NVMe AMD-Vi IO_PAGE_FAULT_處理方式

      
 近期組了一台電腦，Ryzen 3700x，然後系統用ubuntu 16.04的版本，結果會在安裝eve-ng的時候卻會發生"NVMe AMD-Vi IO_PAGE_FAULT"相關字眼開頭的問題，我遇到的是會讓網路線就停了，需要重開機才能夠解決。

 
上網找了一下問題，我遇到的問題很像是這篇文章在討論的
https://ubuntuforums.org/showthread.php?t=2290992
  
這篇描述的大概就是網路卡的晶片跟AMD相衝，有人貼要更新網路卡的driver，似乎可以解決
但是我只是想要裝eve-ng，ubuntu我還很陌生 ，就繼續找其他資料。


 直到以下這篇
https://bugzilla.kernel.org/show_bug.cgi?id=202665

 全部看到應該就是kernel的問題，ubuntu 16.04的kernel預設是4.4.x
似乎要更新到5.7.8才會正常。但是安裝eve-ng後的版本會停在4.20.17。
想也知道要我去更新kernel是有難度的，在那邊文章有寫道iommu相關設定去調整成其他模式是不會觸發，想說去bios找看看，還真的找到iommu的選項，直覺先disable，再嘗試安裝看看eve-ng，結果就正常。


心得是eve-ng官網就說amd的虛擬化只支援bare metal的安裝，但是之前要決定使用AMD前，就是找不到很多使用AMD的行家，手賤賭了一下，確實AMD支援eve-ng，但是我有個還未解決的問題，裝完後會有找不到nvidia的問題(也就是顯示不出螢幕)，錯誤訊息我沒記錄下來。但是我只是先讓我可以使用eve-ng就好，其餘有空再弄了。


另外eve-ng要使用wifi當作primary interface好像有點難度，不然就不用一定要連著實體線。
www.thingnetwork.io/working-with-eve-ng-active-backup-bond-interfaces-with-eth0-and-wlan0/
這篇有紀錄把eth0 跟wlan0綁成一個bone interface，讓eve-ng可以用bone介面當作主要介面使用。有點像是etherchannel這樣。先記錄一下，再找時間來玩囉。

Unetlab unable to get package

 

Unetlab最近似乎是要大改版，很多東西都朝向GNS3的方向走，需要donate才會有更多的功能可以使用

但是還好，基本的應該就夠用了

但是在最近update的話會出現一些package無法使用

解決方法就是在source list 這邊下手了

參考http://forum.802101.com/topic65.html#p1297

vi /etc/apt/sources.list.d/rrlabs

deb http:///www.unetlab.com/apt trusty rrlabs  增加[arch=amd64]

deb [arch=amd64] http:///www.unetlab.com/apt trusty rrlabs

再去update應該就可以了!

Unetlab-SRX-LAB-1_NAT

剛好公司的防火牆是Juniper SRX，為了去考JNCIS-SEC，所以看文件資料後，能夠有相關Lab就把它紀錄下來了。

NAT剛好是SRX主要功能之一，所以也把相關所有NAT的部分都練習一下

• Source NAT (包含interface 跟source pool 兩種方式)
• Destination NAT
• Static NAT

環境是使用UnetLab搭建的，不知道UnetLab的可以參考我之前的文章

以上是架構圖，需要基本的設定

*10.10.10.1能夠ping 到10.10.10.10

*100.100.100.1能夠ping到100.100.100.100

*1.1.1.2能夠ping到1.1.1.1

因為是Lab，所以基本上policy都先設定為permit

要先完成以上的部分，再繼續後面正題

Openvas occur "Reloaded all the NVTs"

先前介紹過在CentOS7安裝openvas，最近幾個月使用下來，也遇到幾個問題，在上篇大概介紹安裝以及一些常遇到的問題，這一篇就來講大概隔了好久之後再使用可能遇到的問題。

在Ubuntu建置UnetLab(Setup your UnetLab in Ubuntu)

• 事先準備

1. 當然要有一台主機，記憶體越多越好，我則是把之前用ESXI的主機重新格式化(感覺浪費了，同樣價錢的話我可以買平價主機板跟更多的記憶體，哭)
2. 熟讀http://www.unetlab.com/2015/08/installing-unetlab-on-a-physical-server/#comment-2232999898 這篇文章並step by step(包含了ubuntu14.04的版本，上網環境...等等)
3. 再去下載自己要使用的檔案http://www.unetlab.com/documentation/supported-images/index.html 

      ubuntu就不多說了，根據網址內的教學一步一步做應該都可以安裝起來。

OpenVas8 on CentOS7

換工作，摸索需多自己沒碰過的事物。系統及資安就是以前在SI公司最少碰的。雖然以前有摸過Linux，但是最近要碰早就不熟了，只能搜尋鳥哥及各大網路大神的文章來模仿。

OpenVas，是一個Open Source的弱點掃描工具。這套所安裝的資料庫也是會定期更新，所以針對公司內部去掃描也算是一個不錯用的工具。既然主管交代，我也順手紀錄一下，以免忘記了!!


Openvas

• 安裝環境:

          OS: CentOS-7-x86_64_Minimal-1511.iso

          CPU:2

          RAM:2G

          Disk:20G

這邊使用的Citrix XenCenter所建立的虛擬主機，以上的硬體算堪用，最多一次掃3個C網段就差不多會友覺得慢慢的了。

static route, aggregate route and generated route的分別

剛好對這幾個類型的route在routing table中有何分別，想要分清楚一下，從網路上找了一些資料來整理。

- A static route is the most obvious. You need to be able to reach a certain prefix and you specify the next-hop. This is useful when you are not running dynamic routing protocols and/or when you want to override what a dynamic protocol dictates (since the protocol-preference for a static-route is lower -preferred- than that of any dynamic RP).

Static route很簡單的就是指定一筆route往一個固定的next-hop，而後可加行為(discard or reject..等)

加拿大落磯山自助行_手機網路篇

現代人沒有網路我想應該是會很難過的，加上自助旅行有些時候是需要網路支援的，所以在手機網路上有幾個方案可以使用

1. 中華電信-美加方案，一日最高399元台幣

http://www.emome.net/channel?chid=715

2. 台灣購買加拿大預付卡

省麻煩囉，目前台灣可購買到的預付卡大多是fido系統的，fido預付卡端看儲值金額來判定有效期限

10/20元-30天, 50元-60天, 100元-365天，我是用此方案，購買一張預付卡，儲值30元加幣，其中20元購買500M網路流量, 10元當通話費，通話以分計費。這樣總共1999元，詳細就看你購買網站介紹。

3. 去加拿大後購買7-11的sim卡，也是預付卡，但沒有綁約之類，對短期旅行者來說是滿方便的，但是前提要在加拿大商店買

http://www.speakout7eleven.ca/

其實加拿大是有四家電信商。 分別 ROGERS、fido、Bell、Virgin

可以上官網看prepaid的方案比較看看，比較懶的人就找台灣專門處理的囉!

使用心得分享，因為我有在玩ingress，所以到定點至少都會開起來玩一下，而每個遊客中心都是正常使用沒有問題，偶爾在公路的某個休息站才會有收不到的問題，但是我想是山裡面，總是會有訊號屏蔽的問題，大致上都可正常使用。

而城鎮內，starbucks跟tim hortons都有提供免費網路，(題外話，每個城鎮都會有tim hortons，感覺就是台灣的7-11一樣)，用餐的餐館應該也有提供該餐館的wifi。

端看自己需求，各有各個好處及壞處囉!

加拿大落磯山自助行_套票篇

這篇講到的是套票，因為各個國家公園會有門票，而且只要有經過就有可能有檢查站。而這次我們夫妻是從baff往jasper時有遇到檢查站，但是我們前一天下午就有在lake louise的遊客中心購買兩天的票(跟店員說baff and jasper)，結果是在第二天才有用到。我們買兩天的票是9塊多的(之後貼在車上)，我們自己怎麼算都不曉得這個價錢哪來的，只能當作是因為下午購買，可能算我們一天的價錢吧。

雖然我們也有經握hope，但是也沒看到什麼檢查站，或許是隨機的吧!

經過背包客棧網友分享，如果是經過不需要票，如有檢查站會有一個pass的入口可過。(從baff往jasper的路上，1號公路轉93號公路時倒是有一個檢查站，看了一下我貼的票就放我走了)

如果有更多時間逛更多的國家公園的話，建議可以在背包客棧的加拿大區看是否有人兜售國家公園的年票，應該會更省喔!!

再來就是國家公園內的遊玩景點，這些景點似乎是被某個團體包出去經營的樣子，官網:http://www.brewster.ca

如果你的行程有安排baff跟jasper的話，如有要去遊玩 Banff Gondola(纜車)/Glacier Adventure(哥倫比亞冰原)/Glacier Skywalk/Banff Lake Cruise的話，建議去買套票比較划算

這些是啥活動呢?以下網址可以看一下

http://www.brewster.ca/activities-in-the-rockies/brewster-attractions/

套票資訊可以參考

http://www.brewster.ca/canadian-rockies/destinations/banff/activities/explore-rockies-combo-packages/

可以網路上買之後，再把它印出來，也可以去現場購買，端看行程再調整要玩的活動。

我們夫妻是購買Vista Explorer的套票，Gondola跟其他兩項的地點差很遠，所以要自己先看好時間，每個活動都有營業時間。

因為剛好有停留一天在溫哥華市區，因為那時還沒取車，所以全程是購買skyline/bus的一日劵，一張約9塊多。

這個是去超商購買即可。如果整天是在市區亂晃的話，滿建議就買一張使用，就盡情的搭skyline跟bus吧!

加拿大落磯山自助行_租車/用車/還車篇

※租車
由於第一次在國外租車，所以也查了滿多相關資訊，在這邊大概整理一下並簡單彙整必要的資訊。
在大多數的租車公司或是租車平台上，費用都會包含很多項目，大概一一整理介紹一下。
一、租車租金:
      這個就是看車種去看租金的多少
二、租車保險:
    大概介紹一下常見的
    1. 碰撞險(Loss Damage Wavier/Collision Damage Waiver)-簡單來說這個就是當不幸開車有損傷車體，就可用此保險去給付，而這個有全額/一定金額額度，舉例:0給付額，租車者不用負擔任何費用，500元給付額，如果車體須修理超過1000元，則租車者須負擔500元的金額。在此建議多花一點0給付額，畢竟是旅遊租車，之後也不再該地區，避免後續麻煩，多花一點買0給付額是可接受的啊!
    2. 竊盜險(Theft Protection)-通常這個一定會有，畢竟車行不想要車子不見啊!
    3. 第三方責任險(3rd party liability)-對自身的保險囉!
三、里程費用:
     有些車子是有規定一天只能開幾公里的，但是大部分都是無限公里數，離開台灣開車，一天開200以上是基本的，所以能選擇無限公里就選吧，免得計較那幾公里是滿掃興的。
四、燃油:
     這邊主要分以下兩種，端看自己喜好及習慣。看你還車地點附近是否有加油站而定吧!!
1. 滿油取車，滿油還車-從字面上來看就是多少油取車就多少油還車。
2. 預先買一桶油-從租車公司預先買一桶油，還車時就不用滿油還車。
五、副駕駛:
如有超過一位駕駛的話，就需要購買另一個駕駛的費用
六、異地還車費:
如果不是取車地點還車，就會多收一筆異地還車費用。
七、道路救援-看自己覺得用不用的到囉。
八、升級車型-取車後升級需加收的費用。
以上租車費用大概就是以上前幾項中加起來，注意有些項目會是另外勾選的，然後再乘以天數就是租車的總費用。大多數人都會建議保全險，但是相對就是預算會拉高，但是基本的租車保險都要有，對自己比較有保障。
我自己本身是在大陸的租車網站承租(租租車)Alamo的車子，都是中文的滿不錯的啦!
Alamo給我這一款，還不錯就是了!
https://www.hyundaiusa.com/accent/index.aspx
 
 
※用車
1. 加油: 
需要與租車公司店員確認所承租的車子可加的油是什麼，一般都是regular的油，有些加油站會標示87，87=regular。
怎麼加油? 把車子開進去加油站，停靠在某個station上，進去加油站的商店內去購買油再回來加油。如買了30元regular的油，但是只加到25元後，再進去商店跟店員說你所在的station，他就會退給你5元；反正就多退少補。
2. 加拿大與台灣相同，左駕及靠右行駛。
3. 高速公路怎麼開? 在高速公路，左邊車道都是給高速或是超車使用，千萬不要占用。超車注意事項，尤其是兩線道時，因為很多聯結車及露營車也會上高速公路，所以車速上會慢很多，在兩線道會很想要超車，這時就要注意自己超車時的安全，不要隨意超車，或是等某個路段有雙車道時才超車比較好。
4. 紅燈時可以右轉，但是要先看左邊是否有來車，要真的沒車才可紅燈右轉
5. 因為開車時間應該會很長，請準備音樂!!!!不然一路上可能就只能聽電台了。
6. 城市或是城鎮內很多十字路口沒有紅綠燈，請先停止後，讓右前方的車子先走。靜止車讓行進中的車。總之就是停下來看一下後再走，你會突然發現這樣開車也滿不賴的。
7. 開公路時，請隨時注意油量，或是一開始能知道一格油能夠開多少公里，這樣好評估油量。不然有時過了一個加油站後，要隔好久的話才有加油站啊，這樣沒油就糗了!
8. 請準備導航，這裡推薦nokia推出的here地圖，請先下載好加拿大地圖及轉為off-line模式。這軟體GPS還滿準的，但是是英文發音，所以還是要先適應一下，我靠here來帶領我在加拿大的六天路程。
※還車
當初在租租車租了之後，後續alamo推銷什麼我都沒有買(其實是自己也聽不懂)，加上車子在去看冰河的時候，結束在停車場看一下居然有被撞到的痕跡，小小的刮痕。我猜應該是被倒車ㄎㄟ到一邊。還車的時候原本想要自首，但是開到溫哥華機場的時候，還給車後，工作人員還繞一圈後，居然也沒說啥就離開了。只給了我一個收據是異地還車費(我在溫哥華市區取車，溫哥華機場還車)。我就自己認為應該沒啥差，因為我也有LDW的保險可以當給付。如果過幾天有收到任何帳單的話，我在update

Build home lab with vmware exsi

有鑑於自己無任何設備可以練習juniper lab，先前分享的olive雖然可以練習大多的指令跟主題，但是關於Layer2 vpn或是multicast的部分就真的很難去用olive練習。同時自己的同事組了一個vmware練習security lab，也引起我的興趣，去找了一下國外大概有關於vmware esxi 組lab的文章。
有興趣的也可以去看一下以下文章。
http://www.junosworkbook.com/workbooks/jncia/deploying-firefly-perimeter-vsrx-on-vmware-esxi-5-x-server

簡單來說，網路設備商大多有釋出該廠商OS的ova版本，就是可安裝在vmware上並可正常像設備使用。 Juniper目前有firefly, cisco有CSR 1000v 當然還有其他的像是F5/Arista...等等。
 以Juniper來看firefly(vsrx)要練習應該都可以正常練習， 可查詢vsrx的release note就知道囉!

準備工作
1. VMware的相容性很麻煩，主機板上的網路卡一定要有支援，不然安裝完後卻沒有網路卡可以透過網路去連接，等於沒用。

從vmware的相容性網頁去找，大都是server才能夠安裝，嚇!!因為server想也知道不便宜。所以只能請google大神出馬，搜尋後，國外有些神人是自組一台server來練習，後來我就傾向往這部份去找囉。

後來我survey的零組件如下:
Motherborad：SUPERMICRO X10SLM+-F
CPU：Intel Xeon R. E3-1231 V3
HD：金士頓 V300 240G
Memory：金士頓 DDR3 1600 8GB ECC 伺服器 記憶體 8G KVR16E11/8
Power：海韻 G-450W/ 80+金牌.半模組化
Case：cooler master 352
通通大概32000上下。

2. 能夠有從外面連回家的方式(PPTP or L2TP等等)
自己要有一台AP可以用建立vpn，這樣就可以遠端連回家啦!無時無刻可測試lab。

3. 要去VMware申請一個帳號
這個看自己要不要去申請，因為去申請後會有個免費授權，但是用此授權去啟動，有些功能會無法使用，其最重要的serial port via network這個重要功能沒辦法正常使用。安裝exsi後會有個60天評估版本，可以搜尋youtube，會有如何reset這60天的步驟。所以目前我是用這個方式。

4. 其實硬碟的部分可有可不有，國外神人有些是用NAS來儲存vmware的組態檔案。


大概是這些，純紀錄分享一下。

Linux and Mac OS use serial port on virtualbox

由於使用多個系統加上又要用virtualbox來練習lab，因為virtualbox好像不會自己增加一個虛擬網卡，所以不像在windows系統可以互綁ip來透通，所以只好使用連接serial port的方式來連入。

Linux方式：

須先安裝screen

socat UNIX-CONNECT:/tmp/pipe_junos PTY,link=/tmp/pty & screen /tmp/pty

這樣就會有cosole畫面了

OSX的方式：

先安裝xcode

我使用iterm當terminal軟體

socat -d -d /tmp/pipe_Olive PTY

紅色部分為在virtualbox定義的名稱，這邊要打入你自己定義的才是。

lizhengyudeMBP:~ Chris$ socat -d -d /tmp/pipe_Olive PTY2015/01/27 10:33:26 socat[3332] N opening connection to LEN=17 AF=1 "/tmp/pipe_Olive"

2015/01/27 10:33:26 socat[3332] N successfully connected from local address LEN=16 AF=1 ""

2015/01/27 10:33:26 socat[3332] N successfully connected via

2015/01/27 10:33:26 socat[3332] N PTY is /dev/ttys001

2015/01/27 10:33:26 socat[3332] N starting data transfer loop with FDs [3,3] and [4,4]

然後再開另一個視窗，打入以下命令

screen /dev/ttys001

（黃底部分文字要一致）

就可以有console畫面了

Olive pratice lab-BGP multihop

 
 
基本設定
我習慣用group的方式建lab，之後要移除會比較快!
基本設定
set groups test-multihop logical-systems r1 interfaces em1 unit 12 vlan-id 12
set groups test-multihop logical-systems r1 interfaces em1 unit 12 family inet address 192.168.12.1/30
set groups test-multihop logical-systems r2 interfaces em2 unit 12 vlan-id 12
set groups test-multihop logical-systems r2 interfaces em2 unit 12 family inet address 192.168.12.2/30
set groups test-multihop logical-systems r2 interfaces em1 unit 23 vlan-id 23
set groups test-multihop logical-systems r2 interfaces em1 unit 23 family inet address 192.168.23.1/30
set groups test-multihop logical-systems r3 interfaces em2 unit 23 vlan-id 23
set groups test-multihop logical-systems r3 interfaces em2 unit 23 family inet address 192.168.23.2/30

確認用r2 ping r1 跟r2 ping r3，確認OK後於兩台r1/r3加入static route讓r1/r3能夠互ping
set groups test-multihop logical-systems r1 routing-options static route 192.168.23.0/24 next-hop 192.168.12.2
set groups test-multihop logical-systems r3 routing-options static route 192.168.12.0/24 next-hop 192.168.23.1
確認用r1 ping r3，確認OK後，加入bgp設定
1. as number
2. group name and type
3. bgp neighbor ip and local address ip
4. check bgp neighbor
set groups test-multihop logical-systems r1 protocols bgp group ebgp type external
set groups test-multihop logical-systems r1 protocols bgp group ebgp local-address 192.168.12.1
set groups test-multihop logical-systems r1 protocols bgp group ebgp peer-as 65001
set groups test-multihop logical-systems r1 protocols bgp group ebgp neighbor 192.168.23.2
set groups test-multihop logical-systems r1 routing-options autonomous-system 65000
set groups test-multihop logical-systems r3 protocols bgp group ebgp type external
set groups test-multihop logical-systems r3 protocols bgp group ebgp local-address 192.168.23.2
set groups test-multihop logical-systems r3 protocols bgp group ebgp peer-as 65000
set groups test-multihop logical-systems r3 protocols bgp group ebgp neighbor 192.168.12.1
set groups test-multihop logical-systems r3 routing-options autonomous-system 65001
此時show bgp summary會看到bgp neighbor狀態是idle
[edit groups test-multihop]
lab@RE0# run show bgp summary logical-system all   
logical-system: r2
BGP is not running
-----
logical-system: r3
Groups: 1 Peers: 1 Down peers: 1
Table          Tot Paths  Act Paths Suppressed    History Damp State    Pending
inet.0                 0          0          0          0          0          0
Peer                     AS      InPkt     OutPkt    OutQ   Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
192.168.12.1          65000          0          0       0       0          16 Idle
-----
logical-system: r1
Groups: 1 Peers: 1 Down peers: 1
Table          Tot Paths  Act Paths Suppressed    History Damp State    Pending
inet.0                 0          0          0          0          0          0
Peer                     AS      InPkt     OutPkt    OutQ   Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
192.168.23.2          65001          0          0       0       0          16 Idle
-----                                  
加入bgp multihop的設定
set groups test-multihop logical-systems r1 protocols bgp group ebgp multihop
set groups test-multihop logical-systems r3 protocols bgp group ebgp multihop
確認bgp neighbor狀態
lab@RE0# run show bgp summary logical-system all                    
logical-system: r2
BGP is not running
-----
logical-system: r3
Groups: 1 Peers: 1 Down peers: 0
Table          Tot Paths  Act Paths Suppressed    History Damp State    Pending
inet.0                 0          0          0          0          0          0
Peer                     AS      InPkt     OutPkt    OutQ   Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
192.168.12.1          65000         92         92       0       0       40:20 0/0/0/0              0/0/0/0
-----
logical-system: r1
Groups: 1 Peers: 1 Down peers: 0
Table          Tot Paths  Act Paths Suppressed    History Damp State    Pending
inet.0                 0          0          0          0          0          0
Peer                     AS      InPkt     OutPkt    OutQ   Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
192.168.23.2          65001         91         92       0       0       40:20 0/0/0/0              0/0/0/0
-----                                  
logical-system: default
BGP is not running

結論是multihop通常是要增加TTL的數，因為ebgp的ttl是預設為1，所以如neighbor不是介面的IP的話，都必須要啟用multihop來增加彼此router的ttl數，來達到BGP TCP建立

ebgp要建立TCP的封包帶的ttl值為1，在enable multihop後，其值增加到64