生活隨筆

剛剛不經意的點進了你的無名
看到了你的近照，
多了一分的成熟的感覺，
總覺得我好像離你好遠，
原來我真的一直都還追不上你的腳步…
天真的我還一直以為有追上了有追上了…
原來，我忘了你也一直在前進，而我目前的位置到底在哪裡呢?
我到底要停下來休息一下，或者努力的一直往前衝呢?

好了…網頁差不多了…
接下來我想就是找時間跟親戚談一談
希望能解決在貨源的這個部份，
等貨源的這部份也解決之後再來做名片的部份
不要急…我一定要一步一步來實現我自己的夢想
要努力讓夢想不再只是夢想，
加油!!
http://ph.idv.st

總算等到確認信了…
接著就等證書寄到吧~

今天終於將MCP給PASS了，
跟老姊討論了一下，我接下來的目標是準備碩士在職班了
可是老姊問了我，為什麼一定要讀碩班呢?!
這個答案在我心中知道，
我是為了"她"
我在追她的腳步，
妳等著，我總有一天會跑到妳前面，
然後讓妳知道我真的有能力當妳的眼睛看這個世界…
Wait Me....

還沒睡
45分了...
你好嗎?
兩年前為了證明我有能力而去考試
雖然考到了，
但你看不到我有這個能力
時過境遷
現在為了證明給我自己看我有這個能力
準備好了
要上場了嗎?
你呢?
你好嗎...

在網路上不經意的看到這篇文章
想到小時候的我…
這個問題也困擾了自己好久，

"是習慣也是愛

因為愛所以習慣有你在身邊

因為習慣所以愛你在身邊的感覺"

當我被問到的時候很自然的就告訴了她

雖然最後還是有一方選擇了離開

但，至少我不遺憾

很多時候習慣不代表是妥協

而是一種愛的進階

如果是現在，我會說

"因為我愛你，所以我允許自己習慣有你的存在"

距離上次考過LPI的考試到今天剛好滿兩年了…
再過兩天又要再考MCP了…
考過之後要來專心準備CCNA與碩士在職專班的考試，
就算已經投入專職上班族的行列，
我依然一直在準備著考試…
到底這樣是好或不好呢?
我是不是投入太多心力在證明自己的能力了?
上班族就應該要好好去做上班族應該做的事吧…

在台灣如果要拍星軌,大多要往高山跑.都會郊區的山由於光害嚴重.大多不是理想的攝影地點。
所以一般人大都往中.南.部.或桃竹.苗的高山地點拍攝,拍星軌除了至目地需要漫長的路程以外.在高山拍照更是辛苦.台灣許多3000公尺級的高山在半夜即使在夏天也只乘7度左右,且經常會有高山症的症狀發生,可見拍攝星軌決對不是一件輕鬆的事,一張佳作往往費盡千辛萬苦得來,我們應給予肯定才是。
以下寫一些對拍攝星軌上的一些心得,希望對大家有幫助。
1:天氣:拍攝户外風景最重要的莫過天氣.有必要在出發前一天看氣象了解攝影點的天氣.如此貢龜率才會降低
2:翻一下民曆:通常農曆初15~16為滿月.半夜月亮高掛天際,決對不是一個好時間。
3:找尋攝影點: 這是非常重要的.您可以北極星為背景或拍較無光害的一面,或找些大樹或其他當前景.總之景點的探堪是非常重要的。
4:攜帶的器材: 一般數位相机長曝只能到30分鐘(例D70S) 即會自己跳起來.且消雜訊時間等於曝光時間,又電池使用快.曝光時也在吃電..建議使用底片机.另外三腳架非常的重要,應選擇穩定性高和重一點的三脚架來使用,在長曝時建議使用快門線來操作,搖控器並不理想。在夜間操作相机,一個小手電筒或頭燈是必須的。要補光的話.3500K色温的補光燈是必須的。
5:拍攝常識和技巧：因為需長曝,所以將相机曝光程式轉到M.快門轉盤轉到B快門.對焦環轉至無限遠(手動).曝光時間(底片)
以ISO-100為例
光圈　　　　時間
F2.8　　　40分
4　　　　一小時
5.6　　　兩小時
8 　 　　四小時
11 　　　八小時
PS:使用數位相机因CCD感光較快,曝光時間可稍減短。
如ISO調至200.曝光時間減半
6:構圖: 注意星軌和地面的上下比例.水平不宜歪斜.在夜間構圖非常不易
7:禦寒衣物:高山半夜通常温度很低,宜穿羽毛衣加外套.毛衣.圍巾.帽子.暖暖包.熱開水.長襪不可少。
圖片介紹:

使用D70.光圈F4..曝光時間30分..ISO-200...鏡頭-TOKINA.12~24mm14端左右...因為無使用消除雜訊功能所以一堆雜訊。 以北極星為背景 石門山 晚上11點

因為末啟動消除雜訊功能,一堆雜訊 iso-200 f4 30分 石門山往花蓮方向

拍攝時,宜使用補光燈將暗部補光(見公路右側 )可增加層次 iso-200 f4 20分 石門山

這就是使用輕型三脚架或架在不穩的地基上失敗的結果,可見一支穩重的三脚架是非常重要的

這張是87年在新中橫夫妻樹所拍 fm-2 NIKKOR.AF20mm.f2.8 伯爵彩色負片(ISO-100) F8 3.5小時

前面樹幹補光5分鐘.前景帳篷裡掛一個小手電筒.曝光一分鐘。背景為北極星 氣温10度 海拔2700M
(一個人半夜在高山上,有些害怕 ^^ ))
注意:
1:於高山長曝時鏡頭會有些水氣,宜使用拭鏡布輕輕擦拭。
2:避免車輛大燈照到鏡頭,，宜用黑卡擋住。
3:拍攝人數不宜太多,會互相干擾,尤其是小手電筒照射時。
此篇教學轉帖至老羊攝影學苑

曾經，我答應了妳要成為你的眼睛，
幫妳看這個世界，
現在，我無法成為這雙眼睛，
我們的差距永遠存在，
也許…這就是所謂最遙遠的距離，
而我只能默默的用我的方式去看這個世界，
透過觀景窗，用著仰角、伏角、平視各種不一樣的方式及角度來看這個社會，
雖然我們已經成為不可能，
但是我感謝妳，
為我的人生帶來不一樣的感觸，
為我的視野開拓了不一樣的視角，
為我的想法帶了一個前所未有的思序，
在我還年少無知時，帶著我去了解大部份上班族的想法，
這些已經非常的足夠，
對於妳，我只想默默的給著妳祝福，
我不奢望能得到些什麼，我只期望一切的一切都能照著你的想法去前進，
堅持著理想，雖然會有些微的遺失，但是我想…能握到的東西一定會比遺失的更讓人開心…


這張照片是故意不對焦拍出來的，
給我一種人生的感覺，大概能勾構出一個模糊的身影，
但是卻又無法完全清楚的看到，對於未來亦是如此…

從什麼時候自己開始成為了一個專職的上班族?!
每天為了五斗米而努力，為了尋找一個美好的未來而打拼！
金錢就是用來評斷一個人在社會上是否成功的基準線，
到底人是為了理想而生存或者為了生存才有了理想這個東西呢?
好像成了一個雞生蛋或蛋生雞的問題了…
打了再多字…我只知道…
一天又過去了，明天還是得為了生活而努力上班…
這，就叫做現實…

自己玩相機並沒有很長的時間...
但是這兩、三個月以來給了自己一個心得
並不是每一張照片在自己調整好光圈、快門、ASA(ISO)、白平衡...等等設定
然後拍出了一張自己滿意的照片，
可是這張照片卻往往無法讓每個觀看的人都滿意...
反而有時候在生活中偶然的一張生活照更能得到人心!
這就跟生活一樣，往往你算計好了一切，得到的結果卻不一定是會讓人滿意的
但是當你在沒有什麼計劃的時候卻往往會有讓人意想不到的結果!
人，越簡單越好、事，越平淡越快樂!
玩相機的開頭就是想讓自己從每件事去用不同的角度去觀看，
我，做到了嗎?

一切…都從這裡開啟了這一扇門…
朋友不一定是要天天聯絡，
但是在偶爾想到聯絡一下，也是可以增加感情的
大家都出了社會了，
到老的時候，大家聚在一起，笑談著年少輕狂的一切，
是的…這就是友情…

這是在網路上,網友分享的一篇 Cisco Switch IOS 的升級過程,記錄一下以備不時之需,希望不會用到才好.....


升級2950 switch的IOS
不太困難的工作，不過還是把過程寫下來

由於802.1x執行上有一點小問題，所以決定把原本的12.1(19)EA1c升級為12.1(22)EA4，步驟大致上如下：


1.到cisco網站下載對應的IOS檔案（必須有CCO帳號才行），注意下載回來的應該是.tar檔，裡面包含了IOS image以及http server相關檔案，如果不需要透過瀏覽器來管理設備的話，只要把.bin檔送上去就可以了。
2.把筆記型電腦連上switch的console
3.筆記型電腦接上網路，並確定電腦和switch之間的連線正常
4.在筆記型電腦上開啟TFTP server
5.檢查switch的flash是否有足夠的空間，如果沒有的話就先清出足夠的空間來放新的IOS
6.使用#copy tftp flash指令，把IOS上傳到switch當中
7.使用#verify flash:c2950-i6q4l2-mz.121-22.EA4.bin指令，檢查上傳的IOS image是否完整
8.這時候使用#show boot指令應該可以看到，預設的boot path指向舊的IOS image，因此可以使用(config)#boot system flash:c2950-i6q4l2-mz.121-22.EA4.bin指令來變更，改完之後可以再用#show boot指令確定開機參數。
9.#copy running-config startup-config把設定儲存起來，然後#reload重新啟動switch
10.開機過程中應該就可以看到，switch會以指定的IOS image來解壓縮並且執行，開機完畢可以用#show version指令確認
11.大功告成。

這是我的第一卷正片拍出來的成像，
不盡理想，但是就代表我也還有很多的進步空間~加油!!

正片：
1.新宏 安平西賢二街103號 06-2507677 (沒有掛招牌)
2.弘陞(代收，新宏每週一、三、五會去收件)06-2289895 台南市民權路一段222號

沖印：
1. 麗合 台南市健康路一段278號 06-2138846
2. 三青 東門路二段226號 06-2698383

維修
1. 四海照相器材行 台南市中西區金華路四段99號 06-2286769
2. 標準攝影器材有限公司 台南市中西區中正路14號 06-2232733

相機、配件購買
1.弘陞 06-2289895 台南市民權路一段222號 (只賣公司貨)
2.大華相機 http://glory.wusnet.net.tw/(二手買賣)台南市西門路二段362-1號 TEL06-2208581
3.雙美 06-2223730 台南市南門路15號

裱框
季禾相框 台南市南區永華路247號 (06)2637066

Fuji Velvia 50 （ RVP 50 ）：非常細膩、色彩飽和，風景片之王！
Fuji Velvia 100 （ RVP100 ）：飽和、細膩， ISO 100 的速度適合泛用場合
Fuji Provia 100 （ RDPIII ）：色彩真實細膩，適合街拍，陰天發色不討喜
Fuji Astia 100F（ RAP100F）：細膩自然、膚色漂亮，適合人像

Kodak E100Vs ：超艷麗！粒子粗！適合晨昏彩霞，艷陽天不要拍人，會紅臉！
Kodak E100G ：粒子細膩，發色不像 E100Vs 那麼誇張

以上全為正片!!

1. 底片概述

一般常用的底片依照底片呈現影像的特性可以分為正片及負片兩種。若以對光譜敏感性的不同可分為色盲片、全色片及紅外線片。若以底片尺寸的大小可以分為135底片、120底片及4X5以上的大型底片。若對光強度敏感性不同可以分為低感度（低速）底片、中感度（中速）底片及高感度（高速）底片。以色溫不同可以分為日光片及燈光片。還有最常見的以彩色及黑白區分。

正片：就是一般所稱的幻燈片。由於在底片呈現的影像為正像，即底片上的顏色和拍攝時所見的顏色是相同的。好處是色彩飽和度高、可直接利用幻燈機放大觀賞或演示文稿並在沖洗照片時不易產生色偏的現象。缺點為平常觀賞較為麻煩且洗成照片較為昂貴。

負片：就是我們一般所拍攝的底片。由於在底片呈現的影像為負像，即底片上的顏色和拍攝時所見的顏色是為互補色的。好處是沖洗照片方便且價格便宜。缺點為色彩飽和度較低並在沖洗照片時容易產生色偏的現象。

色盲片：感光乳劑對特定光譜不敏感，如柯達公司出品的6556對紅光不敏感。

全色片：感光乳劑對可見光光譜均敏感。我們一般常用底片即是屬於此類。

紅外線片：此種特殊感光乳劑對紅外線敏感，所以連裝此型底片均需在暗處以免走光。多為特殊用途如觀測植物生長狀態等，或作為藝術創作之用。135底片：一般我們常見的底片，單張尺寸為24mm X 36mm，大多以卷裝形式出現，如24張及36張亦有100呎裝的底片可供用家自行分裝。由於此種底片稱為135底片，因此我們一般常用的相機亦稱為135相機。120底片：單張尺寸以6cm為一邊，另一邊有4.5cm(645)、6cm(66)及9cm(69)三種形式，底片的規格也是卷裝形式。由於長度固定因此拍攝張數由底片的片幅決定。若使用645則有16張、66有12張、69有8張。也就是我們在相館中所拍的大頭照或婚紗照所用的底片，我們稱用此種底片的相機為中型相機。

4 x 5底片：單張尺寸為4" X 5"，為大型相機在使用，亦有片幅達8" X 10"。由於底片的規格為頁裝，因此在水下攝影中幾乎沒有此種底片的相機在使用。

低感度底片：一般底片感光度在ASA 100以下均通稱為低感度底片。有粒子細膩、高反差及高色彩飽和度等優點。但也因此得承受快門速度降低的缺點。較常用的低速正片有柯達公司的EPR 64及富士公司的RVP 50等。

中感度底片：一般底片感光度在ASA 100以上及200以下均通稱為中感度底片。在粒子細膩、高反差、高色彩飽和度與快門速度之間達到一個平衡。較常用的中速正片有柯達公司的STS 100及富士公司的RDPⅡ 100等。

高感度底片：一般底片感光度在ASA 400以上均通稱為高感度底片。有粒子較粗、反差低及色彩飽和度不足等缺點。但也因此得到了快門速度提高的優點。較常用的低速正片有柯達公司的EPL 400及EPH 1600等。

日光片：以早晨十點無雲晴空下的陽光為白色，也就是以絕對溫度5,500K為白色的標準色溫。因此用日光片拍攝以家用黃色燈泡為照明的主體時會顯現出偏黃的色調。

燈光片：燈光片又分兩種形式。
一為燈光片Ａ，以色溫3,400K為標準白色；
另一種為燈光片Ｂ，以色溫3,200K為標準白色。
也就是說，若以燈光片在一般陽光照明下拍攝，會得到偏藍的色調。

彩色片：以彩色的形態表現，可再分為正片及負片。正片又可分為E-6及K-14兩種系統。這兩種沖洗系統均為柯達公司發展出來的，E-6沖洗過程為大部分正片的標準沖洗程式；K-14沖洗過程複雜且設備特殊，因此僅有少數的地區有能力做沖洗的服務，僅有柯達公司的KODAKCROME採用此種方式沖洗。負片大多使用C-41沖洗程式。

黑白片：以黑白的形態表現，同樣的可再分為正片及負片。

上述這麼多的底片種類並非各種底片僅有一種的特性，而是混合的。如柯達公司出品底片編號為5017的EPR 64，此種底片的特色為彩色正片、E-6沖洗系統、全色片、ASA 64低感度、日光型的135片幅底片（6017為120片幅底片）。 上述的資訊皆可從片盒上的印刷中得到。底片尚有其他重要的資訊亦在片盒上，如保存期限、保存溫度及乳劑標號等（圖一）。在內部的說明書中則會有適用的快門範圍，以及若超出此範圍時該如何修正曝光及修正色溫。另外尚有底片盒上沒有標出的重要資訊，如顯影曲線、色彩平衡、高反差及低反差下的解析度、微粒性等較為專業的需求就需要從專業的雜誌或底片公司的專文中尋找。我希望讀者在日後要下水前可以依照自己的需求及當時的環境，進而挑選出自己適用的底片。


1.攝影的目的：攝影的目的往往為決定底片的重要因素。如拍攝水下景觀，希望可以得到鮮明的色彩及明顯的反差，可以選用富士公司的RVP 50，此款底片有著鮮明的色彩及最細膩的粒子；拍攝生態或標本照，希望顏色儘量準確且反差適中，可以選用柯達公司的EPR 64，此款底片為由於色彩準確為大多數博物館的唯一選擇；若擔心水下狀況和在陸地判斷不一樣或與行前的氣象預報有異而需要增感時，但又希望可以得到較好的微粒性及反差時，可以選用富士公司的RDPⅡ，在增感一格下（ASA100到ASA200）尚稱可以接受。上述底片的色彩平衡均為日光型，因此在水層中若希望能得到底片應有的特性，請使用閃光燈修正色溫。


2.攝影的裝備：若你的閃光燈GN值只有12，如YS-120。此次下水的目的為微距攝影。那麼底片感度的高低便影響較少，而與粒子細膩程度、反差及色彩還原度關聯較大，感光度ASA 50的RVP或ASA 64的EPR可能是比較適當的選擇了。若欲使用YS-120配上廣角鏡欲拍攝較大的物體，如工程結構體的全貌，此時似乎以感光度為重點了，因此感光度高的底片為較佳的選擇。

3.底片保存的條件：底片的保存條件正確與否與底片性能是否能達到原廠資料有絕對的關係。若長時間在海上作業並且無冷藏設備，那當然建議使用無須冷藏的專業正片了。如富士公司的全系列專業正片均標榜無須冷藏，以及柯達公司全系列的專業負片(Ektapress Gold)亦是標榜其耐高溫(21℃)的特色，均可考慮使用。若外出或在海上有冷藏設備那當然可使用須冷藏的專業底片。如柯達公司的愛泰康(Ektachrome)全系列專業正片等。當然了，若不須冷藏的底片亦可冷藏。底片冷藏的方法為將在原封包中的底片直接放入攝氏13℃以下的冷藏設備中。為了避免水氣的凝結，欲使用時須待底片回溫至室溫後才可將封包打開。要記得，底片受潮濕而劣質化的影響遠超過因未冷藏所造成的影響。因此寧願不冷藏，也不要冷藏後不按照回溫時間來回溫。

4.底片使用的頻度：若長期使用同一種底片的話，我建議買100呎裝的底片。這種底片有省錢及品質穩定的優點。100呎的底片可以分裝成約20卷的分裝片，每卷可以省下約1/3至1/2的經費。再者，由於這20卷分裝片有同一製造及保存條件，因此底片特性是相同的，在第一卷底片的測試後便可以適用其他的19卷底片了，若一次買數百呎保存使用，會使你在此種底片的使用更得心應手。因此建議各位讀者儘量將常用底片的種類數降低，專心使用一兩種專業底片，這樣才能抓的住這些底片的特色。若底片使用頻度不是很高，可以購買同一生產批號的底片回家冷藏，可以保有比較相同的底片特性。切記，不可以藉由冷藏來延長有效使用期限。希望各位讀者可以詳加考慮上述問題，以便在從事水下攝影活動之前可以依照不同狀況選擇最適合的底片。底片在攝影前及攝影後均有一定的保存方式。底片在使用前的適當保存可以使你得到最好的拍攝效果；在使用後有妥善的保存才可以長期使用你心血的成果。

2. 底片沖洗前的保存

底片在沖洗前品質最易受到高溫及高濕度的影響，不論是在色彩平衡、反差及感光度都會有所改變。伽瑪射線、宇宙射線及Ｘ光，會對底片產生霧翳(fog)的現象。因此底片均有金屬罐（底片筒）、塑膠筒、錫箔紙袋等的保護，以有效阻絕濕氣侵入而使底片受潮。下列數種為有利底片保存的條件。


A. 降低保存溫度：將底片放在原有封包中，置於13℃以下冷藏，藉以將底片保持在出廠時所設定的最佳狀態下。黑白底片在24℃下可保存2個月，在16℃下可保存

左聯: 錢有兩戈，折殺無數英雄。
右聯: 窮只一穴，埋沒多少好漢。

橫批: 錢是王道

是啊…錢是王道!!

第一捲底片出爐了!!
雖然感覺上色彩的表現沒有達到我的想像…但是我要繼續加油~~
Body:Canon EOS 500N
Lens:Canon 50mm F1.8
Film:Fuji superia 100

愛上了攝影，因為可以用不同的角度看世界
放假時帶著相機四處跑，四處看世界，過去的25年沒有機會慢慢品嘗台灣
現在，讓我盡情的去品嘗這個世界吧!!

1.七股鹽山


2.赤崁樓

一篇不錯的文章,大家可以參考看看.....
1～4歲　　比可愛
5～7歲　　比聰明學藝（幼稚園）
8～12歲　 比成績（國小）
13～15歲　比cool（國中）
16～18歲　比帥（高中）
19～22歲　比女友（大學）
23～24歲　比體力（當兵）
25歲　　　比學歷（找工作）
26～27歲　比汽車
28～32歲　比老婆
33～35歲　比小孩
35～40歲　比事業
41～50歲　比房子
51～55歲　比錢
56～60歲　比媳婦
60～65歲　比聲望
66～70歲　比子孫
70～75歲　比健康
75歲　　　比老...

你正在比嗎？
在一個講究包裝的社會裡，
我們常禁不住羨慕別人光鮮華麗的外表，
而對自己的欠缺耿耿於懷。
但就我多年觀察，
我發現沒有一個人的生命是完整無缺的，
每個人多少少了一些東西。
有人才貌雙全、能幹多財，情字路上卻是坎坷難行；
有人家財萬貫，卻是子孫不孝；
有人看似好命，卻是一輩子腦袋空空。
每個人的生命，都被上蒼劃上了一道缺口，
你不想要它，它卻如影隨形。
以前我也痛恨我人生中的缺失，但現在我卻能寬心接受，
因為我體認到生命中的缺口，彷若我們背上的一根刺，
時時提醒我們謙卑，要懂得憐恤。
若沒有苦難，我們會驕傲，
沒有滄桑，我們不會以同理心去安慰不幸的人。
我也相信，人生不要太圓滿，
有個缺口讓福氣流向別人是很美的一件事，
你不需擁有全部的東西，
若你樣樣俱全，管別人吃什麼呢？
也體認到每個生命都有欠缺，
我也不會再與人作無謂的比較，
反而更能珍惜自己所擁有的一切。
猶記得我那可稱為台灣阿信的企業家姑媽，
在年近七旬遁入空門前告訴我：
這輩子所結交的達官顯貴不知凡幾，
他們的外表實在都令人豔羨，但深究其裡，
每個人都有一本很難唸的經，甚至苦不堪言。
所以，不要再去羨慕別人如何如何，
好好數算上天給你的恩典，
你會發現你所擁有的絕對比沒有的要多出許多，
而缺失的那一部分，雖不可愛，卻也是你生命的一部分，
接受它且善待它，你的人生會快樂豁達許多。
如果你是一個蚌，你願意受盡一生痛苦而凝結一粒珍珠，
還是不要珍珠，寧願舒舒服服的活著？
如果你是一隻老鼠，你突然發覺你已被關進捕鼠籠，
而你前面有一塊香噴噴的蛋糕，
這時，你究竟是吃還是不吃呢？
早期的撲滿都是陶器，一旦存滿了錢，就要被人敲碎；
如果有這麼一隻撲滿，一直沒有錢投進來，
一直瓦全到今天，他就成了貴重的古董，
你願意做哪一種撲滿？
你每想到一次就記下你的答案，
直到有一天你的答案不再變動，
那就是你成熟了！！
******************************************************
小語~~~~
找一個懂你的人，也期許自己做一個懂別人的人
聰明的人喜歡猜心　
雖然每次都猜對了，卻失去了自己的心
傻氣的人喜歡給心　
雖然每次都被笑了，卻得到了別人的心

來源：日本《文藝春秋》月刊
作者：天外伺朗，新力公司前常務董事、作家

　　2006 年新力公司迎來了創業 60 年。過去它像鑽石一樣晶瑩璀璨，而今卻變得滿身污垢、暗淡無光。因筆記本電腦鋰電池著火事故，世界上使用新力產鋰電池的約 960 萬台筆記本電腦被召回，估計更換電池的費用將達 510 億日元。


　　PS3 遊戲機曾被視為新力的「救星」，在上市當天就銷售一空。但因為關鍵部件批量生產的速度跟不上，新力被迫控制整機的生產數量。PS3 是尖端產品，生產成本也很高，據說賣一台新力就虧 3.5 萬日元。新力的銷售部門預計，2007 年 3 月進行年度結算時，遊戲機部門的經營虧損將達 2000 億日元。

　　多數人覺察到新力不正常恐怕是在 2003 年春天。當時據新力公佈，一個季度就出現約 1000 億日元的虧損。市場上甚至出現了「新力衝擊」，新力公司股票連續兩天跌停。坦率地說，作為新力的舊員工，我當時也感到震驚。但回過頭來仔細想想，從發生「新力衝擊」的兩年前開始，公司內的氣氛就已經不正常了。身心疲憊的職工急劇增加。回想起來，新力是長期內不知不覺慢慢地退化的。

　　「激情集團」消失了

　　我是 1964 年以設計人員的身份進入新力的。因半導體收音機和錄音機的普及，新力那時實現了奇跡般的發展。當時企業的規模還不是很大，但是「新力神話」受到了社會的普遍關注。從進入公司到 2006 年離開公司，我在新力愉快地送走了 40 年的歲月。

　　進入公司第二年，奉井深大總經理的指示，我到東北大學進修。其間我提出了把天線小型化的理論並因此獲得了工學博士學位。其後我帶領項目小組，參與了 CD 技術以及上市後立即佔據市場頭把交椅的商用電腦的開發工作，最近幾年還參加了機器狗“愛寶”的開發工作。

　　我 46 歲就當上了新力公司的董事，後來成為常務董事。因此，對新力近年來發生的事情，我感到自己也有很大責任。偉大的創業者井深大的影響為什麼如今在新力蕩然無存了呢？新力的輝煌時代與今天有什麼區別呢？

　　首先，「激情集團」不存在了。所謂「激情集團」，是指我參與開發 CD 技術時期，公司中那些不知疲倦、全身心投入開發的集體。在創業初期，這樣的“激情集團”接連不斷地開發出了具有獨創性的產品。我認為，新力當初之所以能做到這一點，是因為有井深的領導。

　　井深最讓人佩服的一點是，他能點燃技術開發人員心中之火，讓他們變成為技術獻身的「狂人」。在剛剛進入公司時，我曾和井深進行激烈爭論。井深對新人並不是採取高壓態度，他尊重我的意見。

　　為了不辜負他對我的信任，我當年也同樣潛心於研發工作。比我進公司更早，也受到井深影響的那些人，在井深退出第一線後的很長一段時間，仍以井深的作風影響著全公司。當這些人不在了，新力也就開始逐漸衰敗。

　　從事技術開發的團體進入開發的忘我狀態時，就成了「激情集團」。要進入這種狀態，其中最重要的條件就是「基於自發的動機」的行動。比如「想通過自己的努力開發機器人」，就是一種發自自身的衝動。

　　與此相反就是「外部的動機」，比如想賺錢、升職或出名，即想得到來自外部回報的心理狀態。如果沒有發自內心的熱情，而是出於「想賺錢或升職」的世俗動機，那是無法成為「開發狂人」的。

　　「挑戰精神」消失了

　　今天的新力職工好像沒有了自發的動機。為什麼呢？我認為是因為實行了績效主義。績效主義就是：「業務成果和金錢報酬直接掛鉤，職工是為了拿到更多報酬而努力工作。」如果外在的動機增強，那麼自發的動機就會受到抑制。

　　如果總是說「你努力幹我就給你加工資」，那麼以工作為樂趣這種內在的意識就會受到抑制。從 1995 年左右開始，新力公司逐漸實行績效主義，成立了專門機構，制定非常詳細的評價標準，並根據對每個人的評價確定報酬。

　　但是井深的想法與績效主義恰恰相反，他有一句口頭禪：「工作的報酬是工作。」就是說，如果你幹了件受到好評的工作，下次你還可以再幹更好、更有意思的工作。在井深的時代，許多人都是為追求工作的樂趣而埋頭苦幹。

　　但是，因實行績效主義，職工逐漸失去工作熱情。在這種情況下是無法產生「激情集團」的。為衡量業績，首先必須把各種工作要素量化。但是工作是無法簡單量化的。公司為統計業績，花費了大量的精力和時間，而在真正的工作上卻敷衍了事，出現了本末倒置的傾向。

　　因為要考核業績，幾乎所有人都提出容易實現的低目標，可以說新力精神的核心即「挑戰精神」消失了。因實行績效主義，新力公司內追求眼前利益的風氣蔓延。這樣一來，短期內難見效益的工作，比如產品品質檢驗以及「老化處理」工序都受到輕視。

　　「老化處理」是保證電池品質的工序之一。電池製造出來之後不能立刻出廠，需要放置一段時間，再通過檢查剔出不合格產品。這就是「老化處理」。至於「老化處理」程式上的問題是否是上面提到的鋰電池著火事故的直接原因，現在尚無法下結論。但我想指出的是，不管是什麼樣的企業，只要實行績效主義，一些紮實細緻的工作就容易被忽視。

　　新力公司不僅對每個人進行考核，還對每個業務部門進行經濟考核，由此決定整個業務部門的報酬。最後導致的結果是，業務部門相互拆臺，都想方設法從公司的整體利益中為本部門多撈取好處。

　　「團隊精神」消失了

　　2004 年 2 月底，我在美國見到了「涌流理論」的代表人物奇凱岑特米哈伊教授，並聆聽了他的講演。講演一開始，大螢幕上放映的一段話是我自進入新力公司以來多次讀過的，只不過被譯成了英文。

　　 「建立公司的目的：建設理想的工廠，在這個工廠裡，應該有自由、豁達、愉快的氣氛，讓每個認真工作的技術人員最大限度地發揮技能。」這正是新力公司的創立宗旨。新力公司失去活力，就是因為實行了績效主義。

　　沒有想到，我是在績效主義的發源地美國，聆聽用新力的創建宗旨來否定績效主義的「涌流理論」。這使我深受觸動。績效主義企圖把人的能力量化，以此做出客觀、公正的評價。但我認為事實上做不到。它的最大弊端是搞壞了公司內的氣氛。上司不把部下當有感情的人看待，而是一切都看指標、用「評價的目光」審視部下。

　　不久前我在整理藏書時翻出一封令我感慨不已的信稿。那是我為開發天線到東北大學進修時，給上司寫信打的草稿。有一次我逃學跑去滑雪，剛好趕上新力公司的部長來學校視察。我寫那封信是為了向部長道歉。

　　實際上，在我身上不止一次發生過那類事情，但我從來沒有受到上司的斥責。雖然這與我取得了研究成果有關，但我認為最根本的是他們信任我。上司相信，雖然我貪玩，但對研究工作非常認真。當時我的上司不是用「評價的眼光」看我，而是把我當成自己的孩子。對企業員工來說，需要的就是這種溫情和信任。

　　過去在一些日本企業，即便部下做得有點出格，上司也不那麼苛求，工作失敗了也敢於為部下承擔責任。另一方面，儘管部下在喝酒的時候說上司的壞話，但在實際工作中仍非常支援上司。後來強化了管理，實行了看上去很合理的評價制度。於是大家都極力逃避責任。這樣一來就不可能有團隊精神。

Windows XP 中 RASPPPoE 開機自動連線上網的教學

適用的作業系統:
Microsoft Windows XP Home Edition
Microsoft Windows XP Professional
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server

PS: Windows XP 因本身系統支援 PPPoE (乙太網路上的點對點通訊協定)，
故不需要安裝 RASPPPoE 也能使用本方法。

假設 Windows XP 系統是安裝在 C:\Windows 資料夾下
假設 原本的撥號連線名稱叫 "ADSL"

STEP 01. 首先需要確認系統上的 RASPPPoE 連線已經正確撥號連線過，
並且已選取 「儲存密碼」選項。

STEP 02. 於「網路上的芳鄰」上按滑鼠右鍵並點選「內容」選項
在出現的視窗中 RASPPPoE 連線 (如: 連線名稱為 "ADSL")
上按滑鼠右鍵點選「內容」選項 。

STEP 03. 確認已取消選取 選項 -> 撥號選項 中的「提示名稱、密碼、憑證等」及
「提示要求輸入電話號碼」兩項。

STEP 04. 確認已選取 選項 -> 重撥選項 中的 「斷線後重新撥號」的功能
按下方的「確定」鍵儲存設定。

STEP 05. 點選 「開始」功能表 -> 選擇「控制台」
在「控制台」內的「排定的工作」上點滑鼠兩下
點選「新增排定的工作」兩下啟動「排程工作精靈」
在「排程工作精靈」視窗中點選「下一步」-> 點選「瀏灠」
選擇 "C:\Windows\System32\RasPhone.exe" -> 點選「開啟」
(若看不到該檔案,請直接將RasPhone.exe輸入至開始欄裡)
輸入工作名稱: ADSL 自動連線
並選擇「在你登入時執行」-> 點選「下一步」
輸入系統管理員帳號 (如: Administrator 帳號) 或是具有系統管理員權限帳號
之登入帳號及登入密碼 -> 點選「下一步」-> 點選「完成」。

STEP 06. 在先前新增的工作圖示上按滑鼠右鍵 -> 點選「內容」
將執行的文字列中的 "C:\Windows\System32\RasPhone.exe" 改為:
C:\Windows\System32\RasPhone.exe -d "原本先現的視窗中 RASPPPoE 連線名稱"。
(如: C:\Windows\System32\RasPhone.exe -d "ADSL")

STEP 07. 確認選取「工作」下方兩個選項都打勾(登入時才執行)(啟用)

STEP 08. 確認取消選取 所有「設定」中的選項，按「確定」鍵套用新的設定。
PS: 系統會要求輸入用來登入的帳號及密碼以確認身份。

STEP 08. 點選「開始」功能表，選擇「執行」， 於「執行」視窗中 輸入「REGEDIT」
並按下「確定」鍵用以開啟「登錄編輯器」。
PS:有的系統是都已經有開好的.

STEP 09. 在「登錄編輯器」視窗中切換到下列位址:
「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon」
在上面之位址的按滑鼠右鍵，選擇「新增」->「字串值」
將新字串的名稱「新數值 #1」修改成「KeepRasConnections」
在新增的字串上按滑鼠右鍵，選擇「修改」，
在「編輯字串」視窗中的數值資料文字列中輸入「1」
輸入後，按「確定」後離開，關閉登錄編輯器。
PS: 數值為「1」表示啟用這個功能，表示保持網路連線而不會因為使用者的登出而斷線。

STEP 10. 重新開機即可使設定生效，至此之後 Windows XP 不需登入系統即可自動撥號連上網路。

ESC 停止下載網頁
ALT + F4 關掉當前的視窗
F11 在全螢幕和標準瀏覽器視窗之間切換
TAB 在網頁、網址列和連結列中向前移至下一個項目
SHIFT+TAB 在網頁、網址列和連結列中向後移至上一個項目
ALT+HOME 移至首頁
ALT+向右鍵 到下一頁
ALT+向左鍵或BACKSPACE 到上一頁
SHIFT+F10 顯示一個連結的捷徑功能表，用於不能按滑鼠右鍵之網頁
CTRL+TAB 或F6 移到下一個框架
SHIFT+CTRL+TAB 移到上一個框架
CTRL+F 在網頁中尋找資料，非常實用的功能
F5 或CTRL+R 僅當 Web 上的網頁與本機儲存的網頁時間戳記不同時，重新整理目前網頁
CTRL+F5 即使 Web 上的網頁與本機儲存的網頁時間戳記相同，仍然重新整理目前網頁
CTRL+N 開啟新視窗
CTRL+W 關閉目前視窗
CTRL+D 將目前網頁加到我的最愛中
CTRL+X 移除所選項目並複製到剪貼簿
CTRL+C 複製所選項目到剪貼簿
CTRL+V 將剪貼簿的內容插到選取的位置
CTRL+A 選取目前網頁中的所有項目
CTRL+TAB 或F6 移到下一個框架
SHIFT+CTRL+TAB 移到上一個框架

您知道三層交換機技術中常提到的TRUNK是什麼意思嗎？

在技術領域中把TRUNK翻譯為中文是“主幹、幹線、中繼線、長途線”，不過一般不翻譯，直接用原文。同樣的名詞在不同場合中有不同的解釋：

1、 在網路的分層結構和頻寬的分配方面，TRUNK被解釋為“端口匯聚”，是頻寬擴展和鏈路備份的一個重要途徑。TRUNK把多個物理端口捆綁在一起當作一個邏輯端口使用，可以把多組端口的頻寬累加起來使用。TRUNK技術可以實現TRUNK內部多條鏈路互為備份的功能，即當一條鏈路出現故障時，不影響其他鏈路的工作，同時多鏈路之間還能實現流量負載均衡。

2、在電信網路的語音級的線路中，Trunk指的是“主幹網路、電話幹線”，即兩個交換局或交換機之間的連接電路或信道，它能夠在兩端之間進行轉接，並提供必要的訊號和終端設備傳輸。

3、 在Routing & Switching領域中，VLAN的端口聚合有的叫TRUNK，不過大多數都叫TRUNKING ，如CISCO。所謂的TRUNKING是用來在不同的交換機之間進行連接，以保證在跨越多個交換機上建立的同一個VLAN的成員能夠相互通訊。其中交換機之間互聯用的端口就稱為TRUNK端口。

TRUNKING是基於OSI第二層技術，如果你在2個交換機上分別劃分了多個VLAN（VLAN也是基於Layer2的），那麼分別在兩個交換機上的VLAN10和VLAN20的各自的成員如果要互通，就需要在A交換機上設為VLAN10的端口中取一個和交換機B上設為VLAN10的某個端口利用一條實體線路相連接。

那麼如果交換機上設定了10個VLAN就需要分別使用10條實體線路來跟另一個交換機上10個不同VLAN的端口互相連結。相對來說使用效率低落而且管理不易。如果交換機支援TRUNKING的話，事情就簡單多了，只需要2個交換機之間有一條實體連線，並將對應的端口設置為Trunk，這條線路就可以承載交換機上所有VLAN的資訊。這樣的話，就算交換機上設了上百個個VLAN也只要用1個端口就可以解決了。

如果交換機上相同VLAN的主機要相互通信，那麼可以通過共用的trunk端口就可以實現；如果是不同VLAN的主機之間要相互通信，就必需要通過第三方的路由功能的設備來實現。這也就是所謂的Inter-VLAN Routing。

【例】假設有兩個VLAN，分別為VLAN 1(Switch F0/2)，VLAN 2(Switch F0/3)，在F0/2跟F0/3上各接了一台主機，VLAN 1(192.168.0.0/24)、VLAN 2(192.168.1.0/24)分屬於不同網段；此時就需要有一台具有路由功能的設備(如Router)來負責進行Inter-VLAN Routing：將Router及Switch使用Trunking(IEEE 802.1Q or Cisco ISL，本例中使用IEEE 802.1Q)方式對接，然後在Router上設定sub-interface對應相對的VLAN。

Router F0/0 - <802.1q/ISL Trunk> - Switch F0/1
F0/2接PC1
F0/3接PC2

在Router Trunk port上設定sub-interface對應同一個VLAN的ip address當成VLAN1, VLAN2的GW

Router:
int f0/0
ip address 192.168.0.254 255.255.255.0

int f0/0.2
encapsulation dot1q 2
ip address 192.168.1.254 255.255.255.0

Switch:
int f0/1
switchport trunk encapsulation dot1q (Cat.2950 不用打此指令)
switchport mode trunk

int f0/2
switchport mode access
switchport access vlan 1

int f0/3
switchport mode access
switchport access vlan 2

我們知道防火牆有四種類型：集成防火牆功能的路由器，集成防火牆功能的代理伺服器，專用的軟體防火牆和專用的軟硬體結合的防火牆。Cisco的防火牆解決方案中包含了四種類型中的第一種和第四種，即：集成防火牆功能的路由器和專用的軟硬體結合的防火牆。

　　一、 集成在路由器中的防火牆技術

　　1、 路由器IOS標準設備中的ACL技術

　　ACL即Access Control Lis t（訪問控制列表），簡稱Access List（訪問列表），它是後續所述的IOS Firewall Feature Set的基礎，也是Cisco全線路由器統一介面的作業系統IOS（Internet Operation System，網間作業系統）標準配置的一部分。這就是說在購買了路由器後，ACL功能已經具備，不需要額外花錢去買。

　　2、 IOS Firewall Feature Set（IOS防火牆套裝軟體）

　　IOS Firewall Feature Set是在ACL的基礎上對安全控制的進一步提升，由名稱可知，它是一套專門針對防火牆功能的附加套裝軟體，可通過IOS升級獲得，並且可以載入到多個Cisco路由器平臺上。
　　目前防火牆套裝軟體適用的路由器平臺包括Cisco 1600、1700、2500、2600和3600，均屬中、低端系列。對很多傾向與使用"all-in-one solution"（一體化解決方案），力求簡單化管理的中小企業用戶來說，它能很大程度上滿足需求。之所以不在高端設備上實施集成防火牆功能，這是為了避免影響大型網路的主幹路由器的核心工作--資料轉發。在這樣的網路中，應當使用專用的防火牆設備。

　　Cisco IOS防火牆特徵：
　　l 基於上下文的訪問控制（CBAC）為先進應用程式提供基於應用程式的安全篩選並支援最新協定
　　l Java能防止下載動機不純的小應用程式
　　l 在現有功能基礎上又添加了拒絕服務探測和預防功能，從而增加了保護
　　l 在探測到可疑行為後可向中央管理控制臺即時發送警報和系統記錄錯誤資訊
　　l TCP/UDP事務處理記錄按源/目的地址和埠對跟蹤用戶訪問
　　l 配置和管理特性與現有管理應用程式密切配合

　　訂購資訊
　　Cisco 1600系列Cisco IOS防火牆特性
　　IP/Firewall CD16-BW/EW/CH-11.3=
　　IP/Firewall CD16-BY/EY/CH-11.3=
　　IP/IPX/Firewall Plus CD16-C/BHP-11.3=
　　Cisco 2500系列Cisco IOS防火牆特性
　　IP/Firewall CD25CH-11.2=
　　IP/IPX/AT/DEC/Firewall Plus CD25-BHP-11.2=

　　二、 專用防火牆--PIX

　　PIX（Private Internet eXchange）屬於四類防火牆中的第四種--軟硬體結合的防火牆，它的設計是為了滿足進階別的安全需求，以較好的性能價格比提供嚴密的、強有力的安全防範。除了具備第四類防火牆的共同特性，並囊括了IOS Firewall Feature Set的應有功能。
　　PIX成為Cisco在網路安全領域的旗艦產品已有一段歷史了，它的軟硬體結構也經歷了較大的發展。現在的PIX有515和520兩種型號（520系列容量大於515系列），從原來的僅支援兩個10M乙太網介面，到10/100M乙太網、權杖環網和FDDI的多介質、多埠（最多4個）應用；其專用作業系統從v5.0開始提供對IPSec這一標準隧道技術的支援，使PIX能與更多的其他設備一起共同構築起基於標準VPN連接。
　　Cisco的PIX Firewall能同時支持16，000多路TCP對話，並支援數萬用戶而不影響用戶性能，在額定載荷下，PIX Firewall的執行速度為45Mbps，支援T3速度，這種速度比基於UNIX的防火牆快十倍。

　　主要特性：
　　l 保護方案基於適應性安全演算法（ASA），能提供任何其他防火牆都不能提供的最高安全保護
　　l 將獲專利的"切入代理"特性能提供傳統代理伺服器無法匹敵的高性能
　　l 安裝簡單，維護方便，因而降低了購置成本
　　l 支援64路同時連接，企業發展後可擴充到16000路
　　l 透明支援所有通用TCP/IP Internet服務，如萬維網（WWW）檔案傳輸協議（FTP）、Telnet、Archie、Gopher和rlogin
　　l 支援多媒體資料類型，包括Progressive網路公司的Real Audio，Xing技術公司的Steamworks，White Pines公司腃USeeMe，Vocal Te公司的Internet Phone，VDOnet公司的VDOLive，Microsoft公司的NetShow和Uxtreme公司的Web Theater 2
　　l 支援H323相容的視頻會議應用，包括Intel的Internet Video Phone和Microsoft的NetMeeting
　　l 無需因安裝而停止執行
　　l 無需升級主機或路由器
　　l 完全可以從未註冊的內部主機訪問外部Internet
　　l 能與基於Cisco IOS的路由器互操作

　　訂購資訊
　　帶2個10/100BaseT NIC的64路PIX PIX-64-A-CH
　　帶2個10/100BaseT NIC的1024路PIX PIX1K-A-CH
　　帶2個10/100BaseT NIC的16K路（不限）PIX PIXUR-A-CH
　　帶2個10/100BaseT NIC的64路200MHZ PIX PIX64-B-CH
　　帶2個10/100BaseT NIC的1024路200MHZ PIX PIX1K-B-CH
　　帶2個10/100BaseT NIC的16K路200MHZ PIX PIXUR-B-CH
　　10/100M bps乙太網介面，RJ45 PIX-1FE=
　　4/16Mbps權杖環網介面 PIX-1TR=
　　PIX軟體版本升級 SWPIX-VER=

　　三、 兩種防火牆技術的比較

　　IOS FIREWALL FEATURE SET PIX FIREWALL
　　網路規模 中小型網路，小於250節點的應用。 大型網路，可支援多於500用戶的應用
　　工作平臺 路由器IOS作業系統 專用PIX工作平臺
　　性能 最高支援T1/E1（2M）線路 可支援多條T3/E3（45M）線路
　　工作原理 基於資料包過濾，核心控制為CBAC 基於資料包過濾，核心控制為ASA
　　配置方式 命令行或圖形方式（通過ConfigMaker） 命令行方式或圖形方式（通過Firewall Manager）
　　應用的過濾 支援Java小程式過濾 支援Java小程式過濾
　　身份認證 通過IOS命令，支持TACACS+、RADIUS伺服器認證。 支持TACACS+、RADIUS集中認證
　　虛擬專網（VPN） 通過IOS軟體升級可支援IPSec、L2F和GRE隧道技術，支援40或56位DES加密。 支援Private Link或IPSec隧道和加密技術
　　網路位址翻譯（NAT） 集成IOS Plus實現 支持
　　冗余特性 通過路由器的冗餘協議HSRP實現 支援熱冗餘
　　自身安全 支持Denial-of-Service 支持Denial-of-Service
　　代理服務 無，通過路由器的路由功能實現應用 切入的代理服務功能
　　管理 通過路由器的管理工具，如Cisco Works 通過Firewall Manager實現管理
　　審計功能 一定的跟蹤和報警功能 狀態化資料過濾，可通過Firewall Manager實現較好的額監控、報告功能

　　四、 Centri防火牆

　　主要特性：
　　l 核心代理體系結構
　　l 針對Windows NT定制TCP/IP棧
　　l 圖形用戶結構可制訂安全政策
　　l 可將安全政策拖放到網路、網路組、用戶和用戶組
　　l ActiveX、Java小應用程式、Java和Vb模組
　　l 通用資源定位器（URL）模組
　　l 埠位址轉換
　　l 網路位址轉換
　　l 透明支援所有通用TCP/IP應用程式，包括WWW、檔案傳輸協議（FTP）Telnet和郵件
　　l 為Web、Telnet和FTP提供代理安全服務
　　l 根據IP位址、IP子網和IP子網組進行認證
　　l 使用sl口令和可重複使用口令Telnet、Web和ftp提供聯機用戶認證
　　l 使用Windows NT對所有網路服務進行帶外認證
　　l 防止拒絕服務型攻擊，包括SYN Flood、IP地址哄騙和Ping-of-Death

　　訂購資訊
　　Cisco Centri產品
　　Centri Firewall v4.0 for Windows NT,50個用戶 Centri-50
　　Centri Firewall v4.0 for Windows NT,100個用戶 Centri-100
　　Centri Firewall v4.0 for Windows NT,250個用戶 Centri-250
　　Centri Firewall v4.0 for Windows NT,用戶不限 Centri-UNR
　　Centri Firewall v4.0 for Windows NT,從100個用戶升級到250個 Centri-UDP-100-250
　　Centri Firewall v4.0 for Windows NT,從250個用戶升級到無窮多 Centri-250-UNR

　　五、Cisco PIX防火牆的安裝流程

　　1. 將PIX安放至機架，經檢測電源系統後接上電源，並加電主機。

　　2. 將CONSOLE口連接到PC的串口上，執行HyperTerminal程式從CONSOLE口進入PIX系統；此時系統提示pixfirewall>。

　　3. 輸入命令：enable,進入特權模式，此時系統提示為pixfirewall#。

　　4. 輸入命令： configure terminal,對系統進行初始化設定。

　　5. 配置乙太口參數:
　　interface ethernet0 auto （auto選項表明系統自適應網卡類型 ）interface ethernet1 auto

　　6. 配置內外網卡的IP位址：
　　ip address inside ip_address netmask
　　ip address outside ip_address netmask

　　7. 指定外部位址範圍：
　　global 1 ip_address-ip_address

　　8. 指定要進行要轉換的內部位址：
　　nat 1 ip_address netmask

　　9. 設定指向內部網和外部網的缺省路由
　　route inside 0 0 inside_default_router_ip_address
　　route outside 0 0 outside_default_router_ip_address

　　10. 配置靜態IP位址對映:
　　static outside ip_address inside ip_address

　　11. 設定某些控制選項：
　　conduit global_ip port<-port> protocol foreign_ip global_ip 指的是要控制的位址
　　port 指的是所作用的埠，其中0代表所有埠
　　protocol 指的是連接協定，比如：TCP、UDP等
　　foreign_ip 表示可訪問global_ip的外部ip，其中表示所有的ip。

　　12. 設定telnet選項：
　　telnet local_ip
　　local_ip 表示被允許通過telnet訪問到pix的ip位址（如果不設此項， PIX的配置只能由consle方式進行）。

　　13. 將配置保存：
　　wr mem

　　14. 幾個常用的網路測試命令：
　　#ping
　　#show interface 查看埠狀態
　　#show static 查看靜態位址映射

　　六、PIX與路由器的結合配置

　　（一）、PIX防火牆

　　1、設定PIX防火牆的外部位址：
　　ip address outside 131.1.23.2
　　2、設定PIX防火牆的內部位址：
　　ip address inside 10.10.254.1
　　3、設定一個內部電腦與Internet上電腦進行通信時所需的全局位址池：
　　global1 131.1.23.10-131.1.23.254
　　4、允許網路位址為10.0.0.0的網段位址被PIX翻譯成外部位址：
　　nat 110.0.0.0
　　5、網管工作站固定使用的外部位址為131.1.23.11：
　　static 131.1.23.11 10.14.8.50
　　6、允許從RTRA發送到到網管工作站的系統日誌包通過PIX防火牆：
　　conduit 131.1.23.11514 udp 131.1.23.1 255.255.255.255
　　7、允許從外部發起的對郵件伺服器的連接（131.1.23.10）：
　　mailhost 131.1.23.10 10.10.254.3
　　8、允許網路管理員通過遠端登錄管理IPX防火牆：
　　telnet 10.14.8.50
　　9、在位於網管工作站上的日誌伺服器上記錄所有事件日誌：
　　syslog facility 20.7
　　syslog host 10.14.8.50

　　（二）、路由器RTRA

　　RTRA是外部防護路由器，它必須保護PIX防火牆免受直接攻擊，保護FTP/HTTP伺服器，同時作為一個警報系統，如果有人攻入此路由器，管理可以立即被通知。
　　1、阻止一些對路由器本身的攻擊：
　　no service tcps mall-servers

　　2、強制路由器向系統日誌伺服器發送在此路由器發生的每一個事件:

　　3、此位址是網管工作站的外部位址，路由器將記錄所有事件到此主機上：
　　logging 131.1.23.11

　　4、保護PIX防火牆和HTTP/FTP伺服器以及防衛欺騙攻擊（見存取列表）：
　　enable secret xxxxxxxxxxx
　　interface Ethernet 0
　　ipaddress 131.1.23.1 255.255.255.0
　　interfaceSerial 0
　　ip unnumbered ethernet 0
　　ip access-group 110 in

　　5、禁止任何顯示為來源於路由器RTRA和PIX防火牆之間的資訊包，這可以防止欺騙攻擊：
　　access-list 110 deny ip 131.1.23.0 0.0.0.255 anylog

　　6、防止對PIX防火牆外部介面的直接攻擊並記錄到系統日誌伺服器任何企圖連接PIX防火牆外部介面的事件：
　　access-list 110 deny ip any host 131.1.23.2 log

　　7、允許已經建立的TCP會話的資訊包通過：
　　access-list 110 permit tcp any 131.1.23.0 0.0.0.255 established

　　8、允許和FTP/HTTP伺服器的FTP連接：
　　access-list 110 permit tcp any host 131.1.23.3 eq ftp

　　9、允許和FTP/HTTP伺服器的FTP資料連接：
　　access-list 110 permit tcp any host 131.1.23.2 eq ftp-data

　　10、允許和FTP/HTTP伺服器的HTTP連接：
　　access-list 110 permit tcp any host 131.1.23.2 eq www

　　11、禁止和FTP/HTTP伺服器的別的連接並記錄到系統日誌伺服器任何企圖連接FTP/HTTP的事件：
　　access-list 110 deny ip any host 131.1.23.2 log

　　12、允許其他預定在PIX防火牆和路由器RTRA之間的流量：
　　access-list 110 permit ip any 131.1.23.0 0.0.0.255

　　13、限制可以遠端登錄到此路由器的IP位址：
　　line vty 0 4
　　login
　　password xxxxxxxxxx
　　access-class 10 in

　　14、只允許網管工作站遠端登錄到此路由器，當你想從Internet管理此路由器時，應對此存取控制列表進行修改：
　　access-list 10 permit ip 131.1.23.11

　　（三）、路由器RTRB
　　RTRB是內部網防護路由器，它是你的防火牆的最後一道防線，是進入內部網的入口。
　　1、記錄此路由器上的所有活動到網管工作站上的日誌伺服器，包括配置的修改：
　　logging trap debugging
　　logging 10.14.8.50

　　2、允許通向網管工作站的系統日誌資訊：
　　interface Ethernet 0
　　ip address 10.10.254.2 255.255.255.0
　　no ip proxy-arp
　　ip access-group 110 in
　　access-list 110 permit udp host 10.10.254.0 0.0.0.255

　　3、禁止所有別的從PIX防火牆發來的資訊包：
　　access-list 110 deny ip any host 10.10.254.2 log

　　4、允許郵件主機和內部郵件伺服器的SMTP郵件連接：
　　access-list permit tcp host 10.10.254.31 0.0.0.0 0.255.255.255 eq smtp

　　5、禁止別的來源與郵件伺服器的流量：
　　access-list deny ip host 10.10.254.31 0.0.0.0 0.255.255.255

　　6、防止內部網路的信任位址欺騙：
　　access-list deny ip any 10.10.254.0 0.0.0.255

　　7、允許所有別的來源於PIX防火牆和路由器RTRB之間的流量：
　　access-list permit ip 10.10.254.0 0.0.0.255 10.0.0.0 0.255.255.255

　　8、限制可以遠端登錄到此路由器上的IP地址：
　　line vty 0 4
　　login
　　password xxxxxxxxxx
　　access-class 10 in

　　9、只允許網管工作站遠端登錄到此路由器，當你想從Internet管理此路由器時，應對此存取控制列表進行修改：
　　access-list 10 permit ip 10.14.8.50
　　按以上設定配置好PIX防火牆和路由器後，PIX防火牆外部的攻擊者將無法在外部連接上找到可以連接的開放埠，也不可能判斷出內部任何一台主機的IP位址，即使告訴了內部主機的IP位址，要想直接對它們進行Ping和連接也是不可能的。這樣就可以對整個內部網進行有效的保護。

如何在路由器上設定過濾掉某個特定mac address 的流量？不希望使用這個mac address 的主機透過路由器！
當你針對一個MAC address 進行過濾的時候，這一動作發生在第二層。而路由器一般執行的是第三層路由的任務，只有很少情況下做橋接的時候才對進入的MAC address 進行過濾，所以這樣的過濾最好設定在二層交換設備上。
方法一、但這個要求對路由器來說也不是不可能的任務，可以使用以下設定達到要求的效果：
　　ip cef//Rate-limit 需要cef的支援，路由器可能預設未啟用cef
　　interface Ethernet0/0
　　ip address 192.168.1.254 255.255.255.0
　　rate-limit input access-group rate-limit 100 8000 1500 2000 conform-action drop exceed-action drop
　　//如果源MAC address 為指定值則 drop（其他的都允許）
　　access-list rate-limit 100 0001.0001.abcd //要限制的MAC address
這時候要注意，目標工作站到達該路由器之前不能經過其他三層設備，否則MAC address 會被改掉。
問題2：“我的路由器是Cisco 1720, 不支援CEF,怎麼辦？”
Cisco 1720路由器能夠支援CEF, 但要求是12.0(3)T以上IP PLUS版本的軟體，12.2(11)YV 起標準IP版軟體也可以支援CEF。如果路由器目前IOS軟體版本不夠，需要 Upgrade。
方法二、也可以使用橋接(IRB)的方法來解決，這種方法必須要12.0(2)T 以上標準IP版軟體。設定如下：
　　bridge irb//啟用IRB支援
　　interface Ethernet0/0
　　no ip address//路由做到邏輯連接埠BVI 1上
　　bridge-group 1//加入橋接組1
　　!
　　interface BVI1
　　ip address 192.168.1.254 255.255.255.0//為橋接組1提供路由
　　!
　　bridge 1 protocol ieee//啟動 IEEE STP(Spanning Tree Protocol) 防止 Loop
　　bridge 1 route ip//路由IP流量
　　bridge 1 address 0001.0001.abcd discard//丟棄來著於MAC address 0001.0001.abcd的封包

MSN 登入時所使用的 port number 為 TCP1863、443 兩個port，相關指令如下：

Access-list acl_in deny tcp any any eq 1863
Access-list acl_in deny tcp any any eq 443
Access-list acl_in permit ip any any
Access-group acl_in in interface inside


==========================

如果防火牆可以做封包重導


以 IPFilter作範例：

rdr xl2 0.0.0.0/0 port 1863 -> xxx.xxx.xxx.xxx port 1863

把要到任何地方的 1863 port都導到一個不存在的地方

這樣MSN就不能完成登入了

==========================

rdr xl2 0.0.0.0/0 port 1863 -> xxx.xxx.xxx.xxx port 1863

xxx.xxx.xxx.xxx最好是某個存在的IP

如：168.95.1.88
但是根本不是提供MSN認證的主機

這樣MSN就會出現連線錯誤的訊息

應該很多人都會使用這項功能，但是遇到網管封Port或擔心被人入侵，就必須改Terminal Server的TCP port了，預設是TCP 3389，修改方式如下：
1.開始->執行->輸入regedit->確定
2.HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp中的PortNumber用十進位改成你想要的Port。3.HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp中的PortNumber用十進位改成你想要的Port。
4.記得修改防火牆上的設定，新增一個連接埠，輸入剛剛TCP Port。這樣便完成Server端設定。至於client端就只要在後面加上192.168.0.1:xxxx，xxxx為剛設的TCP Port，這樣就可以正常使用了。

一般Cisco Router出廠預設 configuration register 是 0x2102.
(在正常開機下設定方式 (config)#config-register 0x2102)
0x2102 代表
1. 忽略Break
2. Boot到Rommon mode如果正常開機失敗
3. Console baud rate 預設成 9600速度。
其他代號設定可參考下列網站
http://www.cisco.com/en/US/products/hw/routers/ps133/products_tech_note09186a008022493f.shtml


如果不幸Router Flash壞了或是系統異常，那就會boot到Rommon mode
如何恢復系統或跳出 Rommon 模式

1. 檢查 Config register設定是否為 0x2102 或是其他正常設定值
打入下列指令
rommon> confreg

Configuration Summary
enabled are: load rom after netboot fails
console baud: 9600
boot: the ROM Monitor

do you wish to change the configuration? y/n [n]:
如果顯示出上面紅字的部份，則不管你重開幾次都還是會回到 Rommon mode下

這時系統會問你要不要修改Boot模式，按y
do you wish to change the configuration? y/n [n]: y
enable "diagnostic mode"? y/n [n]:
enable "use net in IP bcast address"? y/n [n]:
disable "load rom after netboot fails"? y/n [n]:
enable "use all zero broadcast"? y/n [n]:
enable "break/abort has effect"? y/n [n]:
enable "ignore system config info"? y/n [n]:
change console baud rate? y/n [n]:
change the boot characteristics? y/n [n]: y
接下來的問題直接按Enter(預設為 no), 直到上述問題時按 y 進入修改
enter to boot:
0 = ROM Monitor
1 = the boot helper image
2-15 = boot system [0]: 2
選 2, 從系統中boot

Configuration Summary
enabled are:load rom after netboot fails
console baud: 9600
boot: image specified by the boot system commands or default to: cisco2-C2600
這時你會看到Boot預設狀況改變了，會有類似上述紅字顯示的部份。

最後打上 reset 指令
rommon> reset
重新開機就會回恢正常



2. 如果開機Boot設定值為正常，通常就是Cisco Router在開機時找不到有效的Cisco IOS software image

2.1 檢查flash中的開機程式, 打入
rommon 1> dev flash:
File size Checksum File name
5358032 bytes (0x51c1d0) 0x7b16 c2600-i-mz.122-10b.bin
rommon 2 >
上述表示可找到 flash記憶體中存放的開機程式

可用下列方式啟動
rommon > boot flash:c2600-i-mz.122-10b.bin
會出現下列開機訊息，通常會比正常開機時間來的久一點
program load complete, entry point: 0x80008000, size: 0x51c0dcSelf decompressing the image : ###########################################################


2.2. 如果不幸檢查flash中的開機程式, 打入
rommon 1> dev flash:
出現 "bad device name" 訊息, 表示Flash中的程式找不到

這時可以利用TFTP把程式下載到Cisco Router上
首先要在 rommon 下設定TFTP及本機IP參數, 直接在 rommon > 下打入
例如
打入本機IP
rommon 16 > IP_ADDRESS=171.68.171.0
打入本機 subnet
rommon 17 > IP_SUBNET_MASK=255.255.254.0
打入Gateway
rommon 18 > DEFAULT_GATEWAY=171.68.170.3
打入 TFTP Server IP
rommon 19 > TFTP_SERVER=171.69.1.129
打入 IOS image 檔名及位置
rommon 20 > TFTP_FILE=c2600-is-mz.113-2.0.3.Q

輸入完後打入rommom> set確認設定值
如果沒有問題，下 tftpdnld 或是 dnld 指令
rommon > tftpdnld

IP_ADDRESS: 171.68.171.0
IP_SUBNET_MASK: 255.255.254.0
DEFAULT_GATEWAY: 171.68.170.3 T
FTP_SERVER: 171.69.1.129
TFTP_FILE: c2600-is-mz.113-2.0.3.Q
Invoke this command for disaster recovery only.
WARNING: all existing data in all partitions on flash will be lost!
Do you wish to continue? y/n: [n]: y
按示 y 後開始 upload 新 IOS 到Cisco Router
Receiving c2600-is-mz.113-2.0.3.Q from 171.69.1.129 !!!!!.!!!!!!!!!!!!!!!!!!!.!! File reception completed. Copying file c2600-is-mz.113-2.0.3.Q to flash. Erasing flash at 0x607c0000 program flash location 0x60440000
rommon 22 >
下載成功 :)



2.3 如果在Rommon mode 曾出現下列訊息
"Device does not contain a valid magic number"
:( 你可能要重插你的Flash Card 或是 更換，因為應該是壞了

PIX-515 Firewall Failover 設定 [IOS版本為 7.0(2)]

LAN-based 的 failover 設定比 cable-based 步驟多了一點
但是LAN-based 的優點比較多,因此我們將針對LAN-based 做說明
PIX-515 Firewall Failover 設定 [IOS版本為 7.0(2)]

Failover分為兩種：
1. cable-based failover
兩設備間距離不超過6英尺(約1.83米)時，即可使用這種方式。因為設備可以通過
此Cable感知對方的電源狀態，而且能分辨出是設備斷電，還是根本沒插電源線。
Failover Cable是一種改進的RS-232 Cable(115 Kbps)，一端標有"Primary"
用以連接primary設備，另一端標有 "Secondary" 用以連接secondary 設備。

2. LAN-based failover
此方式一定要通過SWITCH（建議使用單獨的Switch）進行連接，或者使用VLAN
進行連接，不能使用跳線直接對連。

以下說明使用LAN-based failover 並啟用 Stateful Failover，設定流程如下：
請注意以下 IOS版本為 7.0(2)
1.完成 Primary Firewall 的各項設定
pix515(config)# int e5
pix515(config-if)# security-level 20 (設定security-level為20)
pix515(config-if)# descr LAN/STATE Failover Interface
pix515(config-if)# ip address 192.168.1.253 255.255.255.192 standby 192.168.1.254
pix515(config-if)# speed 100 (一定要定速)
pix515(config-if)# duplex full (一定要指定為全雙工,不可以設為自動偵測)
pix515(config-if)# no shut
pix515(config-if)# exit
pix515(config)# failover link e5 (設定Stateful Failover)
pix515(config)# failover lan unit primary (指定此機器設為primary)
pix515(config)# failover lan interface e5 (使用e5介面作為LAN-based failover)
pix515(config)# failover replication http (replication http 通訊協定)
pix515(config)# failover lan enable (啟用LAN-based failover功能)
pix515(config)# failover (設定完成)
pix515(config)# exit
pix515# wr mem

2.接下來請將Secondary防火牆上，除了e5網卡不要插線之外，
其他需要用到的網卡請插上網路線，並將電源打開。
pixfirewall> en
Password:
pixfirewall# conf t
pixfirewall (config)# int e5
pixfirewall (config-if)# security-level 20 (設定security-level為20)
pixfirewall (config-if)# descr LAN/STATE Failover Interface
pixfirewall (config-if)# ip address 192.168.1.253 255.255.255.192 standby 192.168.1.254
pixfirewall (config-if)# speed 100
pixfirewall (config-if)# duplex full
pixfirewall (config-if)# no shut
pixfirewall (config-if)# exit
pixfirewall (config)# failover link e5 (設定Stateful Failover)
pixfirewall (config)# failover lan unit secondary (指定此機器設為secondary)
pixfirewall (config)# failover lan interface e5 (使用e5介面作為LAN-based failover)
pixfirewall (config)# failover lan enable (啟用LAN-based failover功能)
pixfirewall (config)# failover (設定完成)

3.然後接上e5的網路線，接著回到Primary 防火牆
pix515# wr stand (將設定同步到secondary)
pix515# wr mem (存檔)
pix515# sh fa (show出 failover 的狀態) ...... 完成了!!!

工作列上的「安全地移除硬體」(Safely Remove Hardware icon)不見了如何處理？提供兩個方法:

方法一.
開始>執行
輸入:RunDll32.exe shell32.dll,Control_RunDLL hotplug.dll
輸入後按enter或按確定，會出現「安全地移除硬體」的視窗。

方法二.
建立「安全地移除硬體」的捷徑
在桌面上按滑鼠右鍵，選新增>捷徑，出現「建立捷徑」視窗，輸入:RunDll32.exe shell32.dll,Control_RunDLL hotplug.dll
按下一步，輸入捷徑的名稱例如:安全地移除硬體，按完成。
通常順利地移除後，下次「安全地移除硬體」的托盤圖(tray icon)會再出現在工作列上。例如插入記憶卡，按「安全地移除硬體」的捷徑，停用該裝置，「安全地移除硬體」可能會重新正常地出現在工作列上。

這張照片我好喜歡，有一種很寧靜的感覺
如果生活都是這麼的寧靜，那是不是更好呢?
想要平淡卻又壓制不了想不平凡的心理...

一天又過去了，
今天又是一樣的生活，
難道出了社會之後真的除了上班之外，就沒有別的事可以做了嗎?
我有好多夢想想要實現
但是要怎樣才能真正的去實現夢想呢?