的角度，業者不只是必須跟國際的ISP連接，在國內，也必須同時跟國內的其他業者ISP相連接。於是，我們需要一個額外的腳色，專門服務業者和業者之間的網路封包的連通和交換。這個額外的腳色，就是 Internet Exchange (IX)，我稱為「網際網路交換中心」。

我藉著下面假想的、台灣的例子，我們就可以理解網際網路交換中心，扮演什麼重要的功能。

假想情境：五家業者

首先，我先假設台灣國內有五家網際網路服務業者。這五家業者，各自租用連接到外國的國際線路，來讓各自的租用客戶，可以跟國際的Internet 相接通。

這樣已經可以讓網際網路開始工作了。但是，並不是很有效率。

我假設台灣國內某個熱門的購物網站，伺服器架設在業者一(ISP 1)。熱門購物網站的用戶端，肯定不只是業者一自己內部的租用客戶，一定也有不少的用戶，是來自於業者三、或者是業者五。

這時候問題來了。業者三租用客戶的封包，必須先跑到國外，才能再連回到業者一。反方向的流量，或者是業者五的用戶，也有完全相同的困擾。

在這個情境下，網路依然可以接通，只不過，所走的路徑並不是最短路徑，網路延遲時間會非常高。同時，出國的國際線路，單價很高，頻寬很貴，這並不是最經濟的網路連接方式。

可能方案一業者之間直拉國內線路

在這個假想的情境中，我假設業者一和業者三、業者五之間，願意投資直拉的線路。這時候，封包就可以改成走台灣國內的線路。國內的線路，跟國際的線路比較，相對的單價比較便宜，同時網路延遲時間也比較短。因此，流量最佳化的問題解決了。

下一個新的問題是，假設每一家業者，都有熱門的網站，都需要服務來自不同業者內的租用客戶，而且每一家業者之間，都願意投資直拉的線路。如果真的這樣拉線路，最後這個業者和業者之間的線路網，本身就會變得非常複雜。

我知道，很多讀者可能覺得，畫面中的拓樸只有10條線路，感覺起來不算很複雜。但是，當業者數目越來越多的時候，例如台灣國內有20家業者，這時候線路的數字，就來到了190條 (20X19/2) 了！

永久方案：網際網路交換中心

我們需要一個獨立的腳色，也就是本文的主角「網際網路交換中心」(Internet Exchange, IX)。

只要「網際網路交換中心」存在，業者和業者兩兩之間，不再需要拉直通的台灣國內線路了。每家業者，只需要分別拉通往「網際網路交換中心」的直拉線路，就可以同時達成，封包在比較近比較便宜的國內線路交換，而且線路網本身，又不會太複雜。

可能會有朋友擔心，單點故障全體故障 (Single Point of Failure, SPOF)的疑慮。事實上，網際網路交換中心的腳色，可以同時存在超過一個，對於網際網路業者來說，只要同時連接到超過一個的網際網路交換中心，問題就得到解決。

因為「網際網路交換中心」所連接的對象，都是網際網路服務業者，因此也有文件稱呼，網際網路交換中心就是ISP之間的Service Provider。

One more thing…

「網際網路交換中心」(Internet Exchange, IX)，從前面的討論來看，的確扮演著「國內流量」的交換匯聚腳色，假設「網際網路交換中心」的管理上出現問題，被駭客植入監視系統，肯定所有業者下面的租用戶流量，都可能被駭客監看。

我個人的看法是，封包只要在網際網路上流動，內容被第三者監看，是很自然的結果。只要我們的封包，在送出我們自己的電腦之前，都已經得到加密、電子簽章的保護，例如IPSec、VPN、SSH、SSL/TLS等，一般的用戶，其實不需要特別擔心。

還有，網際網路交換中心，在國內也不會只有一個。只要別同時被駭客控制，就沒有完全斷網的可能。即便在最差的狀況下，失去了所有的網際網路交換中心，業者依然可以透過昂貴的國際Internet來接通。

我想說的是，保護好「網際網路交換中心」的確很重要，但是，也別恐慌於即將失去其中的一個。

我是洪李吉。我的網站是「Cisco學習資訊分享」。我們下次見！

「林蔭大道」
香港中文大學

全球的BGP IPv4路由表突破800K

hongliji@gmail.com (Li-Ji Hong (洪李吉)) — Wed, 6 Nov 2019 17:58:00 +0800

這一週，全球的BGP IPv4路由表，已經來到八十萬筆。不需要擔心，這只是一個時間上的里程碑。

我依然記得，在2001年，我幫客戶安裝了一套BGP路由器。這套路由器的型號是Cisco 3660，其實只有256 Megabytes的DRAM記憶體。當年的美好時光，全球的BGP路由表只有不到十五萬筆而已。雖然今天看起來256 Megabytes很小，當年依然跑得動。

隨著DRAM記憶體的價格下降，路由器硬體支援的DRAM記憶體容量越來越大。即使只安裝出廠預設的DRAM，不需要特別增加DRAM，BGP管理者也不容易買錯DRAM不足的路由器硬體。

我之前曾經寫過另外一篇文章，每十萬筆的單一鄰接的BGP資訊庫，大約需要80 Megabytes大小的DRAM記憶體。

Cisco學習資訊分享：BGP 記憶體需求估計

換句話說，如果要存放今天全球BGP八十萬筆的資訊庫，我們大約也只需要保留每個鄰接800 Megabytes，也就是0.8 Gigabytes的DRAM，給BGP協定來使用就夠了。對於今天的路由器硬體來說，小事一件。

我舉一個例子，Cisco ASR 1000 RP1加4G DRAM，今天來看已經不是太新潮的路由器硬體了。但是，它依然可以承載一百萬筆的BGP路由表。所以八十萬筆，裝得下沒問題。

CIDR REPORT 網站的畫面快照，November 6, 2019

「空盛桑運河」、和「昭披耶河」的交匯處。泰國曼谷市。

One more thing…

我只有一點提醒。如果您在規劃BGP的路由反射角色(Route Reflector)，您也許需要稍微注意。因為您的容量規劃，必須將上面的估計，乘以鄰接的數字。

延續前面的Cisco ASR 1000 RP1加4G DRAM的例子，在BGP的路由反射角色下，可以支援到五百萬筆IPv4路由表。假設您需要連接超過五個鄰接，您很可能會超過五百萬筆的上限。也許需要考慮再增加DRAM，或者升級硬體型號，來支援更多的DRAM，例如將路由處理器(Route Processor，RP)升級成 RP2。

對了，您也想知道全球的IPv6路由表數目嗎？目前全球IPv6路由表大約不到八萬筆。IPv6短時間內還不會是問題，全球路由表比IPv4小得太多。

我是洪李吉。我的網站是「Cisco學習資訊分享」。我們下次見！

免安裝軟體的簡易IPv4地址掃描工具

hongliji@gmail.com (Li-Ji Hong (洪李吉)) — Fri, 1 Nov 2019 15:31:00 +0800

我們經常需要做網段內的IPv4地址掃描。例如要確定IP地址有沒有被重複使用，或者是純粹做安全掃描，確保沒有隱藏的網路使用者。

為了掃描IP地址，我們也許需要從網路搜尋下載安裝免費的掃描工具，或者是昂貴的工具例如Cisco Prime Infrastructure。沒有工具，我們只能透過PING，來作手動掃描。不論是哪一個方式，都不是那麼簡單。

我這裡提供一個簡易工具，不需要下載安裝，不需要昂貴的軟體。您只需要一套Windows 10的PC。我們一起來看。

第一步：打開PowerShell視窗

在Windows上按下“Windows Logo Key ❖ + R”，輸入”powershell”。然後按下Enter開始執行。Windows 10會產生一個PowerShell視窗，這個視窗並不需要系統管理者的特權。

這點應該不難才對！

第二步：將下列單行腳本剪貼到PowerShell執行

$ipv4prefix=$(ipconfig | where {$_ -match 'IPv4.+\s(\d{1,3}\.\d{1,3}\.\d{1,3}\.)' } | out-null; $Matches[1]); 0..255 | %{"$ipv4prefix$_"}| % {"$($_): $(Test-Connection -count 1 -quiet -ComputerName $($_))"}

這個一行的PowerShell腳本，是我在我的電腦上面測試過可以使用的。

萬一剖析本地的IP地址有問題，或者是，您只是要掃描其他網段，您可以手工將$ipv4prefix變數修改成您所要的目的地網段開頭，例如，您想要掃描的網段是”192.168.1.X”，您可以將$ipv4prefix變數指定成”192.168.1.”。請注意，最後的那個句點，別漏掉了。修改完成的單行腳本，如下：

$ipv4prefix="192.168.1."; 0..255 | %{"$ipv4prefix$_"}| % {"$($_): $(Test-Connection -count 1 -quiet -ComputerName $($_))"}

第三步：大約五分鐘左右完成掃描，結果在視窗中

下面是一個可能的掃描結果畫面：

192.168.1.0: False

192.168.1.1: True

192.168.1.2: False

192.168.1.3: False

192.168.1.4: False

192.168.1.5: True

…

如果印出”True”，代表這個IP地址有回應，正在使用中。剩下的、印出”False”，代表那些IP地址沒有回應，那些IP地址應該不在使用中的。

假設您認為輸出行數太多，您還可以過濾掉”False”的那幾行，只留下”True”的內容。過濾器就是 “| Select-String True”。例如：

加上過濾器後，輸出將會變成類似下面的外觀：

192.168.1.1: True

192.168.1.5: True

…

是樂園(倫披尼公園, Lumpini Park) 西南方四號門外的King Rama VI Monument

One more thing…

我剛才所作的展示，就是要告訴大家，任何人只要有Windows 10的電腦，隨時都可以開始做IP地址掃描。我們可以想像，假設今天我們使用的是Liunx的電腦，我們甚至可以作出更複雜的掃描工具。

我這裡簡單舉一個Linux上面等價的例子。這個單行腳本所使用的是內建的BASH和AWK。

ipv4prefix="192.168.1."; for i in `seq 1 255`; do ping -c 1 ${ipv4prefix}$i | tr \\n ' ' | awk '/1 received/ {print $2}'; done

我要強調的是「任何人」都可以快速地開始掃描。

我相信大家現在感覺到了，駭客其實很容易就可以找到、列出您全部的公開IP地址。因此，只要您暴露在公開的Internet上面的軟硬體，依然存在著弱點，很快就會被駭客找到，而且攻進去。就像是，我之前提到過的安全事件一樣。

Cisco學習資訊分享：停止支援的路由器，讓銀行損失近百萬美金

我是洪李吉。我的網站是「Cisco學習資訊分享」。我們下次見！

ATM大當機只因為誤觸一條線路所導致嗎？

hongliji@gmail.com (Li-Ji Hong (洪李吉)) — Fri, 18 Oct 2019 16:50:00 +0800

這是昨天(2019-10-17)的台灣媒體報導：

針對今天晚間各地銀行發生ATM（自動櫃員機）出現大當機，財金公司回應是一位IBM工程師進行維修時，「誤觸」一條線路導致 …
金管會表示，根據銀行及財金公司回報情況，跨行交易系統是在今晚17點42分出現壅塞，速度變非常慢，但並不是全部當機無法使用；後來狀況是晚間18點18分排除。

我從外部觀察者的角度，來聊一聊這個事件。

有沒有可能只因為碰掉一條網路線，就造成系統停止服務？

這是非常可能的，純粹看運氣。

我這裡假設一個情境，您碰掉的網路線，正好是伺服器的網路掛接存儲系統的唯一通道，偏偏伺服器的關鍵資料檔案就放在上面。

我這裡所提到的「網路掛接存儲系統」，就是Network Attached Storage, NAS。

這算不算是「單點故障全體故障」

當然算，這是一個典型的「單點故障全體故障」案例，Single Point of Failure, SPOF。

我也觀察到，整個事故從發現停止服務開始，在不到40分鐘之內，就恢復正常服務，我判斷系統只有暫停服務，並沒有造成緊急停機或是系統當機。非常可能，真的只因為瞬間失去網路連通性而已。我的經驗告訴我，很多系統，光是執行伺服器停機，或是開機程序，所花費的時間，都遠遠超過40分鐘。

如果無法避開「單點故障全體故障」，應該如何與它共存？

避開「單點故障全體故障」，當然是我們在規劃任何系統的首要目標。但是，在實務上不一定都是那麼容易。例如，這是一個工作中、又不太能停機的單點故障全體故障的系統，光是加入備用系統，就必須安排停止服務的時間，很可能這將是好幾個月後才能發生的事；又或者是，備援系統太貴、目前沒有場地可以安裝、等等。

我們現在能夠做的就是，將這些已知的單點故障全體故障的問題，全部正確的記錄下來，在最終可以負責任的人同意下，列入追蹤，未來找時間、預算，儘快地修正這些問題。

One more thing…

從Phra Pin-klao橋回頭看Rama VIII Bridge
泰國、曼谷市

我們可以趁著這次的事故，順便檢視，我們的工作系統，是否還有單點故障全體故障的問題存在。我這裡另外提醒兩點，跟網路有關的注意事項。

作業風險區，請清楚標示

只要有可能造成單點故障全體故障的關鍵地點、空間，無論是硬體、軟體、線路，都應該清楚的標示。必須要讓任何操作維護的工作人員，都很容易察覺到，在附近作業必須特別小心注意。

例如，我們可以透過掛牌、顏色、三角錐、等等，來提醒所有的工作人員。

機櫃線路作業區，請保留足夠的空間

機櫃緊密並排，並不是問題，但是，網路機櫃的前、後門，我建議至少保留60公分以上的工作空間。這是因為，我們在整理線路、電源線的時候，如果沒有足夠的空間，工作人員會看不到所要維護的連接口，或者是，拔插連接口的時候，去碰觸到其他關鍵的連接口。

我是洪李吉。這是我的網站「Cisco學習資訊分享」，我們下次見！

擺了乖乖，機房就會自己「乖乖」嗎？

hongliji@gmail.com (Li-Ji Hong (洪李吉)) — Tue, 13 Aug 2019 15:30:00 +0800

在台灣我經常觀察到，好多公司的資訊機房內，會在機櫃頂端放著好幾包「乖乖」餅乾。難道這麼做，機房就真的會變得「乖乖」嗎？我今天來聊聊這個輕鬆的話題。

「乖乖」風潮

到底是誰先發起了這股「乖乖」風潮，今天應該已經是不可考證了。

大致上的起因，是因為資訊系統維護的日常工作當中，經常發生一些過於巧合的意外。一直都很穩定的系統，偏偏在放假前一天停止服務；有些從來都不曾故障過的硬體，半夜忽然故障發送告警；更新軟體每一次操作都成功，就只有我操作的這一次，軟體重啟後才察覺到服務帶不起來、等等等。

某些朋友也許在偶然間發現，如果在資訊機房、機櫃頂，放了幾包「乖乖」餅乾之後，這種巧合的意外，「感覺起來」，好像比較不會發生。似乎「放乖乖」和「更穩定」兩者之間，猶如真的存在某些關聯性。

這是迷信嗎？

「感覺起來」有關連性，不代表可以從客觀的統計過程當中，歸納出相同的關聯性。假設我們要永久的釐清，需要去蒐集數據，來證明「放乖乖」和「更穩定」兩者是否相關，或是不相關。

我還沒有找到研究報告，我個人目前也還沒有機會進行這種統計。我的確沒有足夠的證據，來指出這就是迷信。

我的看法

不過，我直觀認為，因為下面這幾個理由，「放乖乖」不只不會讓系統更穩定，反過來，還可能增加資訊機房的維護風險。

第一、可能散發香味

「乖乖」的包裝，經常會因為各種原因，釋放出餅乾的香味，甚至於我們人站在旁邊，都聞得到。機房內部擺了這種有機會洩漏香味的餅乾，反而會增加了吸引老鼠、蟑螂、螞蟻的風險。

老鼠會啃食任何物體，包括「光纖」、「網路線」。蟑螂、螞蟻有可能在溫暖的網路孔洞內結巢產卵。這些可能性將變成潛在的機房安全風險。

第二、地震時餅乾袋會掉落

雖然餅乾本體不重，但是當地震時，從機櫃頂落下的時候，高度落差的重力加速度的結果，撞斷一兩個光纖接頭的可能性是很大的。

或者，餅乾袋摔落後萬一破損，很可能造成餅乾散落一地，在資訊機房內，真的很不容易清理乾淨。

第三、彩色包裝袋干擾視線

沒有擺放餅乾的時候，很容易直接用肉眼察覺，機房、機櫃頂並沒有不該出現的異物。

當花花綠綠的彩色包裝袋，擋住視線的時候，要辨認到底是異物、或是單純的餅乾，變得非常困難。

---

簡單的結論就是，我建議大家，千萬別在機房、機櫃頂，繼續擺放「乖乖」餅乾了！

哲徑、和校訓碑文
香港中文大學

One more thing…

很多意外的發生，只要花點時間仔細分析，其實背後都有發生的原因。沒有解決背後的因素，意外將會一直重複發生。我這裡試著分析前面提到的三個例子。

「一直都很穩定的系統，偏偏在放假前一天停止服務」：很可能是系統設計的缺陷，例如一段時間之後，只要硬碟、記憶體滿了，隨時會停止服務。

「有些從來都不曾故障過的硬體，半夜忽然故障發送告警」：只要是旋轉的物體，都會磨損，最後就故障。這包括散熱風扇、硬碟。

以上兩者，平常、白天也可能會發生，只不過，沒有打擾到管理人員的休息時間，大部分的管理人員不會記得曾經發生過。

「更新軟體每一次操作都成功，就只有我操作的這一次，重啟後才察覺到服務帶不起來」：軟體的更新，有失敗的風險是正常的。如果要提早發現風險，更新的軟體最好預先在測試環境中，確認更新的操作過程和結果，再到生產系統操作。

這幾天，農曆的中元節快要到了，很多公司都會用餅乾來做拜拜，「乖乖」當然也是熱門選項之一。

我的提議是，「乖乖」餅乾是要發給「工程師」，在休息室吃的，不是讓您擺在機櫃上面的。吃完「乖乖」以後，「工程師」們才有充足的力氣，努力讓您的機房變「乖乖」。

我是洪李吉！我的網站是「Cisco學習資訊分享」。歡迎常回來逛逛！

CCNA將於2020年改版重點整理

hongliji@gmail.com (Li-Ji Hong (洪李吉)) — Fri, 21 Jun 2019 18:00:00 +0800

Cisco已經在官方網站上宣布，好多認證考試的更新，將於2020年2月24日發生。我這裡先整理CCNA的部分。

CCNA考試(200-301)內容改版

2020年新版的考試名稱，正式的名稱是CCNA 2.0認證考試。為了避免大家有誤解，我後面一律用考試代碼200-301稱呼它。

跟目前的考試版本200-125相比較，考試內容最大的差異，是考試範圍的廣度變大了，考試時間和題目數都加長了，增加了無線區域網路(Wireless LAN)，增加了自動化和網路管理程式化(Automation and Programming)。簡單的說，就是考試變困難了。

好消息是，2020年2月24日距離現在，還有八個月左右的時間，200-125考試依然可以報考。

如果正要開始準備CCNA認證的朋友們，其實還有充足的時間準備，無論是打算報名密集訓練課程，或者是工作中、學校中自修，時間好好把握，應該是足夠的。

已經取得CCENT衝擊

如果原本計畫分兩階段考試，來取得CCNA的朋友們，這次的改版對您的衝擊是最大的。CCENT認證資格和考試，同樣的將於2020年2月24日一起消失。簡單的說，您必須將ICND1、ICND2兩次考試，一口氣在2020年2月24日之前完成，才能取得CCNA。

(根據我的觀察，台灣計畫分兩階段參加CCNA考試的朋友人數，應該不多。歡迎留言讓我知道！)

已經取得專長CCNA，例如CCNA Wireless的衝擊

這些認證名稱，將於2020年2月24日起，全部變成單一的CCNA認證，而已喔！Cisco網站提到，這些朋友除了會收到CCNA新的證書之外，還會獲得Cisco所承認的學分(Credits)。這些學分，對於CCNA的資格維持(Recertification)，是有幫助的。

簡單的說，除非是您所任職的公司要求，一定要立刻通過考試，否則，我建議等到2020年2月24日之後，再考新的版本。

下面是專長CCNA的清單。

CCNA Cloud
CCNA Collaboration
CCNA Cyber Ops
CCNA Data Center
CCDA
CCNA Industrial
CCNA Routing and Switching
CCNA Security
CCNA Service Provider
CCNA Wireless

CCNA資格維持(Recertification)

這部分最大的改變，就是未來參加任何Cisco的課程，包含教室、線上、自修，只要是Cisco認可的，Cisco都提供對應承認學分(Credits)。因此，除了每三年重新考CCNA考試，也就是原本的方式之外，只要每三年內取得足夠的學分，也可以繼續CCNA資格。

目前的學分對應規則，網站只有提到CCNA資格維持需要30個學分。但是，課程和學分的對應表，我還沒有看到進一步資訊。

台北植物園裡面的荷花

One more thing…

這次的CCNA改版，我認為是正面的。增加了自動化和網路管理程式化，其實也反映出網路技術最近的趨勢發展。有關於Programming，未來我們再深入討論。

事實上，這次的考試和規則改版，不只有CCNA，就連CCNP、CCIE等等，都是2020年2月24日同時改變。如果大家遇到類似CCNA改版的困擾，請留言讓我知道！

官方網站連結：
Cisco Certified Network Associate (200-301)
New CCNA exam goes live on February 24, 2020