昨晚筆者電腦突然有點異常,開機後竟然MSN自動消失...,可能是硬體或當機所造成的資料毀損(體質不太好的P4-3.0),只好去MSN官網下載(版本:8.1.0178.00)來修復安裝,為何會選擇8.1版呢?因為我還是不太習慣於8.5的 beta版本,更何況先前的安全性問題,在8.1版上也無此問題。
正當我下載完之後,準備安裝及修復時,發現了一個不算小的問題,也就是今天要談的主題「數位簽章與憑證」,因為我下載完的當案,竟然跟我說無法辨識發行者。
我就覺得納悶這是什麼狀況,我明明是去官網下載的呀!難不成連官網也淪陷了...,基於有圖有真相的論點,我就一層一層查下去,發現一件事...(內文有附圖)
PS:該商標、圖形及文字內容為該網站所有(小心一點!)
那就是數位憑證的簽章時間竟然過期了,今早在公司也確認過一次,確實是過期了!下載路徑、數位簽章及憑證的裁圖如下:
1.下載網址:http://get.live.com/zh-cht-tw/betas/messenger_betas
2.下載路徑:如圖最下方的連結資訊。
3.儲存檔案,右鍵-->內容-->檢視簽章及憑證資訊
(可點圖放大觀看!!)
看了這幾張圖,其實數位簽章跟憑證在網路上的應用很多,例如:金融業的銀行憑證、政府機關的數位簽章,雖然它們並不相同,但是經常會相互配合著使用。
一般來說憑證如果過期,是不是就代表這個數位簽章失去公信力及效用、也就是代表發行此軟體的公司無法保證其軟體的唯一性及完整性?(WIKI對數位簽章跟憑證的說明),如果筆者有地方表達錯誤還請各位先進指正。
一般使用的流程:
公、私鑰產生-->公鑰交給CA單位簽發憑證-->透過憑證證明數位簽章的公正性
印象中,銀行剛利用公、私鑰模式推行銀行憑證時,這話題被大家討論的非常廣泛,雖然近年來晶片卡+讀卡機風行(使用者風險增加,銀行也降低維護成本),許多銀行發行的憑證有效期也是一年一次或更短,所以每當報稅或需要透過該憑證做些網路上的認證時,憑證有效期就變得十分重要。
至於公、私鑰的運作模式可以參考先前的「Linux的異地備份(Offsite Backup)(2)」,裡面有類似公私鑰的建立與使用方法,不過是在LINUX下使用的,在WINDOWS下也可以透過PUTTYGEN來產生公私鑰。
其實,這一篇只是要提醒各家軟體及服務商,要記得更新你們的憑證日期(雖然憑證要用錢買...),可是為了增進公信力及讓一般使用者能夠用的安心,這一點還是省不得的,更何況Windows Live Messenger 8.5現在還是beta版,而8.1版的憑證竟然已經過期?這點就相當值得警惕。
最後附上台灣相關法規的部份內容:電子簽章法
2007年10月23日 星期二
2007年10月22日 星期一
多工作業的便利(Convenient to Multi-Working)
多工作業應該是每個IT人都要面對的一件事,因為要處理的事情絕對不只一件而已(如果只有一件的話,請通知我一聲,我也想要...)所以打造一個適合工作的環境,就是一件相當重要的事。
不過這種便利性往往還是要有足夠的軟硬體互相配合,雖然說硬體進步的速度神速,可是在企業採購的過程中,這一類高規格的硬體(四核心CPU、ECC規格的RAM),通常都只有SERVER級的主機上才有的配備(不然就是得自掏腰包),所以這種環境就是要靠很多周邊的輔助才能夠達成。
但是,多工作業的便利卻也建構在安全的邊緣地帶,端看規劃時的謹慎程度...
舉例來說,如果公司內部有規劃出一塊專用的機房區,並在內部的網路、硬體、人員進出的掌控有所區隔,這一類的便利性,反而能在有條件的安全之下發揮,但是...一般公司有多的地方能規畫一個專業的機房嗎?老實說...我存疑。
所以,多工作業的便利性就曝露在危險之下,就算只允許區網之內才可登入特定主機,沒有辦法斷開區網內其它電腦對該主機的存取,還是增加了許多的危險性,這些就是除了便利性之外,不可不察的小地方,就算是筆者這種一人MIS的公司(愈來愈多這種公司!甚至是約聘性質),我都會想著所有危險發生的可能性。
所以在談便利性之前,還是要先提醒大家有可能帶來的危害,在安全性(帳戶的權限、資料加密、port的開啟...等)的設置上,還是不能省。
可以增加工作便利性的軟硬體有那些呢?老實說,這一點見仁見智,我單就目前我所使用的方式來介紹,如有不足之處還請見諒,或是有更好的建議也請各位別吝嗇點我一下。
硬體:
1.KVM切換器:利用一套Keyboard、Video和Mouse的設備,連結多台主機。
因為在效能與實際維護上,經常要在許多主機之間切換,如果每一套主機都接有一套I/O設備,光是放這些設備就要佔去多少位置,更何況在機架櫃那有限的空間內。
2.USB轉IDE或SATA的外接線:不需拆開主機,即可連接大量儲存設備。
在維護大量硬體時,無論是掃毒、檢測硬碟狀態,甚至是資料的複製與燒錄,都可以透過外接的介面,輕易地滿足所有需求,可以省下許多拆裝時的時間。
3.USB的延長線(Hub):增加USB的活用性
雖然現在許多主機都已配有前置的USB PORT,但是對於多工作業的來說,經常都會碰到前置面版的USB不夠用,需要去利用背板的USB,此時就要在穿過許多線材才能夠到達陣地,或是直接從前面板上外接USB的Hub(如果不會電力不足的話...),也能夠增進工作的順暢性。
軟體:
1.遠端登入軟體:VNC、PUTTY(PieTTY)、遠端桌面協定...等。
透過遠端登入,可以避開硬體上的限制,只要有網路的連接就可以控制各個平台,不過這一類的軟體請盡可能地限制特定人員、位置(IP),並且更改專用端口(PORT)來做為安全性的防護,除此之外,使用這些軟體時,也要注意是否有安全性的更新,否則只是大開有心人士的方便之門。
2.虛擬化軟體:VMware、Xen...等。
這一類的虛擬化技術,主要是為何能夠在同一個主機上,開啟兩個平台所設置的軟體,以前雖然可以透過多重開機的方式在同一台主機上安裝兩套系統(但是僅能操作其中之一),而這一類的虛擬化技術可以讓兩個不同的平台,同時能夠在一台電腦主機中開啟系統並運作相關應用程式,不過...需要的硬體所需的條件也相對地提高許多(與多核心CPU相互呼應)。
3.綠色軟體:不需安裝或跨平台可應用的軟體
這一類軟體其實也是許多IT人員所頭疼的部份,不過軟體本身沒錯,只是看應用在什麼地方,這一類的軟體有可攜式FileZilla(檔案傳輸)、HijackThis(掃描間諜軟體)、IrfanView...等,這裡僅列舉我常用的幾種。
其實這些軟硬體並非是要多工的IT人員才能夠應用,只要有相關需求的人,其實都能夠從此之中得到許多資源的節省,畢竟時間是公平的,在每個人都在精進技術的同時,別忘了時間的可貴,雖然筆者有時候也會想自己是否花了太多時間在整理資料與撰寫部落格。
回過頭來想想,會發現有很多事情其實是要經過思索、整理與撰寫出來,才能夠更加明確地瞭解它,更何況共享自己的想法與經驗,不也是部落格最主要的功能嗎?
剛看完了一篇有關於部落格表象的文章,想想自己是否也成了表象的一部份,結論是,我至少還是做自己的一個人,不然我也不會從無名跳出來了!(笑...)
不過這種便利性往往還是要有足夠的軟硬體互相配合,雖然說硬體進步的速度神速,可是在企業採購的過程中,這一類高規格的硬體(四核心CPU、ECC規格的RAM),通常都只有SERVER級的主機上才有的配備(不然就是得自掏腰包),所以這種環境就是要靠很多周邊的輔助才能夠達成。
但是,多工作業的便利卻也建構在安全的邊緣地帶,端看規劃時的謹慎程度...
舉例來說,如果公司內部有規劃出一塊專用的機房區,並在內部的網路、硬體、人員進出的掌控有所區隔,這一類的便利性,反而能在有條件的安全之下發揮,但是...一般公司有多的地方能規畫一個專業的機房嗎?老實說...我存疑。
所以,多工作業的便利性就曝露在危險之下,就算只允許區網之內才可登入特定主機,沒有辦法斷開區網內其它電腦對該主機的存取,還是增加了許多的危險性,這些就是除了便利性之外,不可不察的小地方,就算是筆者這種一人MIS的公司(愈來愈多這種公司!甚至是約聘性質),我都會想著所有危險發生的可能性。
所以在談便利性之前,還是要先提醒大家有可能帶來的危害,在安全性(帳戶的權限、資料加密、port的開啟...等)的設置上,還是不能省。
可以增加工作便利性的軟硬體有那些呢?老實說,這一點見仁見智,我單就目前我所使用的方式來介紹,如有不足之處還請見諒,或是有更好的建議也請各位別吝嗇點我一下。
硬體:
1.KVM切換器:利用一套Keyboard、Video和Mouse的設備,連結多台主機。
因為在效能與實際維護上,經常要在許多主機之間切換,如果每一套主機都接有一套I/O設備,光是放這些設備就要佔去多少位置,更何況在機架櫃那有限的空間內。
2.USB轉IDE或SATA的外接線:不需拆開主機,即可連接大量儲存設備。
在維護大量硬體時,無論是掃毒、檢測硬碟狀態,甚至是資料的複製與燒錄,都可以透過外接的介面,輕易地滿足所有需求,可以省下許多拆裝時的時間。
3.USB的延長線(Hub):增加USB的活用性
雖然現在許多主機都已配有前置的USB PORT,但是對於多工作業的來說,經常都會碰到前置面版的USB不夠用,需要去利用背板的USB,此時就要在穿過許多線材才能夠到達陣地,或是直接從前面板上外接USB的Hub(如果不會電力不足的話...),也能夠增進工作的順暢性。
軟體:
1.遠端登入軟體:VNC、PUTTY(PieTTY)、遠端桌面協定...等。
透過遠端登入,可以避開硬體上的限制,只要有網路的連接就可以控制各個平台,不過這一類的軟體請盡可能地限制特定人員、位置(IP),並且更改專用端口(PORT)來做為安全性的防護,除此之外,使用這些軟體時,也要注意是否有安全性的更新,否則只是大開有心人士的方便之門。
2.虛擬化軟體:VMware、Xen...等。
這一類的虛擬化技術,主要是為何能夠在同一個主機上,開啟兩個平台所設置的軟體,以前雖然可以透過多重開機的方式在同一台主機上安裝兩套系統(但是僅能操作其中之一),而這一類的虛擬化技術可以讓兩個不同的平台,同時能夠在一台電腦主機中開啟系統並運作相關應用程式,不過...需要的硬體所需的條件也相對地提高許多(與多核心CPU相互呼應)。
3.綠色軟體:不需安裝或跨平台可應用的軟體
這一類軟體其實也是許多IT人員所頭疼的部份,不過軟體本身沒錯,只是看應用在什麼地方,這一類的軟體有可攜式FileZilla(檔案傳輸)、HijackThis(掃描間諜軟體)、IrfanView...等,這裡僅列舉我常用的幾種。
其實這些軟硬體並非是要多工的IT人員才能夠應用,只要有相關需求的人,其實都能夠從此之中得到許多資源的節省,畢竟時間是公平的,在每個人都在精進技術的同時,別忘了時間的可貴,雖然筆者有時候也會想自己是否花了太多時間在整理資料與撰寫部落格。
回過頭來想想,會發現有很多事情其實是要經過思索、整理與撰寫出來,才能夠更加明確地瞭解它,更何況共享自己的想法與經驗,不也是部落格最主要的功能嗎?
剛看完了一篇有關於部落格表象的文章,想想自己是否也成了表象的一部份,結論是,我至少還是做自己的一個人,不然我也不會從無名跳出來了!(笑...)
2007年10月21日 星期日
暫停公告(Notice of 2007/10/24~26)
部落格‧暫停公告
時間:2007/10/24至2007/10/26。
原因:本人在網路到不了的地方,無法上線更新。
預計結束時間:2007/10/29,繼續更新(如果我沒有被困住的話!)
來我部落格的朋友,應該都會發現一件事,那就是假日我的部落格也會一起放假,直到隔天開工,我才會繼續更新(努力地繼續寫下去...)
不過,我因有事外出,可能會到沒有網路的地方,更別提能夠上來更新文章,經過思考之後,我還是先來通知大家一下,以免定期來看我文章的朋友向隅(我有在注意你們喔!)
預計2007/10/29,我就能夠回來跟網路上的朋友們一起繼續奮鬥(沒意外的話!),這段期間,如果有朋友對於我先前的文章有任何建議或指教,還是很歡迎留言或來信喔!
我只是會晚一點點回覆相關的問題與想法,並不是耍大牌,不理各位。
因為,我在乎每一個可以跟網友互動的機會,所以,我會用相同的心態來面對各位的留言,在此,還是先謝謝大家不吝嗇的到此賞光,謝謝各位。
時間:2007/10/24至2007/10/26。
原因:本人在網路到不了的地方,無法上線更新。
預計結束時間:2007/10/29,繼續更新(如果我沒有被困住的話!)
來我部落格的朋友,應該都會發現一件事,那就是假日我的部落格也會一起放假,直到隔天開工,我才會繼續更新(努力地繼續寫下去...)
不過,我因有事外出,可能會到沒有網路的地方,更別提能夠上來更新文章,經過思考之後,我還是先來通知大家一下,以免定期來看我文章的朋友向隅(我有在注意你們喔!)
預計2007/10/29,我就能夠回來跟網路上的朋友們一起繼續奮鬥(沒意外的話!),這段期間,如果有朋友對於我先前的文章有任何建議或指教,還是很歡迎留言或來信喔!
我只是會晚一點點回覆相關的問題與想法,並不是耍大牌,不理各位。
因為,我在乎每一個可以跟網友互動的機會,所以,我會用相同的心態來面對各位的留言,在此,還是先謝謝大家不吝嗇的到此賞光,謝謝各位。
2007年10月19日 星期五
文字介面的好處(Advantages of Command Interface)
筆者最早開始玩電腦是小小的國三生(DOS6.22的時代),在英文也還認識不了幾個的時候(英文是我永遠的痛...),就開始為了要玩電動,努力去記住DOS裡的指令與用法(應該很多人都是從電動起家的吧!)
接著,在學習的路上一路玩上來,都是玩圖型介面的WINDOWS,直到接觸BBS和LINUX後,發現很多東西還是要用文字模式(命令提示字元模式),反而能夠得到意想不到的效果。
雖然UBUNTU就是為了讓LINUX的圖型介面更親近大眾一點(參考前文),但是我在最近的使用經驗中,著實地感謝自己以前玩過一陣子DOS,因為在解毒和排除問題的過程,文字介面模式反而能夠避開很多不必要的干擾,雖然說這種介面真的不好親近,這點我也承認啦!
接著,其實文字介面的應用,有些會用到程式邏輯(簡單的),畢竟我也沒受過專業訓練(我不是資訊相關,小聲說:有化工資訊的話...),只要你有心去實際執行,那些都不會是太大的問題。
解毒的應用:
因為我們現在大多數的病毒都是針對WINDOWS來製作或撰寫,除了透過軟體掃描來解毒,有很多狀況其實不適合在圖型介面下操作(如果要弄也要進安全模式)。
但是透過文字介面的處理,可以避開很多檔案被鎖定的問題(例:躲在SVCHOST.EXE的病毒),雖然可以透過某些強力軟體,設定在重新開機後再做清除,可是開關機的動作往往是解決問題中耗費最多時間的一步。
如果我們切進文字模式,只要先把該程式強制中止,就可以利用DEL或其它相關指令刪除被感染或新增的檔案(執行檔),就不用每次都找到一個問題就要重新開機一次。(重開機經常是為了避免病毒尚未清除前的影響)。
檢視檔案結構:
我們都知道現在最多人用的WINDOWS XP中,有關系統檔或組態檔在預設的狀況下,都是屬於隱藏的狀況,主因是怕被使用者誤殺而造成系統無法正常開啟。(雖然可以透過資料夾檢視來開啟,但是對一般使用者愛用全選來說,還是不要比較好...)
雖然說這是好意,但是也因為這好意,讓有心人士把病毒或木馬程式也建立成系統檔的模式,來避開防毒軟體或使用者偵測,這些問題其實也可以透過文字介面來得到解決(便利原本就是犧牲某些東西得來的)。
例如:(需完整說明,在文字介面中鍵入 dir/? 或 attrib/? 查詢)
1.顯示出隱藏檔:dir /ah。
2.清除檔案屬性:attrib -r(a、s、h)。
降低系統負載:
其實有很多事只需要指令就可以完成(甚至圖型介面不太方便完成的事),改用文字介面的模式,往往對於系統的資源消耗較小,因為圖型介面原本就是類似用虛擬化技術所模擬出來的一種型式,甚至有時候能夠在不需要其它軟體輔助的前提之下,幫你完成每天既定的工作。
例如:
1.搬移某些特定字元的檔案:(圖型介面下可以透過搜尋與排序處理)
指令:move te*st.dll c:\temp
結果:te1st.dll、teast.dll...等,全部搬移至c:\temp資料夾中。
2.寫成批次檔:(重複特定動作)
其實這一點有玩過DOS的人應該都有印象,可以用來處理開機執行的工作。
實例:backup.bat的內容(XCPOY的詳細內容請參照xcpoy/?)
XCOPY D:\WORK Z:\WORK /S /D /Y
XCOPY "C:\MY DOCUMENTS" "Z:\MY DOCUMENTS" /S /D /Y
指令:backup.bat
結果:執行批次指令(WORK和MY DOCUMENTS的資料夾內容COPY到Z)
其實這些應用可以在很多網路上的清除特定病毒、協助清除系統暫存檔的小程式中,很容易可以發現它們的蹤跡,只是它們可能是用EXE、BAT或其它可執行檔來運作。
這些應該都算是文字介面可以為我們帶來的好處與優點,或許不是這麼容易上手,但是在IT的領域中,多學一種操作的方式,能適時幫你解決上頭交待的任務,何樂而不為呢?
接著,在學習的路上一路玩上來,都是玩圖型介面的WINDOWS,直到接觸BBS和LINUX後,發現很多東西還是要用文字模式(命令提示字元模式),反而能夠得到意想不到的效果。
雖然UBUNTU就是為了讓LINUX的圖型介面更親近大眾一點(參考前文),但是我在最近的使用經驗中,著實地感謝自己以前玩過一陣子DOS,因為在解毒和排除問題的過程,文字介面模式反而能夠避開很多不必要的干擾,雖然說這種介面真的不好親近,這點我也承認啦!
接著,其實文字介面的應用,有些會用到程式邏輯(簡單的),畢竟我也沒受過專業訓練(我不是資訊相關,小聲說:有化工資訊的話...),只要你有心去實際執行,那些都不會是太大的問題。
解毒的應用:
因為我們現在大多數的病毒都是針對WINDOWS來製作或撰寫,除了透過軟體掃描來解毒,有很多狀況其實不適合在圖型介面下操作(如果要弄也要進安全模式)。
但是透過文字介面的處理,可以避開很多檔案被鎖定的問題(例:躲在SVCHOST.EXE的病毒),雖然可以透過某些強力軟體,設定在重新開機後再做清除,可是開關機的動作往往是解決問題中耗費最多時間的一步。
如果我們切進文字模式,只要先把該程式強制中止,就可以利用DEL或其它相關指令刪除被感染或新增的檔案(執行檔),就不用每次都找到一個問題就要重新開機一次。(重開機經常是為了避免病毒尚未清除前的影響)。
檢視檔案結構:
我們都知道現在最多人用的WINDOWS XP中,有關系統檔或組態檔在預設的狀況下,都是屬於隱藏的狀況,主因是怕被使用者誤殺而造成系統無法正常開啟。(雖然可以透過資料夾檢視來開啟,但是對一般使用者愛用全選來說,還是不要比較好...)
雖然說這是好意,但是也因為這好意,讓有心人士把病毒或木馬程式也建立成系統檔的模式,來避開防毒軟體或使用者偵測,這些問題其實也可以透過文字介面來得到解決(便利原本就是犧牲某些東西得來的)。
例如:(需完整說明,在文字介面中鍵入 dir/? 或 attrib/? 查詢)
1.顯示出隱藏檔:dir /ah。
2.清除檔案屬性:attrib -r(a、s、h)。
降低系統負載:
其實有很多事只需要指令就可以完成(甚至圖型介面不太方便完成的事),改用文字介面的模式,往往對於系統的資源消耗較小,因為圖型介面原本就是類似用虛擬化技術所模擬出來的一種型式,甚至有時候能夠在不需要其它軟體輔助的前提之下,幫你完成每天既定的工作。
例如:
1.搬移某些特定字元的檔案:(圖型介面下可以透過搜尋與排序處理)
指令:move te*st.dll c:\temp
結果:te1st.dll、teast.dll...等,全部搬移至c:\temp資料夾中。
2.寫成批次檔:(重複特定動作)
其實這一點有玩過DOS的人應該都有印象,可以用來處理開機執行的工作。
實例:backup.bat的內容(XCPOY的詳細內容請參照xcpoy/?)
XCOPY D:\WORK Z:\WORK /S /D /Y
XCOPY "C:\MY DOCUMENTS" "Z:\MY DOCUMENTS" /S /D /Y
指令:backup.bat
結果:執行批次指令(WORK和MY DOCUMENTS的資料夾內容COPY到Z)
其實這些應用可以在很多網路上的清除特定病毒、協助清除系統暫存檔的小程式中,很容易可以發現它們的蹤跡,只是它們可能是用EXE、BAT或其它可執行檔來運作。
這些應該都算是文字介面可以為我們帶來的好處與優點,或許不是這麼容易上手,但是在IT的領域中,多學一種操作的方式,能適時幫你解決上頭交待的任務,何樂而不為呢?
2007年10月18日 星期四
網路架構的應用(Application of Network Structure)
記得筆者先前有寫過路由(多謝朋友們的指正),雖然一般的IP分享/路由器都具備這種功能,但是真的會這樣子設定的人應該不多(連我自己有時都想偷懶...)。
除此之外,如果有看過我先前文章的人,應該聽我說過DMZ的觀念(參考:IP/寬頻分享(路由)器設定一文),雖然DMZ或是Virtual Server都很好用,但是有個盲點,那就是只能夠使用一個虛擬IP(例:192.168.x.x),這樣子就無法把兩個SERVER放在不同IP上(例:WEB在10.1.1.226、FTP在10.1.1.228)。
其實有高階設備是可以把DMZ設定在另一個實體IP上,只是那種設備的價格不太親民(5位數以上),光是這一點就會讓人怯步,如果想用簡單的設備能夠達到這樣子的需求嗎?
其實是可以的,不過有個先決條件,就是你要有這麼多IP(3IP以上的固接網路),其它就只要在網路架構上動點手腳就可以...。
要達到這種的功能,其實一點都不困難,只要多加上一台SWITCH/HUB就可以,現在幾乎都用這種模糊的稱呼(Switch和Hub是不同的,這暫不討論),因為這個SWITCH(後文皆用此說明)會記錄連接的IP或MAC的TABLE做為路徑的判斷,就可以達到這個需求。
實例說明如下:(IP為虛構:10.1.1.226~228)
網路架構:
┌用戶(192.168.1.x)
┌IP分享器1┤
ATR-U(俗稱小烏龜)-SWITCH └A主機(WEB)
└B主機(FTP)
└或IP分享器2┬用戶(192.168.2.x)
└B主機(FTP)
網路設定:
IP分享器1:IP=10.1.1.226、MASK=255.255.255.0、GATEWAY=10.1.1.254
(虛擬IP為192.168.1.1,網段為192.168.1.x)
A主機(WEB):透過IP分享器1的DMZ或虛擬伺服器可以提供外部連線。
B主機或IP分享器2:IP=10.1.1.226、MASK、GATEWAY同上
(虛擬IP網段為192.168.2.1,網段為192.168.2.x)
B主機(FTP):透過IP分享器2的DMZ或虛擬伺服器可以提供外部連線。
架構特性:
1.SWITCH HUB(Layer3)會記錄IP資訊,兩端使用者可存取不同網段的服務
例:192.168.1.2>IP分享器1>SWITCH HUB>10.1.1.228的FTP。
192.168.2.2>IP分享器2>SWITCH HUB>10.1.1.226的WEB。
2.外部使用者也可正常透過IP分享器1、2連接到FTP及WEB SERVER。
3.IP分享器容納SESSION數不足。(避免使用者過多或P2P消耗大量SESSION)
說明:
1.IP分享器會記錄SWITCH所提供的MAC或IP資訊,可經SWITCH HUB存取。
2.tracert指令確認:192.168.1.2輸入tracert 10.1.1.228(顯示下列訊息)
Tracing route to 10.1.1.228.xxx [10.1.1.228]
over a maximum of 30 hops
1 <1 ms <1 ms <1 ms 192.168.1.1
2 2 ms 1 ms 1 ms 10.1.1.228.xxx.xxx (10.1.1.228)
PS:10.1.1.228.xxx.xxx <--是10.1.1.228為DNS反解後的名稱。
以上就是利用網路架構來完成某些需求的做法,至於優缺點其實很難評斷,尤其是在預算及效能間的取捨,在有限的環境中,方法都是人想出來的。
不過...如果是透過同一條ADSL網路,因為一般使用者沒足夠的頻寬(除有特殊需求,例:負載分流...),用起來會跟龜爬一樣,如果頻寬夠當然可以這樣子使用,不然還是建議建立在兩條不同的ADSL線路上,比較有它的成效,不過也要設備有支援,我沒有這種設備(冏),所以我僅利用一條ADSL(多IP)來做範例。
如有遺漏或錯誤的部份還請各位先進指教(盡量鞭小力一點!逃...)
除此之外,如果有看過我先前文章的人,應該聽我說過DMZ的觀念(參考:IP/寬頻分享(路由)器設定一文),雖然DMZ或是Virtual Server都很好用,但是有個盲點,那就是只能夠使用一個虛擬IP(例:192.168.x.x),這樣子就無法把兩個SERVER放在不同IP上(例:WEB在10.1.1.226、FTP在10.1.1.228)。
其實有高階設備是可以把DMZ設定在另一個實體IP上,只是那種設備的價格不太親民(5位數以上),光是這一點就會讓人怯步,如果想用簡單的設備能夠達到這樣子的需求嗎?
其實是可以的,不過有個先決條件,就是你要有這麼多IP(3IP以上的固接網路),其它就只要在網路架構上動點手腳就可以...。
要達到這種的功能,其實一點都不困難,只要多加上一台SWITCH/HUB就可以,現在幾乎都用這種模糊的稱呼(Switch和Hub是不同的,這暫不討論),因為這個SWITCH(後文皆用此說明)會記錄連接的IP或MAC的TABLE做為路徑的判斷,就可以達到這個需求。
實例說明如下:(IP為虛構:10.1.1.226~228)
網路架構:
┌用戶(192.168.1.x)
┌IP分享器1┤
ATR-U(俗稱小烏龜)-SWITCH └A主機(WEB)
└B主機(FTP)
└或IP分享器2┬用戶(192.168.2.x)
└B主機(FTP)
網路設定:
IP分享器1:IP=10.1.1.226、MASK=255.255.255.0、GATEWAY=10.1.1.254
(虛擬IP為192.168.1.1,網段為192.168.1.x)
A主機(WEB):透過IP分享器1的DMZ或虛擬伺服器可以提供外部連線。
B主機或IP分享器2:IP=10.1.1.226、MASK、GATEWAY同上
(虛擬IP網段為192.168.2.1,網段為192.168.2.x)
B主機(FTP):透過IP分享器2的DMZ或虛擬伺服器可以提供外部連線。
架構特性:
1.SWITCH HUB(Layer3)會記錄IP資訊,兩端使用者可存取不同網段的服務
例:192.168.1.2>IP分享器1>SWITCH HUB>10.1.1.228的FTP。
192.168.2.2>IP分享器2>SWITCH HUB>10.1.1.226的WEB。
2.外部使用者也可正常透過IP分享器1、2連接到FTP及WEB SERVER。
3.IP分享器容納SESSION數不足。(避免使用者過多或P2P消耗大量SESSION)
說明:
1.IP分享器會記錄SWITCH所提供的MAC或IP資訊,可經SWITCH HUB存取。
2.tracert指令確認:192.168.1.2輸入tracert 10.1.1.228(顯示下列訊息)
Tracing route to 10.1.1.228.xxx [10.1.1.228]
over a maximum of 30 hops
1 <1 ms <1 ms <1 ms 192.168.1.1
2 2 ms 1 ms 1 ms 10.1.1.228.xxx.xxx (10.1.1.228)
PS:10.1.1.228.xxx.xxx <--是10.1.1.228為DNS反解後的名稱。
以上就是利用網路架構來完成某些需求的做法,至於優缺點其實很難評斷,尤其是在預算及效能間的取捨,在有限的環境中,方法都是人想出來的。
不過...如果是透過同一條ADSL網路,因為一般使用者沒足夠的頻寬(除有特殊需求,例:負載分流...),用起來會跟龜爬一樣,如果頻寬夠當然可以這樣子使用,不然還是建議建立在兩條不同的ADSL線路上,比較有它的成效,不過也要設備有支援,我沒有這種設備(冏),所以我僅利用一條ADSL(多IP)來做範例。
如有遺漏或錯誤的部份還請各位先進指教(盡量鞭小力一點!逃...)
2007年10月17日 星期三
授權的維護及管理(Maintain & Manage of License)
現在自由軟體的大行其道,這跟現在佔有大部份市場的軟體授權有極大關連,因為從企業體到中小企業,對於軟體授權的部份都是採保守處理。
或許外商企業比較重視這部份的自保,對於本地企業以能省即省的心態來說,經常都有顧此失彼的問題,今天我們就來看看軟體授權在維護和管理上的衝突吧!
在說明之前,可以去微軟官方網頁看一下有關授權的比較:官方網頁。
授權的問題,一直以來都是IT產業裡無法釐清的議題,無論是軟體製造商、企業主、第三方的軟體或自由軟體...等,每個人都有自己所把持的立場,先不論誰對誰錯,對於使用者來說只在乎好不好用、方不方便,以及這軟體能夠節省我多少時間。
對於管理及維護來說,不同的授權方式的確會造成很大的不同,可是真的能夠下決策的人往往是最不在意這件事的老闆,畢竟這些都是屬於固定開支,還不一定真的能省下相對的時間效益。
舉例來說:一般企業最愛用(OEM)這種省錢的授權方式
其實一般企業體只有針對核心部份才會採用企業的大量授權(OPEN 或OPEN VALUE)的版本(例:OFFICE、CAL這一類無法OEM的授權軟體)不過,這也會造就出另外一個問題。
那就是時間一久,等到OS或是SERVER的版本半強迫被更新(硬體需求或OEM的因素),往往也會造成管理或維護上的問題,如果你先前使用的是WIN2K SERVER + WIN2K的CAL授權,但是OEM廠商的作業系統大多已改用VASTA為基準,如此一來CAL(Client Access License)的授權就有失效的問題。
這一點其實跟資訊產品的進步與生命週期有關,企業會使用OEM版本的作業系統,也是在這一點,反正在保固時間內有問題都是OEM廠商負責,三年後如果硬體毀損,買一台新電腦還比維修舊電腦來得划算,這也是為何OEM版本的授權量會這麼大。
可是,我們也知道OEM產品有隨機附贈的特性,代表這台電腦的主機板或作業系統不能毀損,一但毀損就失去裡面軟體的授權(僅能啟用一次),如果在保固內,是可以送回處理,如果在保固期之外,要再買一台OEM的電腦,還是另外購買零售版本的作業系統來補足授權呢?
這一點,大家心知肚明...(只有老闆不想瞭解)
重點也在這裡,當原本慣用的程式僅支援某些特定作業系統時,新系統上可能會發生未知錯誤,光是這一點就不是IT人可以承擔的起,雖然可以透過別的方式來解決(虛擬技術),這點也仍有爭論。
對於企業來說,OEM是省錢的方式沒錯,但是對於作業系統的維護及轉移來說,就會有相當程度的困擾,因為管理人員就因此要經常申請款項來維護這部份(老闆應該最不喜歡簽這種東西吧!),甚至會讓老闆覺得IT部門是種累贅(也是IT人無法調薪的原因之一)。
使用企業授權可以解決不少後續的問題沒錯,但價格上就不太和善,所以這是種兩難的狀況,除此之外,軟體廠商對於軟體的支援也是有所限制。
通常會在軟體不再改版後5年停止對該軟體的主流支援(參照下方連結),對於一個動輒數十年的企業來說,光是更換(更新)系統就是一個極大的開銷,這也是為何企業主總是抱持著能省即省的態度來看待這件事。
軟體支援週期的準則。
微軟軟體的支援週期。
微軟SP(Service Packs)的支援週期。
經過了筆者的敘述之後,應該可以想像為何自由軟體會掀起一股熱潮,光是每套(年)不得了的軟體授權費用,就是個極驚人的數字,雖然兩方各有立足點(商用軟體:授權費高;自由軟體:支援性不足),對使用者來說沒有太大的差別,對於出錢的老闆來說,就看它能夠接受何種機制下的產品,以及公司能否承擔這些風險。
我們這些IT人也只能當個拼死進諫的小員工(拿飯碗與薪資來玩...),我想這應該也是很多IT人無奈的地方!
或許外商企業比較重視這部份的自保,對於本地企業以能省即省的心態來說,經常都有顧此失彼的問題,今天我們就來看看軟體授權在維護和管理上的衝突吧!
在說明之前,可以去微軟官方網頁看一下有關授權的比較:官方網頁。
授權的問題,一直以來都是IT產業裡無法釐清的議題,無論是軟體製造商、企業主、第三方的軟體或自由軟體...等,每個人都有自己所把持的立場,先不論誰對誰錯,對於使用者來說只在乎好不好用、方不方便,以及這軟體能夠節省我多少時間。
對於管理及維護來說,不同的授權方式的確會造成很大的不同,可是真的能夠下決策的人往往是最不在意這件事的老闆,畢竟這些都是屬於固定開支,還不一定真的能省下相對的時間效益。
舉例來說:一般企業最愛用(OEM)這種省錢的授權方式
其實一般企業體只有針對核心部份才會採用企業的大量授權(OPEN 或OPEN VALUE)的版本(例:OFFICE、CAL這一類無法OEM的授權軟體)不過,這也會造就出另外一個問題。
那就是時間一久,等到OS或是SERVER的版本半強迫被更新(硬體需求或OEM的因素),往往也會造成管理或維護上的問題,如果你先前使用的是WIN2K SERVER + WIN2K的CAL授權,但是OEM廠商的作業系統大多已改用VASTA為基準,如此一來CAL(Client Access License)的授權就有失效的問題。
這一點其實跟資訊產品的進步與生命週期有關,企業會使用OEM版本的作業系統,也是在這一點,反正在保固時間內有問題都是OEM廠商負責,三年後如果硬體毀損,買一台新電腦還比維修舊電腦來得划算,這也是為何OEM版本的授權量會這麼大。
可是,我們也知道OEM產品有隨機附贈的特性,代表這台電腦的主機板或作業系統不能毀損,一但毀損就失去裡面軟體的授權(僅能啟用一次),如果在保固內,是可以送回處理,如果在保固期之外,要再買一台OEM的電腦,還是另外購買零售版本的作業系統來補足授權呢?
這一點,大家心知肚明...(只有老闆不想瞭解)
重點也在這裡,當原本慣用的程式僅支援某些特定作業系統時,新系統上可能會發生未知錯誤,光是這一點就不是IT人可以承擔的起,雖然可以透過別的方式來解決(虛擬技術),這點也仍有爭論。
對於企業來說,OEM是省錢的方式沒錯,但是對於作業系統的維護及轉移來說,就會有相當程度的困擾,因為管理人員就因此要經常申請款項來維護這部份(老闆應該最不喜歡簽這種東西吧!),甚至會讓老闆覺得IT部門是種累贅(也是IT人無法調薪的原因之一)。
使用企業授權可以解決不少後續的問題沒錯,但價格上就不太和善,所以這是種兩難的狀況,除此之外,軟體廠商對於軟體的支援也是有所限制。
通常會在軟體不再改版後5年停止對該軟體的主流支援(參照下方連結),對於一個動輒數十年的企業來說,光是更換(更新)系統就是一個極大的開銷,這也是為何企業主總是抱持著能省即省的態度來看待這件事。
軟體支援週期的準則。
微軟軟體的支援週期。
微軟SP(Service Packs)的支援週期。
經過了筆者的敘述之後,應該可以想像為何自由軟體會掀起一股熱潮,光是每套(年)不得了的軟體授權費用,就是個極驚人的數字,雖然兩方各有立足點(商用軟體:授權費高;自由軟體:支援性不足),對使用者來說沒有太大的差別,對於出錢的老闆來說,就看它能夠接受何種機制下的產品,以及公司能否承擔這些風險。
我們這些IT人也只能當個拼死進諫的小員工(拿飯碗與薪資來玩...),我想這應該也是很多IT人無奈的地方!
2007年10月16日 星期二
網路設備的限制(Limit of Network Equipment)
現在市面上的網路設備相當多,只要你隨便走進一家電腦賣場,商品的選擇性之高,絕對超乎你的想法(只要不是冷門或專有的設備)。
不過,在購買你想要用的設備之前,最好能夠先摸清楚你想要什麼?預算多少?真正影響使用便利性的規格為何?,這些都是在購買前要先做好的功課。
如果你不是這麼肯定的話!還是請瞭解相關規格的親朋好友先做第一層的過濾,以免花了銀子還要受氣,接下來,我們就來看看有那些需要特別留意的部份...
一般家庭購買的網路設備不外乎就是網路卡、寬頻分享器和無線AP這三種裝置,雖然有三種設備,但是寬頻分享器和無線AP經常都是整合在一起,所以嚴格說起來只有兩種類型(網路卡、頻寬/無線設備),我就針對這兩種設備大略說明一下囉!
網路卡:
一般網路卡可以分為三個介面,包括了PC卡(PCMCIA)、PCI和USB三種,而網路模式也可分為有線與無線兩種。
原則上這三種介面都具備有線或無線的的功能,不過...
在穩定或便利上卻有很大的不同,這一點在選購前就要先思考清楚,例如:
穩定性:PCI、PCMCIA > USB
尤其是USB的無線網卡熱當時有所聞,或是電腦突然無法偵測到USB介面的網卡,據說這跟USB供電、無線網卡的發熱量有關,雖然可以透過不一樣形態的設備來改善散熱的問題,但是價位也比一般設備高出許多。
便利性:USB > PCI > PCMCIA
其實主要是受各廠商規格所限,不過便利性卻是最吸引人們購買的因素,至於穩不穩定就視狀況而有差異(使用晶片、散熱、電源供應...等)。
補充:
1.USB3.0已成形,速度是4.8 Gb/s,產品在2008第一季可望面世。
2.Gb級(PCI-X)網路卡:需線材及設備支援,並非有Gb級網卡就能有此速度。
所以,在選購網路卡時,如果是想全天24小時不關機的設備,請選購高穩定性的網路卡,如果是商務人士,就可選購便利性佳的網路卡,如果想穩定又想便利的話,就只好請你多拿點錢出來選購企業級的產品。(IT產業中,價格與品質有一定的關係)
頻寬/無線設備:
其實這一類的設備正大舉進駐於一般家庭中,通常家裡的電腦都不只一台,如果在頻寬及設備的限制之下,如果想要讓每台電腦能夠一開機就有網路可以使用,這一類的產品就不可或缺,只是要選購這一類產品時,請先弄清楚它們產品包裝上的規格代表什麼意思。
否則買了一台不適用的設備,真的只是把預算浪費在沒有必要的功能上,筆者就大略整理幾個常見且一定要懂的規格供大家參考:
1.介面:WAN*1、LAN*4、WLAN*1
最為常見的介面,代表可接一條ADSL、內部可接4台設備、具無線網路。
2.頻寬:10/100/1000 BaseTX、IEEE 802.11 a/b/g/n
支援頻寬:1000 BaseTX是支援Gb網路、802.11n速度最大 540 Mbit/s。
3.加密法:WPA、WEP、AES、EAP...等
主要都是針對無線網路的加密法,目前主流是要能支援AES的加密法為優先。
4.頻寬限制:Qos、SESSION數、內容過慮...等
針對網路使用者的限制與控管,若有用P2P,請優先選用高SESSION數的設備。
5.擴充性:USB Port、WDS、WMM、BT...等
WDS可提供AP串接(見筆者愚作)、WMM是為了保證多媒體的頻寬。
6.防火牆:DDOS、禁止存取...等
主要是在設備端內建PORT號管理、避免暴力法攻擊,防護能力與價格成正比。
現在的網路設備大都具備上述規格,需要瞭解它們的原因,主要是受到周邊連接產品的規格所局限,一般人無法一次更換所有網路周邊設備,故在選購時要衡量應用層面及未來擴充性為優先。
除此之外,這些網路設備「號稱」的功能,其實僅為精簡後的應用,千萬不要想跟專門設備相比,因此那些規格或設定,有時候反而只會拖累設備效能,至於那些相關設定不一定能夠發揮效用,則因設備而有所不同。
有興趣者可留言或來信,筆者還是暫先保留,以免影響使用者觀感...(冏)
不過,在購買你想要用的設備之前,最好能夠先摸清楚你想要什麼?預算多少?真正影響使用便利性的規格為何?,這些都是在購買前要先做好的功課。
如果你不是這麼肯定的話!還是請瞭解相關規格的親朋好友先做第一層的過濾,以免花了銀子還要受氣,接下來,我們就來看看有那些需要特別留意的部份...
一般家庭購買的網路設備不外乎就是網路卡、寬頻分享器和無線AP這三種裝置,雖然有三種設備,但是寬頻分享器和無線AP經常都是整合在一起,所以嚴格說起來只有兩種類型(網路卡、頻寬/無線設備),我就針對這兩種設備大略說明一下囉!
網路卡:
一般網路卡可以分為三個介面,包括了PC卡(PCMCIA)、PCI和USB三種,而網路模式也可分為有線與無線兩種。
原則上這三種介面都具備有線或無線的的功能,不過...
在穩定或便利上卻有很大的不同,這一點在選購前就要先思考清楚,例如:
穩定性:PCI、PCMCIA > USB
尤其是USB的無線網卡熱當時有所聞,或是電腦突然無法偵測到USB介面的網卡,據說這跟USB供電、無線網卡的發熱量有關,雖然可以透過不一樣形態的設備來改善散熱的問題,但是價位也比一般設備高出許多。
便利性:USB > PCI > PCMCIA
其實主要是受各廠商規格所限,不過便利性卻是最吸引人們購買的因素,至於穩不穩定就視狀況而有差異(使用晶片、散熱、電源供應...等)。
補充:
1.USB3.0已成形,速度是4.8 Gb/s,產品在2008第一季可望面世。
2.Gb級(PCI-X)網路卡:需線材及設備支援,並非有Gb級網卡就能有此速度。
所以,在選購網路卡時,如果是想全天24小時不關機的設備,請選購高穩定性的網路卡,如果是商務人士,就可選購便利性佳的網路卡,如果想穩定又想便利的話,就只好請你多拿點錢出來選購企業級的產品。(IT產業中,價格與品質有一定的關係)
頻寬/無線設備:
其實這一類的設備正大舉進駐於一般家庭中,通常家裡的電腦都不只一台,如果在頻寬及設備的限制之下,如果想要讓每台電腦能夠一開機就有網路可以使用,這一類的產品就不可或缺,只是要選購這一類產品時,請先弄清楚它們產品包裝上的規格代表什麼意思。
否則買了一台不適用的設備,真的只是把預算浪費在沒有必要的功能上,筆者就大略整理幾個常見且一定要懂的規格供大家參考:
1.介面:WAN*1、LAN*4、WLAN*1
最為常見的介面,代表可接一條ADSL、內部可接4台設備、具無線網路。
2.頻寬:10/100/1000 BaseTX、IEEE 802.11 a/b/g/n
支援頻寬:1000 BaseTX是支援Gb網路、802.11n速度最大 540 Mbit/s。
3.加密法:WPA、WEP、AES、EAP...等
主要都是針對無線網路的加密法,目前主流是要能支援AES的加密法為優先。
4.頻寬限制:Qos、SESSION數、內容過慮...等
針對網路使用者的限制與控管,若有用P2P,請優先選用高SESSION數的設備。
5.擴充性:USB Port、WDS、WMM、BT...等
WDS可提供AP串接(見筆者愚作)、WMM是為了保證多媒體的頻寬。
6.防火牆:DDOS、禁止存取...等
主要是在設備端內建PORT號管理、避免暴力法攻擊,防護能力與價格成正比。
現在的網路設備大都具備上述規格,需要瞭解它們的原因,主要是受到周邊連接產品的規格所局限,一般人無法一次更換所有網路周邊設備,故在選購時要衡量應用層面及未來擴充性為優先。
除此之外,這些網路設備「號稱」的功能,其實僅為精簡後的應用,千萬不要想跟專門設備相比,因此那些規格或設定,有時候反而只會拖累設備效能,至於那些相關設定不一定能夠發揮效用,則因設備而有所不同。
有興趣者可留言或來信,筆者還是暫先保留,以免影響使用者觀感...(冏)
訂閱:
文章 (Atom)