如果忘記了Fortigate Firewall 的管理密碼該如何還原，底下提供一個簡單的做法
堃哥使用的Fortigate 型號為：Fortigate 500A

How to Reset Fortigate Admin Password

admin on 26 八月 2008

淺談網路設定檔中的變動管理，前陣子閱讀ITIL相關書籍，裡面有一個章節提到異動的管理(Configure Management)，簡單的說就是設備或是系統如果有什麼異動，則將異動的部分寫入一個資料庫或是任何一個可以儲存的地方甚至是作業的底稿，方便日後就行查詢暨稽核，相信這樣的觀念大部分的IT管理者都具備，但很多的IT管理者卻不知道該如何進項任務。在本文章中要告訴大家如何進行這項網路設定異動管理並實際應用於環境中。

CISCO Router&Switch設定檔變動管理

發佈日期： 2008/06/29版本：Version1發佈網址：http://www.ITPro.tw作者：呂堃楠 Email：Mark@mail.itpro.tw MSN : Mark.ITPro@hotmail.com文章歡迎轉貼，轉貼時請註名出處。前言淺談網路設定檔中的變動管理，前陣子閱讀ITIL相關書籍，裡面有一個章節提到異動的管理(Configure Management)，簡單的說就是設備或是系統如果有什麼異動，則將異動的部分寫入一個資料庫或是任何一個可以儲存的地方甚至是作業的底稿，方便日後就行查詢暨稽核，相信這樣的觀念大部分的IT管理者都具備，但很多的IT管理者卻不知道該如何進項任務。

在本文章中要告訴大家如何進行這項網路設定異動管理並實際應用於環境中。

在本文中堃哥將文章分成四個部份：

第一部份是Kiwi CatTools軟體的安裝。

第二部份是CISCO Router&Switch 環境的設定。

第三部份是Kiwi Devices系統的設定。

第四部份是Configure異動的比對。

在堃哥進行眾多的專案中使用過很多不同的網管工具，要做到設備設定檔異動管理很多產品都做得到，例如CiscoWork，但這類軟體堃哥認為比較適用於中大型網路環境，而且軟體價格不便宜，一般公司使用到這類專業網管軟體的機會不大，因此在這篇文章中我將採用Kiwi_CatTools這款軟體。

這套軟體有下列的好處：

1. 協助我們定時排程備份網路設備設定檔。2. 幫我們進行所謂設定檔異動的比對並產出報表。3.可以利用Batch運行一連串的動作。4. 支援多種網路廠牌的設備CISCO、Juniper、Notel等。
5.這套軟體有提供 Free Edition。

KIWI_CATTools軟體有分為Freeware edition、Engineer edition、Professional edition、Enterprise edition 最大差別可以管理的設備數量不一樣，Freeware edition只能有5個Device，相關授權比較可以參照底下連結 http://www.kiwisyslog.com/kiwi-cattools-licensing/

第一部份是Kiwi CatTools軟體的安裝。

接下來我們先針對這個產品進行安裝

1.1 DEMO安裝的平台為 Windows_XP Professional With SP3中文版

1.1.1 首先我們先到Kiwi首頁下載http://www.kiwisyslog.com/download.php?p=cattools&v=3.3.11&l=1&b=0&o=win

下載完畢之後進行安裝。

點選下一步進行安裝，在撰寫此文章時最新的版本為 CatTools 3.3.11

1.1.2

上圖說明我們要將 Kiwi CatTools安裝為什麼樣的模式，Kiwi CatTools有兩種類型可以選擇，
一種為Service模式，第二種為Application模式，兩種最大的差異在於Services模式就是系統會自動於Windows服務的地方為Kiwi CatTools建立一個服務讓它於背景運作Application模式，則當使用者需要運行這個工具時，並須登入系統才可以執行它，由於我們目的希望做到自動系統的備份因此建議安裝為Service的形式。

1.1.3

此處給予Kiwi CatTools一個啟用帳號，我們給予預設 LocalSystem Account即可。

1.1.4

在安裝的類型部分我們選擇正常即可，我們可以新增或是刪除系統預設的Shortcut。

1.1.5

選擇我們要安裝的路徑，使用者可以依據自己的需求變更安裝的路徑，此外Kiwi_CatTools安裝時需要 42.7MB的空間，此空間不包括未來網路設定檔所需要的空間。

1.1.6

安裝完畢之後我們不用直接啟動Kiwi_CatTools，先到Windows服務檢查Kiwi_CatTools是否有正常啟動。

1.1.7

確定Kiwi_CatTools已經於Windows服務中正常啟動。

安裝完成之後我們將下來就要針對我們要進行自動備份的網路設備進行設定。

第二部份是CISCO Router&Switch 環境的設定。

我們使用的設備為 CISCO Router，要讓Kiwi_CatTools能夠自動備份設定檔，我們需要針對CISCO Router進行下列設定：

1開啟Telnet相關功能。

2.設定Telnet密碼暨限制相關允許登入的主機。

2.1.1開啟Telnet相關功能

ITPro.tw#conf t —進入設定模式ITPro.tw(config)#enable password cisco —設定 Enable密碼
ITPro.tw(config)#service password-encryption —將密碼給加密
ITPro.tw(config)#line vty 0 4 —設定TelnetITPro.tw(config-line)#login — login輸入密碼ITPro.tw(config-line)#password cisco —輸入 Password此處可以自行輸入

2.設定Telnet密碼暨限制相關允許登入的主機

ITPro.tw(config)#ip access-list standard 1—新增一筆 ACLITPro.tw(config-std-nacl)#permit host 192.168.5.5 —允許主機 192.168.5.5登入ITPro.tw(config-std-nacl)#line vty 0 4 —進入 VTYITPro.tw(config-line)#access-class 1 in —將剛剛的ACL 1 套入 VTY中

如此即完成 Router設定。

若您想限制特定網段使用Telnet登入CISCO Router可以使用ITPro.tw(config-std-nacl)#permit 192.168.5.0 0.0.0.255

l 第三部份是Kiwi Devices系統的設定。

3.1.1 首先我們新增一台我們欲管理的設備，在這裡我新增一台CISCO Router 如下圖所示。

3.1.2

Device Type：根據管理者網路設備做選取，這裡支援很多不同的設備，包括CISCO、Juniper、Notel….等。

Group：根據一樣的設備或用途可以歸類於同個Group。
Name：給予這個設備一個名稱。
Host Address：這個設備使用的IP位置。
Connect via：這個設備所使用的連線方式。
Method：連接這個設備所使用的方法，Telnet或是SSH。
Port：所使用的 Port。

在設定完設備之後可以使用PING或是Telnet的方式來確定KIWI_CatTools可正常存取到該設備。

在Password的部分，我們必須要給予KIWI_CatTools一個Password讓它可以登入我們前面所設定的設備，如果我們的設備有啟用 AAA並透過TACACS_Server做認證的話，我們也可以給予一個Username和Password讓KIWI_CatTools專門使用。

3.1.3

接下來我們可以新增一個 Activity，並且於Device的部分選取，Device.Backup.Running.Backup請它幫我們於排程之內定時執行Runnning-Configure的備份，下面有幾個部分可以討論。

Description：可以讓我們輸入Activity描述。

Report File：可以讓我們輸入報表存放的位置

還有我們可以針對Activity 中的 Retry Failed Device 設定KIWI_CatTools 連接不到設備時要 Retry 幾次。

3.1.4 些下來我們可以針對這個 Device.Backup.Running.Backup Activity設定要執行的時間

我們設定每日於晚上12點自動備份 Router設定檔，管理者亦可於Favorite Schedules自訂想要自動備份設定檔的時間。

3.1.5

將這個 Activity 套到我們需要執行自動備份的 Devices，如果我們要自動多個Devices 記得要在3.1.1新增我們要設定Device。

3.1.6

E-Mail 的部分我們可以設定兩個比較重要的分別為：E-mail errors from this activity 將錯誤的 activity寄給管理者。E-mail statistics/reports from this activity 將 activity report寄給管理者。
Alternative email: 輸入欲收取Report的Email帳號。

3.1.7 在Option的部分

Current Config File：現在Router Running-Configure 設定檔位置Dated Config file：每日進行 Activtiy 設定備份時的位置Password protect Zip File：我們可以將Change Config的檔案加上密碼避免其他使用者得知檔案異動內容。

第四部份是Configure異動的比對。

首先我們於 Router上面新增一個Loopback200介面 IP位置，藉此觀察Kiwi_CatTools是否有找出系統異動的部分，

ITPro.tw#conf t —進入設定模式Enter configuration commands, one per line. End with CNTL/Z.ITPro.tw(config)#int lo 200 —-新增 LoopInterface 200 ITPro.tw(config-if)#ip addr 200.200.200.200 255.255.255.0ITPro.tw(config)#^Z —-離開設定模式

4.1.2 接下來我們檢視 Info Log裡面，有Change is new的字串代表KIWI_CATTools發現到Router Running-Configure已經有異動。

4.1.3 點選 HTML Report 右邊可以清楚看到：

Line Changes Found 異動的項目有幾條並且使用紅色表示Line Additions Found 新增的項目有幾條並且使用綠色表示Line Deletions Found 刪除的項目有幾條並且使用綠色表示

系統已經發現我們的Router設定檔已經有三條新增的部分並且使用綠色的顏色來表示。

4.1.4 將Report往下可以發現KIWI_CATTools在 line 50-52 有發現我們先前新增的 Loop 200 interface。

結論：

管理IT網路環境之中，備份以及稽核設定檔異動管理非常重要的，唯有針對設定異動管理當網路發生問題之時才可以快速找出是否是之前異動造成的影響，並且快速還原尚未異動之前的設定，若您對上述文件有任何問題或是建議請寫Email給我，我將針對本文進行改進，謝謝。

前言：
這篇文章主要要表達就是CISCO Router和CISCO Switch 於指令操作的小技巧，方便網管朋友在管理CISCO設備的時候可以更容易由螢幕輸出的訊息中找到需要的關鍵資訊。
再看這篇文章的同時建議使用者可以順便複習一下CCNA課程中基本的指令。
若您要練習本篇所提及的技巧建議手上要有一顆CISCO Router(IOS 12.x)或是Dynamips模擬器。

CISCO Router&Switch 操作小技巧

發佈日期： 2008/06/13
修改日期： 2008/06/30
版本：Version1.1
發佈網址：http://WWW.ITPro.tw
作者：呂堃楠 Email：Mark@mail.itpro.tw MSN : Mark.ITPro@hotmail.com
文章歡迎轉貼，轉貼時請註名出處。

前言：
這篇文章主要要表達就是CISCO Router和CISCO Switch 於指令操作的小技巧，方便網管朋友在管理CISCO設備的時候可以更容易由螢幕輸出的訊息中找到需要的關鍵資訊。
再看這篇文章的同時建議使用者可以順便複習一下CCNA課程中基本的指令。
若您要練習本篇所提及的技巧建議手上要有一顆CISCO Router(IOS 12.x)或是Dynamips模擬器。

在本文中堃哥將文章分成兩個部份：
第一部份是(一)基本命令講解。
第二部份是(二)技巧練習。

(一)基本命令講解1.1 Show Running-configure Current operating configuration 使用sh run顯示當前設定檔

輸出範例如下：
ITPro-Labs#sh run
Building configuration...
Current configuration : 2153 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
hostname ITPro-Labs
boot-start-marker
boot-end-marker
enable secret 5 $1$9hCY$O3nRYLpuYDXPaSLh95uTA.
aaa new-model
ip cef
ip sla monitor 10
type tcpConnect dest-ipaddr 1.1.1.2 dest-port 23 source-ipaddr 1.1.1.1 source-port 22392
frequency 3600
ip sla monitor schedule 10 life forever start-time now
frame-relay de-list 1 protocol ip
frame-relay de-list 1 protocol ip list 101
...(後省略)

上面顯示目前Router的設定，倘若要由眾多設定資訊中找到特定的關鍵可以使用下面參數

1.1.1 Show Running-configure 加上參數 | include [關鍵字]這句話的意思是有眾多顯示畫面的設定檔中找到我們輸入"特定"的關鍵字，例如我們要於上面的設定檔中找到
Router啟用sla則我們可以輸入 sh run | i sla 顯示結果如下
ip sla monitor 10
ip sla monitor schedule 10 life forever start-time now
系統會將Running-Configure中關於sla的關鍵字給找出來。
◎有使用Linux或是UnIX的朋友對上述的命令應該不陌生其實這就是管線的概念將螢幕輸出的資訊透過 | 管線然後使用 include其實也就是 unix 中的 grep 找到特定的資訊。

1.1.2 Show Running-configure 加上參數 | begin [關鍵字]
這句話的意思是找尋設定檔中將我們輸入的關鍵字"之後"的資訊都顯示出來，
簡單的說如果我們要找sla之後的訊息我們可以輸入sh run | b sla 顯示結果如下
ip sla monitor 10 ----sla之後均顯示出來
type tcpConnect dest-ipaddr 1.1.1.2 dest-port 23 source-ipaddr 1.1.1.1 source-port
22392 frequency 3600
ip sla monitor schedule 10 life forever start-time now
frame-relay de-list 1 protocol ip
frame-relay de-list 1 protocol ip list 101
比對前面的輸出範例會發現 sla關鍵字之前的訊息都消失了，系統只會顯示sla之後的訊息，這是一個相當有用的命令，例如我們要找尋Running-Configure中關於eigrp的資訊我們可以輸入，Sh run | b router eigrp 如此系統就只會顯示出eigrp之後的命令，可以很方便的找到關於EIGRP的訊息。

1.1.3 Show Running-configure 加上參數 | exclude [關鍵字]
這句話的意思是找尋設定檔中將我們輸入的關鍵字以外的資訊都顯示出來，
簡單的說如果我們"排除"sla所有的訊息我們可以輸入sh run | e sla 顯示結果如下

Building configuration...
Current configuration : 2153 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
hostname ITPro-Labs
boot-start-marker
boot-end-marker
enable secret 5 $1$9hCY$O3nRYLpuYDXPaSLh95uTA.
aaa new-model
ip cef
type tcpConnect dest-ipaddr 1.1.1.2 dest-port 23 source-ipaddr 1.1.1.1 source-port 22392
frame-relay de-list 1 protocol ip
frame-relay de-list 1 protocol ip
由上述範例輸出我們可以清楚看見關於 sla的命令已經被排除了。

1.4 Show Running-configure 加上參數 /[關鍵字] 符號這句話的意思是找尋設定檔中將我們輸入的關鍵字之後的資訊都顯示出來用法和 include類似差別在於當我們使用Show Running-configure在看設定檔時如果設定檔過長通常底下會出現 --More-- 的訊息要我們進行換頁此時我們可以輸入 /[關鍵字]
直接由 Show Running-configure找到我們要的資訊十分的方便大家可以練習一下使用/[關鍵字]和include [關鍵字]兩者之間有什麼不同。

重點整理
使用 參數 | include [關鍵字]
找尋螢幕中特定關鍵字

使用 參數 | begin [關鍵字]
顯示螢幕中特定關鍵字之後的字串

使用 參數 | exclude [關鍵字]
排除螢幕中特定關鍵字

使用 參數 /[關鍵字]
找尋螢幕中特定關鍵字
(二)技巧練習
熟悉上面技巧之後我們可以立刻將它用於我們實務環境中

Q2.1找出所有Router介面哪些介面是顯示 Down的 ??
A2.1我們可以輸入 ITPro-Labs#sh int | i down
顯示如下：
FastEthernet0/1 is administratively down, line protocol is down
Serial1/0 is up, line protocol is down
Serial1/1 is up, line protocol is down
LMI enq sent 175, LMI stat recvd 0, LMI upd recvd 0, DTE LMI down
0 carrier transitions DCD=down DSR=down DTR=up RTS=up CTS=down
Serial1/2 is administratively down, line protocol is down
LMI enq sent 0, LMI stat recvd 0, LMI upd recvd 0, DTE LMI down
0 carrier transitions DCD=down DSR=down DTR=up RTS=up CTS=down
Serial1/3 is administratively down, line protocol is down
1 carrier transitions DCD=down DSR=down DTR=up RTS=up CTS=down

可以將所有介面關於Down的資訊全部找出來。

Q2.2利用 sh ip route找出所以關於 5.5.5.0 的路由 ??
A2.2我們可以輸入 sh ip route | i 5.5.5.0
顯示如下：
ITPro-Labs#sh ip route | i 5.5.5.0
C 5.5.5.0 is directly connected, Loopback5

如此則可以再上萬條路由中輕鬆找到我們想知道的路由資訊。

結語！
上述簡單的小技巧可方便於眾多資訊中找到我們需要的，熟悉上述資訊對於我們日常Debug 網路有很大的幫助，希望上述資訊對正在學習CISCO相關知識的使用者有幫助，若對文章有任何問題請寫Email告訴我，謝謝。

堃哥網管手札第一章NTP Server架設

發佈日期： 2008/05/04
版本：Version1
發佈網址：http://www.itpro.tw
作者：呂堃楠 Email：Mark@mail.itpro.tw MSN : Mark.itpro@hotmail.com
文章歡迎轉貼，轉貼時請註名出處。

Case Study :

某資訊公司發生公司網路遭受到不明人士之攻擊，經查證發現資料庫以及相關ERP重要資訊遭受變更，於是部門IT人員立刻查閱所有Syslog紀錄藉此抽絲剝繭，希望能夠找到重要線索，但在查找的過程中發現，防火牆吐Log的時間和DB被修改的時間以及相關網路設備的時間，居然出現不一致的情形，例如不明人士進入系統的時間居然在防火牆的Access-Log之前，以致於所有Log紀錄沒辦法正確判讀，之所以會發生這樣的問題，關鍵出在網路設備以及相關主機時間並沒有統一，這是一個IT管理者十分容易忽略的問題，但事實上卻是一個相當嚴重的問題，在所有系統時間不一致的情形下，輕者所有Syslog紀錄錯亂導致資訊無法判讀，嚴重者有管過微軟AD_Server的使用者就知道如果Client與AD_Server時間差距達五分鍾以上將導致使用者無法登入AD網域。

堃哥網管手札第一章NTP Server架設

發佈日期： 2008/05/04
版本：Version1
發佈網址：http://www.itpro.tw
作者：呂堃楠 Email：Mark@mail.itpro.tw MSN : Mark.itpro@hotmail.com
文章歡迎轉貼，轉貼時請註名出處。

Case Study :

某資訊公司發生公司網路遭受到不明人士之攻擊，經查證發現資料庫以及相關ERP重要資訊遭受變更，於是部門IT人員立刻查閱所有Syslog紀錄藉此抽絲剝繭，希望能夠找到重要線索，但在查找的過程中發現，防火牆吐Log的時間和DB被修改的時間以及相關網路設備的時間，居然出現不一致的情形，例如不明人士進入系統的時間居然在防火牆的Access-Log之前，以致於所有Log紀錄沒辦法正確判讀，之所以會發生這樣的問題，關鍵出在網路設備以及相關主機時間並沒有統一，這是一個IT管理者十分容易忽略的問題，但事實上卻是一個相當嚴重的問題，在所有系統時間不一致的情形下，輕者所有Syslog紀錄錯亂導致資訊無法判讀，嚴重者有管過微軟AD_Server的使用者就知道如果Client與AD_Server時間差距達五分鍾以上將導致使用者無法登入AD網域。

若您是公司網路的管理者，請務必記得在進行所有網路管理之前，務必將網路所有設備進行對時。
在本文中堃哥將文章分成兩個部份：
第一部份是闡述如何建置NTP Server。
第二部份則是說明如何針對網路設備進行對時。

(一)底下我們將介紹NTP Server的建置方式，建置使用的作業系統為 Linux Fedora System。
步驟如下：
1.Step安裝NTP服務
2.Step設定NTP服務
3.Step檢查NTP Server相關狀態
4.Step將Client對時

Step1.安裝NTP服務最簡單的方式就是透過YUM安裝，只需要輸入 yum install htp 即可，如果你有Linux光碟片亦可以將光碟給Mount起來然後透過 rpm 命令將NTPD給裝起來。

Step2.在修改NTP服務設定檔(ntp.conf)之前，我們必須先讓NTP這個服務可以自動隨著我們的主機啟動，請輸入setup如下圖所示，選擇系統服務並將ntpd這個服務改打勾
。

不需要重新開機直接透過命令 service ntpd start 將服務給啟動。

接下來我們將設定NTP Server相關服務，在執行任何修改之前請養成一個好習慣，將原本的設定檔案給備份
cp /etc/ntp.conf /root/ntp.conf.old，接下來請透過vi修改/etc/ntp.conf
我們要修改的有下列兩個部份

# — CLIENT NETWORK ——-
這裡指的是Clinet許允對時的網段，你可以將需要對時的網段給加入或是單一主機給加入設定如下
restrict 172.16.5.0 mask 255.255.255.0 允許 172.16.5.0-172.16.5.254的主機向NTP Server進行對時。

# — OUR TIMESERVERS —–
請將NTP Server的位置給加入
server 220.130.158.71
server 220.130.158.51

3.Step檢查NTP Server相關狀態
透過 ps axu | grep ntpd 檢查ntp服務是否有正確啟動，並且使用netstat -tlunp
來查看是否有udp123，

在確定服務正常之後我們可以透過 ntpstat 來查看我們架設的NTP Server 是否有和上層 NTP Server正確的Synchronised
[root@Mail sbin]# ntpstat
synchronised to NTP server (220.130.158.71) at stratum 3
time correct to within 67 ms
polling server every 256 s
此處可以看見我們的NTP Server有和上層220.130.158.71做Syn
Polling的時間為256秒一次

[root@Mail sbin]# ntpq -p
remote refid st t when poll reach delay offset jitter
==============================================================================
+220-130-158-52. 220.130.158.50 2 u 153 256 377 41.390 13.484 16.915
-220-130-158-72. 220.130.158.50 2 u 32 256 377 27.852 -13.429 21.382
220-130-158-71. .INIT. 16 u - 1024 0 0.000 0.000 4000.00
220-130-158-71. .INIT. 16 u - 1024 0 0.000 0.000 4000.00
+220-130-158-51. 220.130.158.50 2 u 95 256 377 34.323 16.391 19.466
-photolab.tw 220.130.158.51 3 u 96 256 377 36.218 -6.337 9.311
+w3.cgucccc.org 163.25.109.18 3 u 99 256 377 32.628 14.289 13.248
+arteq.com.tw 220.130.158.51 3 u 154 256 377 57.344 8.330 11.166
Mail.ITPro.TW .INIT. 16 l - 1024 0 0.000 0.000 4000.00
*220-130-158-71. 220.130.158.50 2 u 27 256 377 35.935 16.840 10.97

這裡有幾個比較重要的選項要注意，左邊的
+號代表正在使用這台NTP_Server，*代表次要的NTP_Server
when：幾秒鍾前曾經做過時間同步
poll：幾秒鍾之後和上層NTP_Server做Syn
reach：和上層NTP Server Syn過幾次
delay：網路傳輸過程當中延遲的時間

4.Step將Client對時
這裡我們選用的為Windows作業系統、CISCO Router以及PIX_Firewall

(1) Windows Base NTP Client
Windows作業系統來說，我們可以透過日期時間內的網際網路時間輸入NTP Server IP，

但是請注意在預設的情形之下Windows作業系統每天才會和NTP_Server做一次Syn，這樣不太符合我們的需求，所以我們透過修改機碼的方式讓Windows NTP Client每隔15分鍾就自動和NTP Server做Syn。
修改幾碼位置如下
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProviders NtpClientSpecialPollInterval，修改為十進位900，則Windows NTP Client將會每隔15分鍾自動和NTP Server做Syn。

(2)CISCO Router&Switch
ITProSW#sh clock —-來確定當前系統時間
*02:45:30.070 UTC Sun Nov 28 1993
ITProSW#sh run | i service
service timestamps debug uptime —–設定debug上面的時間
service timestamps log uptime —–設定Log上面的時間
將這兩個部份修改為
ITProSW(config)#service timestamps debug datetime show-timezone localtime
ITProSW(config)#service timestamps log datetime show-timezone localtime
ITProSW(config)#clock timezone TW +8
針對CISCO_Switch NTP Client進行配置
ITProSW(config)#ntp ?
access-group Control NTP access
authenticate Authenticate time sources
authentication-key Authentication key for trusted time sources
broadcastdelay Estimated round-trip delay
clock-period Length of hardware clock tick
max-associations Set maximum number of associations
peer Configure NTP peer
server Configure NTP server
source Configure interface for source address
trusted-key Key numbers for trusted time sources

ITProSW(config)#ntp server 172.16.5.20 —NTP_Server主機 IP
ITProSW(config)#access-list 1 permit 172.16.5.20 0.0.0.0
ITProSW(config)#ntp access-group serve 1

ITProSW#sh ntp st
Clock is synchronized, stratum 4, reference is 172.16.5.20
nominal freq is 190.7348 Hz, actual freq is 190.7348 Hz, precision is 2**17
reference time is CBBF1F73.75CE0E4C (23:51:15.460 TW Sun Apr 27 2008)
clock offset is 4.1434 msec, root delay is 44.85 msec
root dispersion is 126.68 msec, peer dispersion is 16.54 msec

ITProSW#sh ntp as

address ref clock st when poll reach delay offset disp
*~172.16.5.20 220.130.158.51 3 17 64 370 2.1 4.14 16000.
* master (synced), # master (unsynced), + selected, - candidate, ~ configured

ITProSW#sh run | i ntp –於設定檔中查找 ntp相關的命令
ntp server 172.16.5.20
透過 debug 命令來查看 ntp packet
ITProSW#debug ntp ?
adjust NTP clock adjustments
authentication NTP authentication
events NTP events
loopfilter NTP loop filter
packets NTP packets
params NTP clock parameters
refclock NTP reference clocks
select NTP clock selection
sync NTP clock synchronization
validity NTP peer clock validity

ITProSW#debug ntp syn
ITProSW#debug ntp sync
NTP clock synchronization debugging is on
ITProSW#ter mon
ITProSW#debug ntp packets
NTP packets debugging is on
NTP events debugging is on
ITProSW#
ITProSW#
Apr 27 23:56:35 TW: NTP: xmit packet to 172.16.5.20:
Apr 27 23:56:35 TW: leap 0, mode 3, version 3, stratum 4, ppoll 64
Apr 27 23:56:35 TW: rtdel 0B7B (44.846), rtdsp 206F (126.694), refid AC100514 (172.16.5.20)
Apr 27 23:56:35 TW: ref CBBF1F73.75CE0E4C (23:51:15.460 TW Sun Apr 27 2008)
Apr 27 23:56:35 TW: org CBBF2073.8365BA6E (23:55:31.513 TW Sun Apr 27 2008)
Apr 27 23:56:35 TW: rec CBBF2073.788C22B8 (23:55:31.470 TW Sun Apr 27 2008)
Apr 27 23:56:35 TW: xmt CBBF20B3.7512A5F3 (23:56:35.457 TW Sun Apr 27 2008)
Apr 27 23:56:35 TW: NTP: rcv packet from 172.16.5.20:
Apr 27 23:56:35 TW: leap 0, mode 4, version 3, stratum 3, ppoll 64
Apr 27 23:56:35 TW: rtdel 0AF4 (42.786), rtdsp 1C5E (110.809), refid DC829E33 (220.130.158.51)

(3)針對PIX_Firewall
pixfirewall# sh clock 來確定當前系統時間
23:56:46.528 CST Sun Apr 27 2008

pixfirewall(config)# ntp ?
Usage: ntp authenticate
no ntp authenticate
ntp authentication-key <number> md5 <value>
no ntp authentication-key <number>
ntp server <ip_address> [key <number>] source <if_name> [prefer]
no ntp server <ip_address>
ntp trusted-key <number>
no ntp trusted-key <number>
show ntp [associations [detail] | status]

pixfirewall(config)# ntp server 172.16.5.20 source dmz —設定NTP Server的IP Source介面為DMZ介面
pixfirewall(config)# sh ntp st

Clock is synchronized, stratum 4, reference is 172.16.5.20
nominal freq is 99.9984 Hz, actual freq is 99.9993 Hz, precision is 2**6
reference time is cbbf21b8.b61f9294 (00:00:56.711 CST Mon Apr 28 2008)
clock offset is -39.6341 msec, root delay is 51.36 msec
root dispersion is 191.60 msec, peer dispersion is 45.29 msec

pixfirewall(config)# sh ntp as

address ref clock st when poll reach delay offset disp
*~172.16.5.20 220.130.158.51 3 30 256 377 0.5 -39.63 45.3
* master (synced), # master (unsynced), + selected, - candidate, ~ configured

上述就是ITPro NTP_Server以及NTP_Client相關設定，要將網路給管理好，最基本也是最重要，若您對該文章有什麼建議以及認為需要修訂的部份請聯絡我，謝謝。

東京CCIE-Lab攻略(2008)，心理建設篇。

在參加CCIE考試，提供堃哥我個人的準備經驗：

東京CCIE-Lab攻略(2008)，考試準備篇。

發佈日期： 2008/04/20
發佈網址：http://www.ITPro.tw
作者：呂堃楠 Email：Mark@mail.itpro.tw MSN : Mark.itpro@hotmail.com
文章歡迎轉貼，轉貼時請註名出處。

東京CCIE-Lab攻略(2008)，考試準備篇。

admin on 20 Apr 2008

東京CCIE-Lab攻略(2008)，食衣住行篇。

發佈日期： 2008/04/17
發佈網址：http://www.itpro.tw
作者：呂堃楠 Email：Mark@mail.itpro.tw MSN : Mark.itpro@hotmail.com
文章歡迎轉貼，轉貼時請註名出處。

在CCIE-Lab考試中，可以考試的地點以台灣考生來說我推薦『日本』，原因無它主要就是北京和香港一定沒有位子，由於我們對岸同胞出了一種刷位子程式，程式自動會刷位子所以我們這些考生要靠每日手動刷到考試位子，難度可以說比通過考試更高，我曾經看過一整年北京和香港沒有位子的，然而東京的位子就不同了，時常都有空位而且離台灣也不算太遠，坐飛機過去只要兩個小時半就到了，而且日本是十分先進的國家，因此我推薦去那邊考試，在東京參加CCIE-Lab考試要注意的不外乎是食、衣、住、行，接下來我將針對這部份作細部介紹。

東京CCIE-Lab攻略(2008)，食衣住行篇。

發佈日期： 2008/04/17
發佈網址：http://www.itpro.tw
作者：呂堃楠 Email：Mark@mail.itpro.tw MSN : Mark.itpro@hotmail.com
文章歡迎轉貼，轉貼時請註名出處。

在CCIE-Lab考試中，可以考試的地點以台灣考生來說我推薦『日本』，原因無它主要就是北京和香港一定沒有位子，由於我們對岸同胞出了一種刷位子程式，程式自動會刷位子所以我們這些考生要靠每日手動刷到考試位子，難度可以說比通過考試更高，我曾經看過一整年北京和香港沒有位子的，然而東京的位子就不同了，時常都有空位而且離台灣也不算太遠，坐飛機過去只要兩個小時半就到了，而且日本是十分先進的國家，因此我推薦去那邊考試，在東京參加CCIE-Lab考試要注意的不外乎是食、衣、住、行，接下來我將針對這部份作細部介紹。

『行』的部份：
台灣的考生大部份應該是由台灣桃園中正國際機場，直接飛到成田國際機場，我強烈建議搭乘長榮航空，原因很簡單就是事故少，另外補充一點，在出境的時候會填外國人出境紀錄單(黃色)，在出境的目的欄位，只需填寫一些簡單的理由如觀光之類的即可，千萬不要填來考試或者來讀書之類的，這樣入境人員才不會特別約談你，此外日本出境需要按指紋。
下了飛機之後，到拿行李的地方距離滿遠的大約有1公里，日本的習慣是往左靠，台灣是往右，所以在做扶梯的時候請盡量往左邊站，成田機場離我們的目的新宿CCIE-Lab考場三井大樓(MitSui-Build)還有一段不算近的距離，有兩種交通工具可以選擇，一是日本JR地鐵，二是巴士，巴士類似台灣的國光號，兩種交通工具都不便宜大約3100日圓左右，時間都需要搭乘一個小時20分鐘，在日本計程車就不用考慮了，由成田機場坐計程車到新宿大概需要日幣2萬八千。
我的建議是『去』的時候，直接於成田機場坐JR地鐵到新宿車站，如果你不會買票的話，可以用簡單的英文請小姐幫你買票。
到了新宿車站，往西口的方向走，在那邊等飯店免費巴士，半小時就有一班，那邊離CCIE-Lab考場三井大樓路程大約十分鐘。

『住』的部份：
我個人推薦中央公園旁邊的New City Hotel，http://www.newcityhotel.co.jp/chi/index.html，參考Google Map，
之所以推薦住那邊除了離考場近以外，穿越中央公園到考場走路大約十分鐘，而且房間便宜，單人房每晚大約2800元台幣，雙人房大約4300元台幣，房間裡面還提供免費的Internet，房間感覺也舒適有一個書桌方便看書，此外飯店還提供免費的巴士到新宿西口，對考生來說是最好的選擇之一，很多考生推薦住在華盛頓飯店，據說俯望可以看見CCIE-Lab考場，我自己是覺得這樣壓迫感會比較重，尤其是一早起床即要立刻面對考場，這種感覺比較不好，因此我比較不推薦，如果住在New City Hotel有十分鐘的時間可以穿越中央公園順便呼吸新鮮空氣，對精神也會比較好，此外建議再訂機票的時候，直接請旅行社幫你先將飯店給訂好，以免到達飯店的時候沒有房間。

『衣』的部份：
東京的溫差滿大的，我去考試的時候早上溫度18度，晚上八度，所以記得多帶一件外套，雖然說東京的夜晚只有八度左右，台灣的考生應該不會覺得太冷因為日本的冷屬於乾冷，和台灣的溼冷比較起來，算是相對比較溫暖的。
此外特別建議，多帶一套西裝襯衫考試的時候穿，日本的考官James是一位非常專業且認真精實的考官，James的穿著也是十分正式，由於大家都是CCIE候選人未來都是要當別人的顧問或是主管，所以最好是能表現出專業的樣子，不要像有些考生穿著T-shirt和布鞋來考試，這樣除了禿顯你不重視考試也不重視考官。

『食』的部份：
先前有人提到吃麥當勞，我個人覺得大老遠跑來日本吃麥當勞成本可能稍微高了一點，我的習慣早餐建議不要吃，或是吃ㄧ點巧克力就好，日本的食物非常的鹹，口味十分重，因此找個簡單的東西墊墊肚子即可，避免到時腸胃不舒服。
考試中午吃飯的時間CISCO會幫大家準備便當，所以這點不需要擔心，在日本考場裡面的飲料是無限供應的，種類非常的多，我建議可以喝咖啡，儘可能喝些醒腦的飲料，我自己就喝了五瓶，每瓶120羊:P，在日本吃的問題很好解決，飯店即有餐廳可以吃，而且味道不錯也很便宜，往前走也有三間便利商店還有7-11和拉麵店，或是走到新宿車站那邊也有很多東西可以吃壽司、燒肉、…總類繁多，在日本除了廁所的水之外，其餘均可以生飲。

上述就是到東京CCIE-Lab考試，食物住行需要注意的部份。此外整個行程我建議是四天最好，考試前一天提早到，醞釀一下考前的情緒，適度的發洩，順便去看看考場，感受一下氣氛，第二天考試，第三天好好玩一天，建議可以到涉谷走走，第四天收拾回家。
上述就是我的東京CCIE-Lab日本東京攻略2008版，如果有任何問題可以和我聯絡。