[RouterOS] 雙 WAN 備援線路

先前介紹

[RouterOS] 多孔上行設定

的本質是一個 WAN ，但避免網路線路出問題，所以透過 Bond 將多網孔綁成一孔來上行，得到備援線路機制。

這次介紹的是在已經有 WAN 的情況下，再加一路 WAN 來進行不同網路間的備援，一般情況會選用不同的 ISP 業者，避免單一業者出問題後，備援網路也不通，這次是以 4G 網路做備援，要哪家業者，接哪家的 SIM 卡即可。

開始之前，可以先看一下原廠的文件：

高可用度解決方案 High Availability Solutions

網路架構大概是這樣：

網路	分類	Bridge	Gateway
光纖網路	WAN	BridgeWan	172.16.60.1/24
行動網路	WAN	BridgeLTE	172.22.0.1/24
區域網路	LAN	BridgeLan	10.1.*.1/24

行動網路我選擇一台工業級的 4G Router ，其他設備參閱上面連結的文章，網路設備我用停用的庫存備品 RB450 來測試，RouterOS 版本為 v7.7 。

在一般範例通常不用 Bridge 而用網孔，用 Bridge 的好處是可以多孔設定，屆時網孔故障後可以快速換孔，必要時可以做 Bond 來多條網路線共用，所以我習慣用 Bridge ，當然用了 Bridge 效能會慢一點。

這篇主要介紹新增第二外網，所以只有一個外網的基礎設定就不再介紹，請參考相關前文。若有需要，可以依流程繼續新增更多的外網。

首先新增一個 Bridge，取名為 BridgeLTE ，其他使用預設值不用動。

新增一個預設的 Bridge

指定網孔加入 BridgeLTE，這邊是測試，就只加入一個網孔，如果網路線只有室內配線通常可以不考慮多孔，也就是一般辦公室環境。工業級設備通常會跨到好幾個不同接地的區塊，就要考慮因浪湧造成直接連接的網孔被擊穿故障，所以就會考慮多孔備援的情形。

網孔2 加入 BridgeLTE

在 Interface List 中，將 BridgeLTE 加到 WAN 。

Interface List

設定 BridgeLTE 在 4G Router 下的 LAN IP，這樣如果有多個網孔，隨便插一孔，也會用 BridgeLTE 的 IP 上網。

LAN IP 設定

在 Route 加入外部 IP 的 Gateway 。優先順序是靠距離 (Distance) 調整。如果是要走負載平衡，也就是同時生效的時候，通常會跟 BridgeWan 相同，在 RouterOS 預設為 1 ，這邊希望 BridgeLTE 是備援架構，BridgeWan 若正常為優先通道，所以 Distance 設定為 2 ，優先順序可以依照此原則調整。

加入 Route 的 Gateway

基本上到這裡就設定完畢，可以透過網路線插拔後，執行 traceroute (內建工具) 或在 Windows 下執行 tracert 來觀測 RouterOS 經過不同網路連接到目的地。

[RouterOS] 建立與 FortiGate 的 IPSec 連線

看這篇前，最好把這一篇看一下，重複的就不說了：

[RouterOS] 建立一主二從的 IPsec 通道

我在 IDC 機房有台 FortiGate 的防火牆，已經有現成的 IPSec 的 Server 端，我需要從 Client 端的 RouterOS 建立規則進行連線。

測試的版本是 winbox 是 v3.37 版，RouterOS 是 v7.7 版。

我直接把前篇文章的 p002 進行還原，省得重新設定，所以最好把前一篇看過。

1. 建立 Profile

在 FortiGate 的設定是：

FortiGate Phase 1 Proposal

所以在 RouterOS 設定這樣：

RouterOS Profile 的設定

其中，Diffie-Hellman Group 5 的意思，稍微 Google 就能查到，這邊只貼出 5 ，其他的自己上網找：

Group 5 to use a modular exponentiation group with a 1536-bit modulus.

所以在 RouterOS 選擇 modp1536 即可。

2. 建立 Proposal

在 FortiGate 的設定是：

FortiGate Authentication

FortiGate Phase 2

在 RouterOS 建立一個新的 Proposal ，因為我上面用 IKEv1 ，所以取名成這樣，相關參數參考上方圖「FortiGate Phase 1 Proposal」、「FortiGate Authentication」

RouterOS Proposal 的設定

3. 建立 Peer

在 RouterOS 建立一個新的 Peer ，Address 輸入 IDC 機房 IPSec 伺服器的 IP，相關參數參考上方圖「FortiGate Authentication」

RouterOS Peer 的設定

4. 建立 Identity

在 RouterOS 建立一個新的 Identity ，Secret 輸入上方圖「FortiGate Authentication」中的 Pre-shared Key，My ID 輸入上方圖「FortiGate Authentication」中的 Peer ID

RouterOS Identity 的設定

5. 建立 Policy

在 RouterOS 建立一個新的 Policy ，Src. Address 輸入 Client 端網段，Dst. Address 輸入 Server 端網段

RouterOS Policy 的設定

到此就完成相關設定。

檢視 Active Peers

如果沒有封包流動，只會看到 Uptime 開始計時，這時有可能還有防火牆或路由問題，所以可以用 ping 來扔封包測試。

檢視 RouterOS Active Peers

如果 Client 端無法正確扔資料到 Server 端，可以在路由表加上設定，如反白的那行，我把遠端的封包指到區域網路內：

RouterOS Route List 加上路徑

最後做雙向測試，從 Client TraceRoute 到 Server ，並連接 Server 的服務，反過來從 Server TraceRoute 到 Client ，並連接 Client 的服務，搞定收工。

[VBA] 抓取 Json 檔案轉入 Excel

周一同事說，有個政府網頁的數據因為直接 Show 圖上，當滑鼠停在上面才會跳出數據，所以必須一筆一筆透過移動滑鼠來讀取並記錄。我回覆說，可以把網頁提供給資訊部，看看能不能協助存取。

昨天我收到網址，並由同事告訴我她要抓甚麼數據，確認後，開啟 Edge 的開發者模式，馬上就確認是透過 AJAX 讀取資料更新畫面。

用 Edge 測試了幾個網址，資料內容是 Json 格式，都可以直接撈出來，大概沒啥阻擋，打算用過去寫好 .Net framework 的 WebClient 去抓，一測試，WebClient 連線能建立成功，但是無法取得資料流，檔案大小都是 0 到逾時。

---

註：寫部落格時才想到，可能是 https 加密問題… 參考先前紀錄：

[CLR] .Net framework 2.0 WebClient 連接 https

---

剛好我以前是用 VBScript 寫過 AJAX ，有現成程式碼拷貝到 Excel 去測試，在 Excel 測 xmlhttp 抓資料就正常，所以可以推論這個網站有針對 http protocol 的 Header 做偵測與阻擋。

透過 xmlhttp 抓 AJAX 取得 Json 資料後，問題在 Json 解碼，這個在 GitHub 有現成程式碼可以引用：

GitHub – VBA-tools/VBA-JSON: JSON conversion and parsing for VBA

我直接引用他寫好的 JsonConverter ，見下圖的專案視窗。

上面網址的最下方說明，要同時引用他另一個專案：

GitHub – VBA-tools/VBA-Dictionary: Drop-in replacement for Scripting.Dictionary on Mac

我在 Excel 365 跑這段程式碼的時候，會因為他自建類別 Dictionary ，與 Scripting.Dictionary 不相容，所以我去修改他的類別，把原始 Scripting.Dictionary 透過 .This 丟出來，就可以順利的完成執行。

主要程式碼如下圖：

VBA 透過 XmlHttp 抓取 AJAX 資料並分析匯入

順利把 Json 共 24 欄 12,313 列資料匯入 Excel 。

已匯入的原始資料

[IE11] 2023/02/14 後無法單獨執行 IE

農曆年後，很多新聞報導微軟要在這個月 (02/14) 的安全性更新時，把 IE11 斃掉。

02/14 是西雅圖時間，所以我從 02/15 測試。

02/15 的 Edge 更新完，點選 IE11 ，會自動切換到 Edge ，經追蹤後，設定畫面沒改，還是如下方所示，但是紅圈框起來的「永不」會變成未選擇，只要人工手動改回「永不」，IE11 還是開得起來。

選擇永不就搞定

02/16 的 Edge 更新完，點選 IE11 ，又自動切換到 Edge ，本來以為要再改一次，但是不是，整個選項沒了。

[更新]

我有截圖放在 FB 上，這張圖才是 02/16 的截圖。

沒有永不可選擇

[更新]

這張圖是寫文章時抓的，所以看起來又改一版，上下數來就有三個版。

已經沒有永不可以選擇

想要讓 IE11 繼續跑，只好拜託 google 大神。

最早比較完整的可能是 2020/08/10 這篇：

Internet explorer Edge addon, begone!

從這篇後找到關鍵字後，可以找到 2020/08/04 論壇上有：

IEToEdge BHO appears in IE 11 after July 2020 Updates

再更早通常跟防毒軟體有關，看起來是防毒軟體發現新的機碼被標記。

依照上面文章將

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID\{1FD49718-1D00-4B19-AF5F-070AF6D5D54C}

設定為 0 後，IE11 又恢復可以開啟的狀態。

既然微軟打算斃掉 IE11 ，也不強迫大家硬要用 IE11 ，直接在 Edge 跑 IE11 看看，有此需求的，建議先從設定將工具列 IE11 圖示打開會比較方便，如下圖：

在 Edge 啟用 IE11 按鈕

依照先前網誌測試幾頁 IE11 專屬網頁：

[IE11] ActiveX 在獨立網頁可正常執行

測試包含 ActiveX 跟 VBScript 的 OWC 元件範例網頁正常 (網頁圖表範例) ，連入時，記得點選工具列上的 IE11 圖示，會顯示 Edge 正在跑 IE11 模式：

用 Edge 跑包含 OWC 的網頁

其次測試很多同業叫我改版的水文統計網頁，這是用 asp + VBScript 寫的 (水文統計線上分析)：

Edge 跑 VBScript + DHTML 的內容

再來測試網友叫我改的 BBS 年代的網文排版工具 (線上排版工具)

時代的遺跡：BBS 網文排版工具

我在 IE 全盛年代時，因為當時 HTML5 + SVG 還沒出來，大量採用 DHTML + VML ，VML 是 w3c 承認的格式，但是只有提出的微軟用，所以只被 IE 支援，但在那個年代網頁向量繪圖只有 VML ，沒得選，而使用 VML 縮放點陣圖是採比較耗 CPU 的重繪縮圖，不是直接抽點變得有點像是馬賽克，所以我都用 VML 縮圖，目前為止，Chrome / Edge 在縮小圖片時，還是採用抽點縮圖。

原始的檔案是做成 HTMLHelp ，可編譯成 Windows 內部說明檔的格式，其中圖檔是原圖用 1024×768 ，用 VML 語法縮圖到 512×384，滑鼠點選會顯示原圖的作法：

編譯後的線上說明檔

在 Edge 測試如下圖 (曾文水庫暨曾文溪流域資訊系統)：

Edge 跑 IE11 模式支援 ActiveX + VML

最後，在 Edge 跑 IE11 除錯模式不被支援，所以這時利用本篇一開始的說明強制回 IE11 是一種選擇，微軟也提供說明在來除錯：

Use DevTools in Internet Explorer mode (IE mode)

---

其他參考

寫這篇文章時，找到很不錯的黑大這幾篇：

沒熬過情人節的 IE11 – 強迫導向 Edge 問題及後續停用計劃

在 Windows 11 啟動獨立 IE 應用程式

本來我們公司有自製 .Net framework 2.0 + WebBrowser Controller 可以在 Win11 下跑需要 IE11 的網頁，但用上面方法更簡潔。

先前在找 IE11 繼續跑之前，有先看到 Edge 的設定網頁，有各種功能分別可在群組原則、機碼跟 Edge 專用的 XML 設定，適用於企業管控瀏覽器：

Microsoft Edge – 原則

[RouterOS] 儲存空間滿溢可能會造成無法開機

MikroTik 的 CRS326-24S+2Q+RM：100M RJ45 x1 / 10G SFP+ x24 / 40G QSFP x2

瞧，有 40G 光纖孔 2 孔，又有 10G 光纖孔 24 孔的工業級網路設備，選來做 Router 也是正常的吧？

在 RouterOS v6 之前，韌體比較小，我習慣會把 log 記錄存在 flash 內，而不存在記憶體內。因為通常設備出問題後，最常見的行為是斷電重開，若是存在記憶體內，log 就變得沒有意義，所以必須存記憶卡內，而我過去習慣是保存 10,000 筆，兩個檔案就是 20,000 筆，預設是 1,000 筆兩個檔。

儲存 log 筆數

在 RouterOS v7.2 時，CRS326-24S+2Q+RM 發生 3 次死機，後來升級到 RouterOS v7.5 後，還沒碰上過，本來以為是韌體版本問題，就沒多注意。

前一篇：[RouterOS] CRS326 重設步驟

前一篇在現場跑了一個多月，碰上斷電後，就無法啟動，簡稱 A 機，現場備機先上， A 機帶回來，我依前一篇重設後正常， A 機拿去給同事才知道，實驗室環境先前有一台測掛，簡稱 B 機，但沒跟我說，我就順便拿來試。

先前的問題從 Console 模式可以看到， A 機死機的情況是跑到最後，會顯示 services stop ，B 機升級到 RouterOS v7.6 後，RJ45 網孔只收電腦封包，不回應任何封包，從 Console 模式看， B 機卻是可以登入，所以用 Console 模式登入進去看，網孔的預設參數都不見了，連預設的 bridge 都沒出現。

看了 B 機 Storage Size 沒有任何空間留下來，經查 log file 超過 2 MB ，把 flash 空間吃完，刪除 log file 後，從 Console 下 Reset-Configuration 重設，就能順利開機登入，並還原參數。

因此我猜可能是 flash 儲存空間滿溢，趕快把我所有 CRS326-24S+2Q+RM 的 log 都先改為保存 2,000 筆紀錄，並把前一次的 log 刪除。

空出儲存空間

完成設備復原後，把 B 機還給同事，上網查一下，官方有說明如何把 log 存到 usb 行動碟去：

Disks – RouterOS – MikroTik Documentation

還有提到，RouterOS v7.7 可以設定當重開或斷電可以自動存到 usb 行動碟去。

從上所述，可能 RouterOS 開機需要自動備份參數或是寫入東西到儲存空間，若是儲存空間滿溢，就無法寫入了。

另外這邊有一個影片教學教把 log 存到 usb 行動碟去。

[RouterOS] CRS326 重設步驟

最近發生幾次 CRS326-24S+2Q+RM 在長時間執行斷電後，呈現死機，不但無法正常開機，連網孔都不回應。檢討可能原因另外開一篇說明，這邊只說明重設步驟。

重設時，我個人偏好開啟 Console 模式，這樣可以監看重設過程，如果不喜歡，就依照個人意願設定即可。

官方網站的重設步驟：Manual:Reset – MikroTik Wiki

我自己實作步驟：

1. 先斷電，Reset 按著不放，送電，約 3 秒，USER 燈閃爍，放開 Reset 鍵。

官方說明是 LED 燈，但 CRS326 除網孔外有四個燈，不知道看哪個，實測是看 USER 燈，這邊要注意，USER 燈開始閃爍就要趕快放開 Reset 鍵，大概閃爍一會熄滅後再放開 Reset 鍵就沒用了。

Console 畫面會顯示如下：

RouterBOOT backup booter 6.48.6

CRS326-24S+2Q+

CPU frequency: 650 MHz
 Memory speed: 300 MHz
  Memory size:  64 MiB
 Storage size:  16 MiB

Press any key within 2 seconds to enter setup
writing settings to flash... OK
..

loading kernel... OK
setting up elf image... OK
jumping to kernel code
Starting...
Resetting system configuration...
Starting services...
MikroTik 7.5 (stable)
MikroTik Login: 

2. 用 admin 登入 192.168.88.1/24

3. 更新韌體

Reset 只是把參數還原到預設值，韌體版本並不會變更，我在實驗室環境用 RouterOS v7.2 ，現場是 v7.5 ，因為正式版的 v7.6 已經出來了，所以我就排入工作步驟，更新到最新韌體。

Rebooting...
installed system-7.6
finishing installation...
[  477.365766] reboot: Restarting system


RouterBOOT booter 6.48.6

CRS326-24S+2Q+

CPU frequency: 650 MHz
 Memory speed: 300 MHz
  Memory size:  64 MiB
 Storage size:  16 MiB

Press any key within 2 seconds to enter setup..

loading kernel... OK
setting up elf image... OK
jumping to kernel code
Starting...
Starting services...
MikroTik 7.6 (stable)
MikroTik Login: 

4. 還原設定檔

現況已經是新韌體的空機，接下來就是把先前備份的參數檔進行還原，還原後登入驗證是否一致。

還原前仍是用 用 admin 登入 192.168.88.1/24 登入，還原後就看參數檔是啥，就改用該參數登入了。

Rebooting...
[  236.300568] reboot: Restarting system


RouterBOOT booter 6.48.6

CRS326-24S+2Q+

CPU frequency: 650 MHz
 Memory speed: 300 MHz
  Memory size:  64 MiB
 Storage size:  16 MiB

Press any key within 2 seconds to enter setup..

loading kernel... OK
setting up elf image... OK
jumping to kernel code
Starting...
Starting services...
MikroTik 7.6 (stable)
[DeviceName] Login:

---

先寫這篇是為了下一篇的引言，我想重設混在下一篇很亂，不如抽出來寫。

下一篇：[RouterOS] 儲存空間滿溢可能會造成無法開機

[RouterOS] 建立一主二從的 IPsec 通道

接續前篇：[RouterOS] 重設 Mac Address

前面先完成硬體初始化設定，再來做後面的 IPsec 通道建立測試。當然，IPSec 有很多重複的部分，可以把兩篇一起看，這篇第一台初始設定完成後，直接再還原兩台，調整 Mac Address 跟相關參數即可。

測試前有先上網找資料，有人提到 RouterOS v7 跟舊版不相容，比對了一下，是有些參數在 v7 跟 v6 以前不相通，所以如果使用的是舊版 RouterOS ，建議升級到 v7 以後，或是去找其他篇。

測試前，我先把相關軟硬體都更新到最新。winbox 是 v3.37 版，RouterOS 是 v7.6 版。

設備命名	WAN	LAN	建立通道
IDC (伺服器區)	172.16.60.230/24	10.0.0.1/24	對 p00?
p001 (設備區1)	172.16.60.231/24	10.0.1.1/24	對 IDC
p002 (設備區2)	172.16.60.232/24	10.0.2.1/24	對 IDC

IPsec 網路概況

各網段的 Gateway 都是尾碼為 1 的 IP ，就不再贅述。

WAN 的部分實際上應該是現場的 Public IP ，因為在測試環境測，所以用虛擬網段來取代。所以 WAN / LAN 實務上不需要都是 Class C ，視需求而定。

有些介面設定其實沒有順序性，但有些介面有，我的說明只是說明順序而已，不一定需要完全依照這個順序，下面說明假定從空機開始。

這邊截圖是用 p001 為準的，因為之後有多個 p??? 可以直接複製還原。

1. 建立 Profile

預設已經有 [default] 這個 Profile ，可以直接用，一般建議是自己建立自己通道要用的加密設定，如果沒有要考慮與其他人相容，通道的加密設定通常支援選項越少越好，自動交握的時間才會短，可以提高性能，Profile 可以重複使用，所以看個人，命名我習慣是項目開頭，以便識別這個是哪個項目，我沒用加密01 (Encryption) 來命名，是因為單字太長，我直接用編碼01 (Encode01) 來命名，所以從這角度來看，命名是看自己爽度。

Add Profile

2. 建立 Proposal

同上，預設已經有 [default] 這個 Proposal ，可以直接用，我自己建一個，因為我後面要選用 IKEv2 ，所以命名為 IKEv2 。

Add Proposal

3. 建立 Peer

Peer 是一個通道要一個，看到裡面要設定 IP 就知道了，也就是這裡我選了 IKE2 ，所以我前面命名為 IKE2 。

所以在 IDC 就要建立兩個 Peer 對應到 p001 跟 p002 ，所以後續如果增加 p003、p004、…，只要到 IDC 那台去新增 Peer。

圖上的 Peer-VM 是我測試到 VM 的，跟這篇沒關係，可以不用管它。

Add Peer

4. 建立 Identity

建立身分識別時需選擇 Peer ，所以依照需求選即可， 我用預先提供共用金鑰方式，密碼可自訂，但必須兩邊一致。

一樣，無須管圖上的 Peer-VM 。

Add Identity

5. 建立 Policy

建立 Policy 時，需選擇 Peer ，另外記得通道 (Tunnel) 要打勾，[Src. Address] 輸入本地端網段，[Dst. Address] 輸入遠端網段，RouterOS v6 以前在這邊需要輸入 SA (Gateway) ，在 v7 會自動偵測，建立連線後可在 Status 看到兩邊的 SA 。

馬賽克掉的部分就是跟這篇沒關的 Peer-VM 。

Add Policy-General

在 Policy Action 頁籤中，記得選上面建立的 Proposal ，選完後按下 Ok 。

Add Policy-Action

到此就完成相關設定。

檢視 Active Peers

當 IDC 跟 p001 分別設定好後，只要網路通的話，就會自動建立連線，可以從 [Policies]、[Active Peers]、[Installed SAs] 看到，一般來說網管會看 Active Peers ，Uptime 就是建立連線後過多久，斷線會歸 0 重計，後面自然就是封包數量及位元組量。

要看 SA 的話，除了 Policies 單一 Policy 的 Status 可以看外，也可以從 Installed SAs 看到所有的 SA 。

如果要備份還原的話，我會偏向先設定 p001 ，再修改成 IDC ，後面就用 p001 備份還原。但實務上通常會先設定 IDC ，因為網管總是先處理好伺服器群，才會往下做，所以等到 p001 改好後，再備份還原 p001 給 p002 或其他。

View Active Peers

如果沒有自動建立連線，請先檢查兩側分別到兩側的 WAN IP 是否可以通連，確認後再檢查參數，也可以檢查 log ，先前我有加密選錯，試圖建立連線失敗，會顯示在 log 上。

解決 Edge to Edge 防火牆設定

如果 Active Peers 已經可以正確建立，有 Uptime ，但兩邊無法互通，建議先送 ping 封包，然後到 ip / Firewall / Connections 去檢查是不是有對應 IP 一直送封包進來，若有，通常是防火牆問題。

一般建議是向下圖一樣建立 NAT 規則。

[Src. Address] 為本地端網段，[Dst. Address] 為遠端網段。

我自己試的結果是不通，有可能是因為我的上行 WAN 不是指定給網孔而是 Bridge ，所以我用下面的 NAT 可以過。

而我有下圖的 NAT 後，把上圖的 NAT 刪除，也不影響 Edge to Edge 。

Firewall – NAT 2

一主二從測通

在總測通擷圖前，同事跟我說我把 LAN 網段搞錯了，其實應該是下面這樣，參考紅字為修改部分，所以擷圖前我把 LAN 改成最新的後，測通才擷圖。所以也應證先前前面說的，LAN 可以 Class B 跟 Class C 互混。

設備命名	WAN	LAN	建立通道
IDC (伺服器區)	172.16.60.230/24	10.0.0.1/16	對 p00?
p001 (設備區1)	172.16.60.231/24	10.1.1.1/24	對 IDC
p002 (設備區2)	172.16.60.232/24	10.1.2.1/24	對 IDC

IPsec 網路修改後概況

Edge 部分分別在各區網 IP 尾碼 207 放上 Win10 電腦，分別用 ping 及瀏覽器進行測通。

可以看到 IDC 有兩個 IPsec 通道，分別來自於 p001 及 p002 。

總測試擷圖

其他

實務上，IDC 與 p001 / p002 並不是主從架構，而是平行架構，可以這樣想像，網管習慣先處理機房端，再建置各部門端，所以習慣上會把機房當主，各部門區域網路當從，但講主從可能會誤會 Client to Server 架構，實際上是 Site to Site 架構，所以要特別在最後進行補充。

就是因為實際上是平行架構，所以 p001 我也可以同時連接 VM 區，例如上面擷圖中有看到 Peer-VM 的設定，所以不是全部只能連線到 IDC ，也可以同時連線其他區網。

另外總測試擷圖看到 traceroute 部分，第一列都不通，這是因為 IPsec 通道並沒有替遠端路由自動加上路徑，若希望第一列能被偵測到，要道 ip / route 去新增，例如在 p001 要新增 10.0.0.0/16 的 Gateway 為 172.16.60.230 。

[RouterOS] 重設 Mac Address

RouterOS 的備份還原機制很強大，可以完全還原成原先設備設定。其中就包含 Mac Address 。

在有鎖定 Mac Address 的環境下，還原很有用，完全不用改上游端設定，但同一網段不能有相同的 Mac Address ，否則會產生封包碰撞，就會造成網路設備時斷時連。

我接受到一個任務，要測試 IPsec 一主兩從的環境進行測通，所以我先拿測試設備依據我上游端測試環境建立主網段，子網段我用主網段備份還原再來修改。

IP 相關設定設好後，發現主網段跟子網段大概 30 ~ 60 秒間會輪流斷網，以前碰過，我大概有印象是重設 Mac Address 即可，但是我忘了先前我怎麼做，為避免日後又忘記，所以我把步驟記錄下來，下次自己查網誌即可。

設定方式不複雜，大概兩個步驟。

1.

將網孔的 Mac Address 恢復成硬體預設值，硬體預設值是出廠時，商家賦予的，理論上是不會重複，但是網路設備這麼多，我認為早就重複了。

從 Interface 進去，針對每一孔網孔點開，按下 [Reset MAC Address] 即可將網孔的 Mac Address 恢復硬體預設值。

重設網孔 Mac Addr.

2.

比較麻煩的是 Bridge ，因為 Bridge 預設是自動編，重設完每一孔網孔 Mac Address 後，可以重新開機，重新開機會自動重編，若發現還是原先的 Mac Address ，就要檢查設定。

出廠預設值會把預設的 bridge 設定 Mac Address ，不過基於安全起見，全部檢查一遍，把每一個 Bridge 打開檢查一遍，有被設定 [Admin. MAC Address] 的，一律點選右邊的上箭號將該設定恢復為空值。

都改完後，重新開機，Bridge 就會自動重新編號。

其中，若是有 Bridge 只綁定單一網孔時，會使用該網孔的 Mac Address ，所以網孔的 Mac Address 一改變，就會跟著改。當然，使用中的網孔或是 Bridge 的 Mac Address 變更時，會斷網自動重連。

移除 Admin. MAC Address

這功能其實平常用不太到，不記錄下來，下次大概率又是又忘了。

[RouterOS] 多孔上行設定

Core Switch 使用

MikroTik 的 CRS326-24S+2Q+RM：100M RJ45 x1 / 10G SFP+ x24 / 40G QSFP x2

其中，預設上行孔為 100 M RJ45 跟 Port1 10G SFP+

上行孔我接 LAN 為 1Gb 的 4G 雙 SIM + WAN 的基地台，後來發現我的上行孔只有 100 Mb ，4G 跟 vDSL 快的時候是可以超過 100 Mb 的，所以就在中間加一台

MikroTik 的 CSS326-24G-2S+RM ：1G RJ45 x24 / 10G SFP+ x2

改由光纖孔做為上行埠。

10G SFP+ Port 23/24 跟 40G QSFP Port 1/2 我拿來做 LAN ，所以我挑 10G SFP+ Port 21/22 來做 Bond ，備援線路為 100 M RJ45 。

Bond 可參考先前文章：[RouterOS] 多網孔的 Bond 設定

首先新增一個上行的橋接器，命名為 BridgeWan

新增上行的 BridgeWan

其次，新增 BondingWan 綁定 SFP+ Port 21/22 。

新增上行的 BondingWan

將 BondingWan 跟 100Mb RJ45 都透過 BridgeWan 橋接。

設定 Port 對應 BridgeWan

最後把 BridgeWan 加到 WAN 端，讓它可變上行埠。

將 BridgeWan 對應到 WAN 端

在這個設定下，Port 21/22 可以同時接兩條到上位的 Switch ，可以互相備援及負載平衡，任何一路斷訊指是從 20Gb 掉到 10Gb ，也可以只接一路。若光纖 SFP+ 相容度不佳，還可以改走 RJ45 上行，同時在上位的 Switch 若發生故障，也可以透過 RJ45 直接接到對外的 4G Router ，提高維修的彈性。

[VBA] 替巨集簽署數位憑證方便存取

最近在論壇看到一堆問 Excel 巨集無法被信任問題。

對使用者自己來說，巨集可能很好用，所以希望隨心所欲的使用，對作業系統的安全性來說，巨集就可能潛藏外部危害，中毒就怪微軟。所以微軟一直在調整巨集安全性，降低中毒潛在風險，提高作業系統安全，但對使用者來說，就是越來越難用。

很多範例是走信任路徑，我個人是反對走信任路徑，比如說公司伺服器的路徑被同仁信任了，如果這個路徑被塞入惡意巨集時，因為路徑被信任，就會無法防護。

我個人是偏向開發人員應該替巨集簽署數位簽名。

這個議題在過去本網誌也多所提及，不過隨著 Office 版本更新，舊版本可能對使用者要做觀念轉換，本篇用 Office 2019 的 Excel 為範例說明。

數位憑證來源很多，可以用買的，可以用自然人憑證 (請搜尋本網誌先前說明)，當然也可以用免費的，本篇是以 Office 免費的憑證為範例，所以這是 Office 預設功能，不是為了解決問題，創造更多問題。

Office 2019 x64 的免費憑證產生器在下列路徑，如果不確定 Office 版本及位元版本，建議用檔案總管搜尋「selfcert.exe」

selfcert.exe 的路徑

接下來依步驟產生，第一步就是建立憑證名稱，最好取個有識別性的名稱，範例就隨便取了。

建立憑證名稱

一個步驟就可以建立憑證。

憑證建立完成

開啟一個未被信任的巨集檔案，這是在公司內部教育訓練的一個範例檔，使用 FSO 做檔案清單，包含子目錄搜尋，方便同仁建立檔案對照表用。

未被信任的巨集檔案

從 IDE 介面選單 > 工具 > 數位簽名

選單位置

預設是沒簽名的，簽名過的檔案會顯示已簽名的內容。

選擇數位憑證進行簽署

選擇剛剛產生的數位憑證，如果憑證超過一個，點選其他選擇可展開來選其他憑證。

選擇數位憑證進行簽署

簽署完的檔案記得存檔。

顯示已簽署的數位憑證

通常開發過程已經信任了開發中的巨集檔案，所以若要測試憑證是否正確被信任，需要先清除信任，這個功能會清除所有被信任的檔案，所以建議另外準備測試電腦測試，不要在平常工作電腦測試，否則所有曾經被信任過的檔案都需要重新信任。

移除所有信任的巨集檔案

透過 [控制台] > [網際網路選項] > [內容] > [憑證] 可以管理憑證。

如果找不到控制台，先開啟檔案總管，直接在網址列輸入 [控制台] 即可。

憑證管理

Windows 11 的憑證管理畫面如下。

Windows 11 叫出網際網路選項後就能進入憑證管理。

這邊可以看到先前建立的憑證出現在這。

自建免費憑證會出現在個人區

舊版的 Office 可以在開啟帶有數位憑證的巨集將該憑證直接進行信任，新版本的 Office 移除該功能，所以必須把數位憑證匯出後，散佈給使用者匯入，使用者匯入後，凡是經由該憑證簽署的巨集檔案，就直接可以使用，不用再經過確認。

開始匯出憑證

依畫面逐步操作。

Office 的免費憑證沒有私密金鑰

依預設值匯出。

依預設值選擇匯出格式

選擇匯出路徑。

選擇路徑

完成憑證匯出。

完成憑證匯出

匯出成功。

匯出成功

憑證匯出後，就可以散佈給使用者匯入，但開發電腦已有憑證，必須先刪除才能測試使用者端的情境，所以在這邊先刪除，開發者千萬注意，開發電腦請不要刪除憑證，這個憑證匯出後再匯入，不能再被來用來程式碼簽署，所以千萬不要刪除，除非只是打算測試，刪除後必須重新產生新的憑證進行簽名，即使名稱一樣，因為實際隨機金鑰不同，仍然會被視為新憑證，需要重新散佈。

刪除憑證從上面憑證管理畫面進入進行刪除。

開發電腦千萬不能刪除憑證

刪除憑證後，數量比上面的圖片少一項。

已刪除剛建立的免費數位憑證

接下來測試使用者的匯入，一般被散佈的對象直接從這個步驟執行。

從上面憑證管理畫面，選擇受信任的發行者後選擇匯入。

選擇受信任的發行者

憑證匯入逐步執行。

匯入憑證

使用者將收到的憑證檔案存檔後，依路徑選擇進行匯入。

從路徑匯入

確認匯入的位置是 [受信任的發行者]

匯入受信任的發行者

即將完成憑證匯入。

即將完成憑證匯入

憑證匯入成功。

憑證匯入成功

可看到憑證正確匯入，其他的憑證是相關軟體的原廠憑證。

憑證匯入成功

直接開啟剛剛簽署好數位憑證的巨集檔案，可以看到直接進入，無須再信任。

已被信任的巨集檔案

檢查 Excel 信任中心，可看到數位憑證已被信任。這邊需要特別注意，因為是信任憑證，所以是對電腦所有依據憑證授權的都生效力，比如說 Word、PowerPoint 的巨集若是簽署相同的數位憑證，也會直接被信任。

已被加入受信任的發行者

重新被匯入的數位憑證不能被用來簽署程式碼，因此不用擔心散佈憑證會被其他人再利用。

先前產生的免費數位憑證刪除後再匯入就不能再被用來簽署

分別測試不同的位置，看看是否可以被信任。這是透過網路芳鄰 (SMB) 上的路徑 (UNC) 進行測試，可直接被開啟執行。

透過 Nas 存取巨集檔案

透過 OneDrive 同步路徑進行測試，可直接被開啟執行。

OneDrive 同步路徑

透過 OneDrive 網頁進行測試，可直接被開啟執行。

OneDrive 網頁

我 Google 雲端沒裝同步軟體，所以可以當作是一般網頁下載進行測試。

Google 雲端硬碟

一般網頁下載檔案仍受限 Windows 內建功能會被阻擋，可以點選啟用編輯。

預設阻擋來自網路的檔案

選擇解除封鎖後，亦可直接執行巨集檔案。

從檔案總管選擇解除封鎖

我個人比較偏好從數位憑證簽署來讓巨集檔案安全被散佈，若有簽署數位憑證的檔案，必須由開發人員才能存檔，可以確保檔案散佈後不會被修改。

[IE11] ActiveX 在獨立網頁可正常執行

先前提到

[IE11] 透過設定信任網站簡單讓 IE11 恢復 VBScript 支援

最近有人跟我反應 OWC 網頁無法正常檢視。

OWC 網頁我不確定是何時開始做的，不過依據我在 2002 年已經開始用在正式專案上推定，OWC 網頁至少是 2002 年做的，我開始使用的版本是 Office XP 附隨的 OWC10 。

OWC 網頁的網頁繪圖放在 培基語言 裡面：

如下圖，OWC 版本下方應出現 OWC ActiveX COM 的控制項，但是沒有。

網頁圖表範例的 OWC 無法正確顯示

為了除錯方便，我習慣將目標網頁單獨開窗，直接執行 OWC 的 [網頁圖表範例] ：

單獨開窗執行網頁圖表範例

可以看到上圖，可正確執行該網頁，並呼叫版權畫面觀看版本資訊。

初步推論，應該是框架 (frame) 安全性擋掉，不過我沒空去追安全性更新是哪版開始擋。HTML5 建議不要再使用 frame ，改用 iframe ，所以有可能 frame 安全性又被進一步限縮。

如果單獨執行網頁，只需要加入信任網站就可執行：

加入信任網站

加入信任網站後，不用另外加入相容性檢視設定：

相容性檢視設定維持空白

測試無誤後，我順便測兩個網友希望我更新到 HTML5 的網頁，我還沒空更新的：

水文統計線上分析

這個網頁是從水文統計網頁改版，使用 Server 端使用 ASP + VBScript ，Client 端使用 DHTML + VBScript ，所以除了 IE 以外，都不能執行。其中因為 Client 端使用 VBScript ，所以回歸年與設計量無法被其他瀏覽器支援。

正確設定信任的網站後，仍然可以執行，如下圖。這網頁我有承諾有空會改。

水文統計線上分析

線上排版工具

這個工具是當時 BBS 網路文學盛行時，因為 BBS 版面約在一行 80 char，作者習慣使用 76 char 左右 (參數可調整) 時寫的，只有做成 Client 端 DHTML + VBScript ，亦即表示可下載到自己電腦執行。

目前都以網頁瀏覽 BBS 了，所以這個排版工具好像沒啥用，我不知道為什麼還有網友會想用。

線上排版工具

[RouterOS] Core Switch 的 VLAN 設定

參考前篇的說明：

[RouterOS] 多網孔的 Bond 設定

這些設備大部分用在無空調的環境，網路架構大概是這樣：

網路架構圖

前篇做 Bond 的就在右上角。

左側有多個分區，呈星狀分布，分布在半徑 3 公里內，採光纖連接，總共約有 1600 個網路設備。

每一區的網路設備中，其中有外商特定設備，設定時須用原廠軟體，採先廣播封包偵測硬體取得的 DHCP 列在軟體界面上後，逐台設定。

因為使用到廣播封包，所以每一區給一個 Class C 作為廣播封包的界線，而各區的監測系統則集中在機房的 CSS326 下。各光纖連接則直接連到 CRS326 上，所以 CRS326 就相當於 Core Switch。

考慮未來維運方便下，各分區的 Switch 採免設定方式，可用任何工業級交換器連接，設定重點僅需考慮 CRS326 這台上。

整個主網域為 10.x.yyy.* ，因為還有後續用途，所以直接用 10 起頭的來作主網域，所有 ID 為方便辨識，一律為 xyyy 編號，所以 10.1.3.* 的 Class C ，我就編成 1003 。

為了方便設定，除第一筆資料用 winbox 介面輸入外，第二筆以後資料，都配合 console 模式，在 Excel 公式組成命令後，直接貼上去來加入，內建設定若不衝突我就保留。

Pool

Pool 是關聯性最少的，先寫。前面說到設備預設為 DHCP ，所以必須開 DHCP Pool 給 Router 分配 IP 池，設備數量是多餘 Pool 的，不過出廠前會先設好，所以 Pool 只需保留給維運人員現場換新機或是插入網路使用，所以沒留很多 IP ，RouterOS 也可以指定一段範圍，不用遮罩計算，不過我覺得這樣比較簡單好記，所以直接用 /29 來限制 IP 範圍。

Pool 設定

Bridge

Bridge 橋接器的基本開設也沒有關聯到其他設定部分，算底層先開設。

Bridge List

VLAN

VLAN ID 同前面所述 ID ，採 xyyy 編碼，反正範圍是 1 ~ 4095 ，夠我用了。

VLAN List

Port

接下來指定每一個網孔對應的 Bridge/VLAN ，因為我採相同的編號方式，閱讀起來會比較容易。

前一篇說過，我把 23/24 孔做成負載平衡 (Bonding0000)，可以跑 20G ，所有交換區都在 0000 ，這台有 2 孔 40G 孔，也保留在交換區，另外光纖孔 01 ~ 15 分別對應到 1001 ~ 1015 ，剩下 1000 為機房區域的工作區。

Port List

IP Address

設定每個子網段區間跟對應的 Bridge ，為了方便起見，基本上以 Class C 來切割。

IP Address List

DHCP Server

設定每個 Bridge 對應的 Pool

DHCP Server List

指定每個 DHCP 網段的 Gateway / DNS Server ，大部分指向 Router 服務，減少對外流量。

DHCP Network

Interface

最後指定廣域網路 (WAN) 跟區域網路 (LAN) 的 Interface 。

Interface List

目前相同架構應用在另一個分區有 18 區，約 600 個網路設備的環境下，運作良好，現在挑戰 1600 個網路設備。

[RouterOS] 多網孔的 Bond 設定

一個現場有多台網路設備的案例中，在

Core Switch 使用 MikroTik 的 CRS326-24S+2Q+RM：100M RJ45 x1 / 10G SFP+ x24 / 40G QSFP x2

Edge Switch 使用 MikroTik 的 CSS326-24G-2S+RM ：1G RJ45 x24 / 10G SFP+ x2

考慮網路的穩定性，Core Switch 到 Edge Switch 使用兩條光纖跳接線連接，同時使用可讓網速最大到 20G 。

Core Switch 用的是 RouterOS ，Edge Switch 用的是 SwOS ，RouterOS 設定上滿單純的，打開 winbox 設定軟體比較方便，當然有內建 Web winbox ，我喜歡用視窗版的。

新增 Bonding 網孔

在 Interface 點選 Bonding 頁籤，選擇新增，取一個名字。

我習慣後面帶上 VLAN ID 好辨識，ID 0 表示沒 VLAN ，然後到 Bonding 頁籤設定網孔，Slaves 選網孔名，可以多個，我把 Core Switch 23/24 孔接到 Edge Switch 的 SFP+ 1/2 孔。

RouerOS 對於多網孔的 7 種模式都支援，有興趣可以 google bond blance rr 。

設定好就會出現在 Interface 中。

設定好的 Bond

實際上我七種模式都有測試，分別看全速運作的速度跟通訊到一半，把光纖跳接線拔掉，我自己偏好用 blance rr ，因為下游也是同一家設備，可以直接支援，如果下游是不同家設備，可能用 blance alb 比較妥當。

MikroTik 是非常經濟實惠的品牌，可工業用，工作環境溫度超過 60 度，公司是直接聯絡露天賣家的公司安弟進貨，有興趣可以參考。

露天賣場：CRS326-24S+2Q+RM：NT 18,500 / CSS326-24G-2S+RM：NT 5,500 。

遠離我的文件與桌面

在使用 Windows ，愛用 D 槽儲存檔案是個好習慣。

這邊不是說男人的 D 槽，而是說你的資料。

先重常見的案例來看，有些人會發現 Windows Update ，或其他更新或大型軟體安裝後，桌面檔案不見了。

原則上軟體安裝或更新不會刪除你的檔案，也通常不會誤刪，但可能發生幾種狀況：

1. 安裝時間過長，造成硬碟過熱產生不正常存取。
2. 使用者帳號受損。

Win10 大版本 (半年) 更新特別明顯，有些人安裝完進入 Windows 時，跟新的一樣，桌面跟新使用者一樣。如果你是 IT/Developer ，請立刻檢查目前使用者，通常是暫時使用者。

先冷關機冷他一下，大概 10 分鐘即可，再開機，看是不是能正常載入你原先的使用者，如果正常，就是過熱導致存取異常。

如果不正常，仍是暫時使用者，就是使用者帳號受損。

當登入的是暫時的使用者時，請立刻建立新帳號，改用新帳號登入，不要在暫時使用者下浪費太多時間，因為登出或重新開機時，Windows 都會清除暫時使用者的內容，所以千萬不要把檔案存在暫時使用者的桌面或是相關功能目錄下，例如我的文件。

除暫時使用者會被自動刪除外，檔案通常仍在原先使用者下。

如果你看到你是原先使用者，仍找不到檔案，切到命令提示字元，輸入

SET

看看你目前使用者使用的目錄。

Windows 對於使用者帳號受損時，會這樣處理：

0. 原先使用者的帳號為 NowUser ，放在 C:\Users\NowUser 下。

1. 帳號受損

a. 不能修復，會用 Temp 登入，也就是暫時使用者。

b. 能修復，Windows 會自動修復，建立新帳號資料，放在 C:\Users\NowUser.Windows 下。

c. 再次修復會加數字，我忘了加在哪。

所以舊的檔案要自救，可以從原先的使用者目錄檔案中找到。

當然還有更慘，當不是使用者帳號受損，而是 Windows 受損時，有可能會影響到使用者資料目錄，甚至中毒、格式化、重灌，都有可能會影響到，那麼為什麼不將檔案直接放在 D 碟，為什麼要放在風險高的 桌面、我的文件 之類的？

養成習慣，不要把檔案放在桌面，放在 D 槽，你才不會不明所以的以為檔案被系統刪掉了。

[Hyper-V] 奇怪的網路不通問題

我在 05/03 時，電腦使用預設網路狀態，透過 RJ45 連接線與 Winbox 3.35 直接與 MikroTik 的 CRS326 全光 Router 進行連線與設定。

在 05/06 時，打算設定另一個 CRS326 24 x RJ45 1G 的型號，發現完全無法通訊，先前這設備都是同事設定的，所以問了先前同事經驗，同事分享可能是 UDP 封包，建議我關閉其他網卡、防火牆，只剩 RJ45 那張網卡通訊，還是測不通。

改用 RS-232 透過 Console 線可以正常用終端機模式測通，重設機器後，可以透過 FTP 連線，但無法登入，其他服務都無法測通，甚至用

telnet ip1.ip2.ip3.ip4 port

也只有 ftp 能連線，其他服務都無法連線。

隔壁同事說我手髒髒，把網路線牽給他，他用工業電腦可以直接連線，由隔壁同是更新韌體，還原到初始狀態後，05/07 移交回給我。

我接手後仍然無法測通，這時，只剩我電腦問題了。我想了一下，05/03 我還可以設定全光的路由器，所以先接回 05/03 設定的那台。這時發現，05/03 那台也無法設定了。

最後發現，RJ45 那張網卡綁定的 Hyper-V 虛擬網卡停用，就可以用了。

我查了一下電腦更新紀錄，最後 Windows Update 是 04/15 ，我網卡沒開自動更新驅動程式，電腦在 04/29 後，完全沒有任何安裝新軟體。

總之，不明原因不通，只知道是 Hyper-V 虛擬網卡停用即可。

做個紀錄，看啥時能發現原因。

[資安] 上市櫃公司相關連結參考

這篇是保存最近相關上市櫃公司需要因應政策的連結，不需要的可以跳過。

上個月底，稽核轉券商通知說上市櫃公司要導入相關資安規定了。

這部分我有預期，民國93年政府機關要導入資訊安全長 (資安長)，民國103年金融機構開始導入資安長，類推應該是民國113年上市櫃公司要導入資安長，只是稍微提早一點，不過實務上只有超過 100 億或是前 50 大目前這次要導入資安長，其他上市櫃公司只有資安專責主管、人員。

這次主要的發起是金融監督管理委員會 (金管會) 在 公開發行公司建立內部控制制度處理準則 中，新增 9-1 條，自 2021/12/28 起生效：

第 9-1 條

1. 公開發行公司應配置適當人力資源及設備，進行資訊安全制度之規劃、監控及執行資訊安全管理作業。符合一定條件者，本會得命令指派綜理資訊安全政策推動及資源調度事務之人兼任資訊安全長，及設置資訊安全專責單位、主管及人員。
2. 前項一定條件，由本會定之。

上述一定條件，金管會在 202/12/23 發布新聞稿：「公開發行公司建立內部控制制度處理準則」第九條之一、第四十七條修正草案已完成預告程序，將於近期發布施行，有規定：

分級標準	資安單位暨人力編制	實施時程
第一級： 符合下列條件之一者： 資本額100億元以上 前一年底屬臺灣50指數成分公司 藉電子方式媒介商品所有權移轉或提供服務（如電子銷售平台、人力銀行等）收入占最近年度營業收入達80%以上，或占最近二年度營業收入達50%以上者	應設資安長及設置資安專責單位（包含資安專責主管及至少2名資安專責人員）	111年底設置完成
第二級： 第一級以外之上市（櫃）公司，最近三年度之稅前純益未有連續虧損，且最近年度財務報告每股淨值未低於面額者。	資安專責主管及至少1名資安專責人員	112年底設置完成
第三級 第一級以外上市（櫃）公司，最近3年度稅前純益有連續虧損，或最近年度每股淨值低於面額。	至少1名資安專責人員	鼓勵設置

公開發行公司建立內部控制制度處理準則9-1條一定條件

在上述條文公告、發布新聞稿後，台灣證券交易所 (證交所) 也在 2021/12/23 有相關新聞稿公布：協助上市公司強化資安防護及管理，證交所發布「上市上櫃公司資通安全管控指引」

稽核很高興的說，上櫃不歸證交所管，可以先不用理他，我又找到證券櫃檯買賣中心 (櫃買中心) 在 2021/12/23 發布的新聞稿：為協助上櫃公司強化資安防護及管理機制，發布資安管控指引

裡面說到兩個重點：

1. 配合金管會公告修正「公開發行公司建立內部控制制度處理準則」第九條之一及第四十七條，提升發行公司對資訊安全之重視，與臺灣證券交易所共同制定「上市上櫃公司資通安全管控指引」(下稱資安管控指引)，協助上市、上櫃公司強化資通安全防護及管理機制。
2. 建議上櫃公司宜加入資安情資分享組織，如所屬產業資安資訊分享與分析中心(ISAC)或臺灣電腦網路危機處理暨協調中心(TWCERT/CC)

所以證交所發布「上市上櫃公司資通安全管控指引」還是要參照。

證交所文件下載：

A045：上市上櫃公司資通安全管控指引，2021/12/21 (.docx)

ISAC 有分產業，搜尋了一下，能源產業應該是 PE-ISAC ，可以參考：行政院資通安全處「強化國家資安基礎建設計畫」，但目前只聞樓梯響，看不到入口網站。

新聞連結：能源局1,292萬續推PE-ISAC平台，提升基礎設施資安

另一個 TWCERT 則比較簡單：

• 台灣 CERT/CSIRT 聯盟(規章及會員申請/異動表)
• 會員清單

但問題在於資安專責主管、專責人員的資格要求是甚麼？公司要怎麼配合，目前稽核、財務分別問了券商、會計師，都沒找到相關規定，不過還好我們是第二級，可以先等第一級做完來抄… 不是，來學習。

行政院國家資通安全會報技術服務中心依據資安職能，有設立資安人才培訓服務網，裡面有相關教育訓練、評量(考試) 的報名。111年上半年資安職能訓練 (報名不需會員資格)在台南地區只有一場，由崑山科技大學負責，只有 30 個名額，先搶名額，03/02 10:00 開放報名，搶了 40 分鐘網頁才完成報名，是第 28 個，但是 eMail 卻收到好幾封報名成功信件，最早是 10:25 ，不知道是不是重複報名了，另外對象是資通安全管理法納管機關資安專職(責)人員之資安專業知識與技能，不知道非公務機關的上櫃公司在繳報名費時會不會被退貨。

微軟最有價值專家 (MVP) Andy 在金融機構，我向他請教，他表示他們是被要求資安證照 (一人2張)，每年要上15小時的資安相關課程的時數，資安證照是依據行政院國家資通安全會報裡有列出相關的資通安全證照才被認可。

110年第2季更新之資通安全專業證照清單

參考上述清單，唯一國內資安證照為經濟部工業局辦的中級資訊安全工程師，中級資訊安全工程師需要先考初級資訊安全工程師，2022年只有辦理兩次初級資訊安全工程師考試、一次中級資訊安全工程師考試。

鑑定項目	報名截止	考試日期
111年第一次初級資訊安全工程師能力鑑定	2022/04/18	2022/05/28
111年中級資訊安全工程師能力鑑定	2022/07/01	2022/08/13
111年第二次初級資訊安全工程師能力鑑定	2022/10/10	2022/11/19

經濟部工業局資訊安全工程師能力鑑定

換句話說，想要今年拿到中級資訊安全工程師證照，就要參加上半年的資級資訊安全工程師能力鑑定後，放榜立刻報名中級資訊安全工程師能力鑑定。

資安專責人員政府機關是依據 資通安全責任等級分級辦法 ，一般上市櫃公司應該是非公務機關的 C 或 D 級，大前提都是「核定」以後才生效，並無規範未核定之前該怎樣處理。

附表	級別	單位	項目	細則	內容
六	C	非公務機關	資通安全教育訓練	資通安全專責人員	每人每年至少接受十二小時以上之資通安全專業課程訓練或資通安全職能訓練。
				資通安全專責人員以外之資訊人員	每人每二年至少接受三小時以上之資通安全專業課程訓練或資通安全職能訓練，且每年接受三小時以上之資通安全通識教育訓練。
				一般使用者及主管	每人每年接受三小時以上之資通安全通識教育訓練。
			資通安全專業證照		初次受核定或等級變更後之一年內，至少一名資通安全專責人員持有證照一張以上，並持續維持證照之有效性。
七	D	各機關	資通安全教育訓練	一般使用者及主管	每人每年接受三小時以上之資通安全通識教育訓練。
八	E	各機關	資通安全教育訓練	一般使用者及主管	每人每年接受三小時以上之資通安全通識教育訓練。

資通安全責任等級分級辦法 CDE 非公務機關整理

從資通安全責任等級分級辦法附表六來看，資通安全專責人員參加資安職能訓練12小時以上即可，看起來前面去報名資安職能教育訓練應該是可以，另外看起來每年公司自辦的教育訓練，資安宣導要從2小時延長到3小時比較保險，才會符合規定。

其他相關法規：

• 資通安全管理法
• 資通安全責任等級分級辦法
• 資通安全實地稽核項目檢核表(適用特定非公務機關)

[CLR] .Net framework 2.0 WebClient 連接 https

12 年前工業級設備環境還有 Win2k WorkStation ，當時開發的回傳走 http 是用 .Net framework 2.0 ，2.0 是能安裝在 Windows 2000 或 Windows Me 以前 OS 的最後一個版本，那個年代雖然已經有 https 了，但是用的不多，所以當時回傳資料的程式開發時，就直接這樣用，再於回傳裡面標記檢查資訊。

這周有個客戶希望把資料也扔他們那一份，當初是用節區架構建的，所以在參數檔新增他們的節區即可，這部分是同事處理，連續兩天溝通確認扔不過去，我介入處理後，先調出 log 檔的錯誤訊息。

大概常在網路上讀文章，一看錯誤訊息就推論疑似是 https 問題，檢查網址果然是 https 。

馬上 google 搜尋 WebClient https ，找到黑大的文：

C# 連線 HTTPS 網站發生驗證失敗導致基礎連接已關閉

原則上有兩個解決方向：

1. 改程式碼，加入 ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls12
2. 改機碼，設定 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v4.0.30319\SchUseStrongCrypto=dword:00000001

改程式碼部分，搜尋 MSDN 查屬性，在 .Net framework 4.0 前只能設定 Ssl3 跟 Tls ，但就是這兩個加密協定被停用。參考下面連結 (從左邊下拉式可改 .Net 版本)

SecurityProtocolType 列舉

所以改試機碼變更，在 .Net framework 2.0 不吃 SchUseStrongCrypto 。

於是再祭出 google 大神搜尋 WebClient https “.Net framework 2.0″ site:support.microsoft.com ，得到：

TLS 系統預設版本包含在.NET Framework 2.0 SP2，Windows Vista SP2 和 Server 2008 SP2 的支援

這邊是說 .Net framework 2.0 SP2 已經加入相關加密協定支援，機碼用：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v2.0.50727\SystemDefaultTlsVersions"=dword:00000001

即可。

我是跑 32 bits Application On Windows 10 IoT x64 ，所以要改用機碼 (Windows 64 On Windows 32)：

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft.NETFramework\v2.0.50727\SystemDefaultTlsVersions"=dword:00000001

一測試就可以通聯，問題解決關案，還不用改程式碼。

另外這個 KB3154517 有寫到，在 SP2 列舉常數 SecurityProtocolType 已經加入 Tls11 / Tls12 的支援，所以也是可以改原始碼的。

不過事情解決了，就懶得改原始碼，把機碼匯出來，直接變成選項載入。

最後，.Net framework 相關文件都建議停用 WebClient ，改用 HttpClient ，作為本篇附註參考。

繼續閱讀 →

[VBA] Office 自動化的必要免費開發手冊

微軟的開發文件不斷的統合，目前最新版的基本上只有線上手冊，放在：

https://docs.microsoft.com/zh-tw/visualstudio/vsto/getting-started-office-development-in-visual-studio

早期的文件中，建議務必取得的是 Office 2003 SP3 內含的附屬文件，從安裝完成檔案抽出來，可以更方便的運用。

早期多數人開發過程中很少按下 F1 瀏覽離線版的線上手冊，更不要說備份下來隨時翻找，我自己當時也沒做，但因為有相容測試需求，有留虛擬機，還好可從虛擬機裡面抽出來。

後續微軟文件大多數改線上版，為了配合線上版，反而短少物件架構圖，有點可惜。

我自己是定時會將新的線上手冊複製下來統合在一個目錄：

備份存放線上手冊的目錄結構

再使用 Windows 內建的快速工具列做超連結，以便隨時查閱：

快速工具列超連結到線上手冊

下面列舉幾個需要它的截圖。

我覺得最重要的功能就是有 Office 所有物件的物件架構圖。這在 Office Automation 開發中非常發便，甚至不限於 VBA/VB6/VBScript 開發，對 .Net framework 下支援 COM 的各語言也非常方便，例如 VBNET/C# 等，對於 C# 來說，還是要呼叫 Office COM 內的方法、屬性、使用事件等，但對於新版的線上手冊來說，沒有物件架構圖很不容易找到對應的需求。

Office 2003 Excel 物件架構圖

中文的線上說明，這部分在新的線上手冊效果遞減，早期線上手冊放在 MSDN 下，幾乎是只有英文說明，當然多數的開發者能閱讀英文說明，但畢竟沒有中文說明更親切。

我比較喜歡當時的次要查詢，例如下圖，點擊多重物件可以跳出 Document 下的各子物件或集合物件，新版的線上手冊都統合到屬性去，找起來比較困難。

Office 2003 Word 子物件 Doument

操作快速。離線式的線上手冊，永遠比在線式的線上手冊快，而且可以在無網際網路情況下開發，特別適合於有管制網路的環境。

例如，Access 附 SQL 語法說明手冊，入門 SQL 語法，這個線上手冊很不錯，雖然不是 ANSI SQL 1992 以後相容語法，但是差異不大。而且也可用來比對 Access / Excel 透過 OLEDB / ODBC 不同語法的差異，這個檔是相容於 OLEDB 的。

Office 2003 Jet/Oledb SQL 語法說明

Office 2003 SP3 是有完整中文線上手冊說明的最後一版，新版的線上手冊就多數是英文手冊了，要看中文版可能要到本篇最前面介紹的網址看。

Office 2019 使用 ADOX 建立空白的 mdb 檔案

例如 Visio 2013 中文版只有英文線上手冊，就沒有物件架構圖，我覺得不好用。

Office 2013 Visio Document 物件說明

新版 Office 仍有少數中文線上手冊，例如部分人愛用的條碼控制項。

Office 2019 內的條碼控制項說明

如果不是使用 VSTO ，除了 Office 內件線上手冊外，Script 5.6 的線上手冊也很重要。

例如有名的物件 FileSystemObject(FSO) 就可以在 VBA 內使用。

Script 5.6 FileSystemObject 的子物件

VB6/VBA/VBScript 對於檔案處理並不友善，例如先前在這篇

[VBA] Excel 安全性調整後，跨檔案所需要的變更

內部教育訓練的案例3 截圖中，需要整理檔案清單給業主，或是資訊循環中，需要整理系統文件的檔案清單給內稽、外稽檢查，那麼這時候使用 Excel VBA 做成一個常用巨集檔，就會很方便的產生檔案清單。

例如用教育訓練的案例3 產生這篇文章線上手冊的檔案清單如下圖。

線上手冊的檔案清單

案例3 呼叫 FSO 的 myDir 。

呼叫 FSO 的片段程式碼

除 FSO 外，也可以在 Script 5.6 找到 JavaScript 的說明跟通用運算式的說明。

VB6/VBA/VBScript 裡面的 Find/Replace 是比較陽春的掃描搜尋方式，而 JavaScript 直接就是使用通用運算式搜尋，無疑效能、彈性提高很多，所以要在 VBA 內使用通用運算式，要參照 Script 5.6 手冊。

Script 5.6 JavaScript 與 VBScript 可用的通用運算式

另外還有一些當年很好用，現在幾乎是廢棄的線上說明。

比如說 OWC 當年是一個很好的 COM 元件，可用在 VB6 / VBA / VBScript / VBNET 中，可用在 ASP/ASP.NET Web 的 Server 端輸出圖形，也可以用在 client 端當 ActiveX 用，簡直百搭，SQL Server 2008 R2 以前內建支援 OWC，但也隨著時代淘汰。

Office 2007 OWC 12 線上手冊

當年還有一個 MODI 元件很有用，可以給 VB6/VBA/VBScript/VBNET 等支援 COM 語言使用，例如將一張掃描的圖片做 OCR 轉成文字，但在 Office 2007 被微軟淘汰，用 OneNote 取代，當年 OneNote 的辨識率還不如 MODI。

Office 2003 MODI 的 VBA 開發手冊

微軟有很多很不錯的離線式的線上手冊，多數人沒看過就消失，對於開發者來說，這都是一些很重要的參考文件，如果需要，不妨在虛擬機上安裝舊版的 Office ，把相關文件備份出來參考。

[iOS] 更新 App

話說，12/11 收到 Apple 寄來的信：

---

Dear [我的英文名],

Your app, [我的 App 名], app Apple ID: [App 代碼], does not follow one or more of the App Store Review Guidelines.

For details, or to contact App Store Review, visit Resolution Center in App Store Connect.

Best regards,
App Store Review

---

因為看不出來要幹嘛，所以沒理他。

01/20 收到 Apple 更新的信：

---

Dear [我的英文名],

On September 1, 2016, we announced that we’re implementing an ongoing process of evaluating and removing apps from the App Store that no longer function as intended, don’t follow current review guidelines, or are outdated.

You were asked to submit an updated version of your app, [我的 App 名], app Apple ID: [App 代碼], for review within 30 days. We noticed that either you did not submit an updated version of your app or the updated version of your app was not approved. As a result, your app has been removed from the App Store.

Next Steps

Your app has not been deleted from your account. To make your app available on the App Store, submit an updated version that follows the latest App Store Review Guidelines. Your app will become available on the App Store if the update is approved. If you submitted an update after the 30 day grace period, please allow time for review.

Additional Information

Learn more about changes to the App Store and keeping your apps up-to-date.

App Store Improvements
App Review Resources
Debugging Your Apps

Best regards,
App Store Review

---

我還真不知道，Apple 上架後，一定時間內要更新，不然就強制下架，這個時間看起來差不多是三年。

我主要是做 HTML5 網頁去適應手機、平板，所以當初 App 只有做 WebView 框架，只要把 WebView 導向到我的 HTML5 網頁即可，所以只需要重新編譯上傳。

MacBook Pro 很久沒開機了，所以 01/21 主要是在更新 MacBook Pro ，01/22 才開始關關難過關關過。

關卡 1 ：MacBook Pro 開不了機

大概是太久沒接電，應該是沒電了，插上電源一開始一直開不了機，而且我可能插錯 Type-C 的充電孔，我看到有兩孔，先插上面那孔 (接近軸承)，一直沒作用，大概過 10 分鐘發現到還有一孔，換了一孔後再試，就可以正常開機了，但是 MacBook Pro 完全沒有電源指示燈，再一開始根本不知道哪的問題。

關卡 2：更新 Mac OS / XCode / Visual Studio for Mac

先前的經驗就是得先更新，更新時一定要注意 XCode ：[iOS] 環境升級後，無法正常編譯 App

更新 Mac OS 純粹就是花時間而已，下載久，更新久，重開機久，沒想到更新 XCode 也久。

等到看向 Visual Studio for Mac 時，已經更新完了，但是我不認識它了。原來三年前是 Visual Studio 2017 for Mac ，更新完後是 Visual Studio 2019 for Mac 。

關卡 3：重新產生憑證

更新完了以後，從方案總管那邊的選項找到可以填寫版號，專案總管那邊預設溝選繼承方案總管版號，改完以後直接重新編譯，但錯誤訊息卻說找不到憑證可以簽名 (已經過期) 。從 [鑰匙圈存取] (Key Chain) 看得到過期的憑證。

所以就照先前文章開新的憑證：[iOS] 建立 App Store 簽名用的憑證給 Visual Studio for Mac 使用

整別人最後的下場就是整自己，Visual Studio 介面上可以直接產生憑證，我當初放在最後一個畫面，所以我自己又跟著我原先的步驟產生了新的 [iOS Distribution] ，中間 Apple 網站有些有更新的，但是不影響產生佈建用的憑證。

看到最後，Visual Studio 那個畫面，我自己都想揍我自己，當初幹嘛耍寶… 我用 Visual Studio 產生佈建用的憑證時，只剩下新的 [Apple Distribution] 可選，查了一下，新增的 [Apple Distribution] 包含 [iOS Distribution] ，可以只產生 [Apple Distribution] ，此外原先 [iOS Distribution] 在帳號理可同時有 2 個，現在變成只能有 1 個，而新增的 [Apple Distribution] 可同時有兩個。

關卡 4：編譯器無法使用新憑證簽名

編譯時跳錯誤：

/Library/Frameworks/Mono.framework/External/xbuild/Xamarin/iOS/Xamarin.iOS.Common.targets(3,3): Error: 無法針對 ‘bin/iPhone/Release/[專案名].app’ 進行程式碼簽署: Warning: unable to build chain to self-signed root for signer “Apple Distribution: 公司名“
/Users/support/Projects/[專案名]/[專案名]/bin/iPhone/Release/[專案名].app: errSecInternalComponent

首先想說錯誤訊息有中文，先搜尋了中文相關說明，但是沒有有用的內容。

改用英文錯誤訊息搜尋，參照這篇：Unable to build chain to self-signed root

要求依照官方文件這篇處理：Apple Worldwide Developer Relations Intermediate Certificate Expiration

這篇的意思是說，因為 Apple 有更新相關開發的憑證，我的 MacBook Pro 憑證太舊，我新產生的憑證參照的新憑證不存在，所以不被信任，不可用來簽名。的確，從 [鑰匙圈存取] 看到憑證的狀態是不可信，所以只要照官方文件更新 XCode 即可自動更新憑證，但是我 XCode 已經更新到最新的，怎麼會還是舊的？

參考一位 MVP 的說明：iOS Development 的憑證、簽署識別、佈建設定檔在使用 Xamarin 開發 iOS App 時要如何設定(手動篇I)

從 XCode [Preferences] 新增 開發人員帳號後，點選 [Manage Certificates…] 即可，剛好我 [鑰匙圈存取] 在背景，就看到新增了對應憑證，我的佈建用憑證也變為可信任的，就順利完成編譯。

關卡 5：無法封存以供發行

參考自己先前寫的這篇：[iOS] 上傳 App 到 App Store 供散佈

編譯完成後，經過在不同模擬器跑都正常，就準備封裝以供發行，但跑到上傳前，卻一直跳錯：

unable to vaidate archive

這次只搜尋這個錯誤訊息也找不到有用的訊息，我測試一下，封裝是可以正確產生 [專案名].ipa 的，所以我想是不是 Apple App 設定問題？最後重新輸入我的 [App 專用密碼] 就正常了，沒想到 Visual Studio 自動升級後，記憶的密碼居然是錯的…

我想可能封裝不用檢查發行用的 [App 專用密碼] ，所以可以封裝，但是要上傳 Apple 的 App Store ，會檢查 [App 專用密碼] ，所以無法驗證封裝檔案。

關卡 6：App 版本編號還是舊的

先前說到，我在方案總管、專案總管都有看到可設定版號，我以為是這裡就可以搞定，但是我每次封裝完的 App 都是舊版版號，被拒絕執行下一步，最後在程式碼 [info.plist] 裡面找到版號，更新這邊的版號才有作用。

關卡 7：無法上傳到 App Store

封裝完沒問題後，卻跳出無法上傳到 App Store ，這部份是我自己真的忘了，但我應該知道，我先前也沒紀錄到。

要上傳之前，App Store Connect 那邊要先針對新版號開一個空間，Visual Studio 才能把新版上傳到這個位置，開好就正常了。

Visual Studio 2019 for Mac 不用像 Visual Studio 2017 for Mac ，先產生 [專案名].ipa ，而是直接產生完後就上傳，所以會找不到 [專案名].ipa ，但也方便很多。

關卡 8：要上傳新的螢幕擷圖

回到關卡 7 的網頁，新版本要求要四種版本的畫面擷圖，其中包含 iPhone 6.5 吋跟 iPad Pro 12.9 吋 (第三代) ，起先模擬器我跑 iPhone 13 的，沒想到居然尺寸不對，上 Apple 官方網站查詢以後，改用 iPhone 11 Pro Max ，iPad Pro 12.9 吋就比較單純，模擬器是第五代的，一次搞定。

關卡 9：隱私權聲明

關卡 7 的網頁更新擷圖後，要提交審查，還要求勾選隱私權聲明，就是沒有在 App 裡面蒐集使用者資料。想當然爾，WebView 啥都做不了，勾選了聲明後，終於可以提交審查了。

上架

前次的經驗審查滿久的，這次還算順利，01/22 16:24 完成提交審查，01/23 00:01 開始審查，01/23 08:50 完成審查上架，不過比較奇怪的是先被下架，不知道是不是按錯了，同一分鐘兩種操作。

通過審查重新上架

後記

太久沒用 MacBook Pro 了，我已經忘了擷圖要按哪顆鍵，所以這篇都沒有擷圖可參考…

[RouterOS] 虛擬機試用

這篇最早應該不能算是測試心得，只是最後走到 RouterOS 虛擬機。

2020/07 公司因為業務要經銷資安系統，所以公司也買一套資安系統作為展示與測試的環境。但過了一年，業務決定要放棄，這套資安系統就不續約了，閒置的空主機，在 2021/12 公司決定要導入顧大俠的產品時，就打算安裝在這台閒置主機上。

原先的閒置主機的 OS 是 VMWare ESXi 6.7 (7.0 降級授權) ，當初資安系統虛擬磁碟用了完整佈建 (固定容量大小) ，把閒置主機吃掉近 2 TB 硬碟容量，將近 1/2 實體容量，但虛擬機內實際只吃了 31 GB，而 VMWare ESXi 的相關指令不能縮小這顆虛擬硬碟，所以打算用實體機常用的 ToDo Backup 來做。

由於 VMWare ESXi 實體空間不是很夠，所以分階段降低硬碟容量。

1. 把資安系統的虛擬硬碟做填 0 動作，然後透過磁碟管理盡量縮小容量，縮小後，再找磁碟重整軟體，把後方空間盡量清空，再重作磁碟管理縮小容量，虛擬機關機。

2. 把 Todo Backup 虛擬化開機，然後把資安系統虛擬硬碟掛載到 ToDo Backup ，打算備份到新的虛擬硬碟，沒想到 Todo Backup 免費版不支援空硬碟格式化，挖哩勒…

EaseUS Todo Backup Free 下載點：https://tw.easeus.com/backup-software/todo-backup-free.html

3. 下載 USBoxV6 光碟開機版，裝到 VMWare ESXi ，強制設定永遠從光碟開機，掛載空的虛擬硬碟初始化。

USBoxV6 下載點：https://hsuanthony.pixnet.net/blog/post/225209033

4. 終於 Todo Backup 把新的虛擬硬碟做好，想要備份到檔案伺服器上，才發現 VMWare ESXi 這台在 Server 區，Server 網段不允許 DHCP ，所以 Todo Backup 無法自動取得 IP 連線到檔案伺服器上。

到這邊是我的前提，當然有其他方案可以考慮，我想到我之前還有待辦清單要測試 NTP Server 、Class A、切 16/512/131072 個 IP，所以打算用 RouterOS 虛擬機做橋接，讓 RouterOS 拿 Server 區的固定 IP ，派發虛擬 IP 給 Todo Backup 之類的虛擬機，先用 192.168.0.0/16 來設定，所以在 VMWare ESXi 開了虛擬 Switch192 出來。

虛擬交換器

RouterOS 虛擬機下載：https://mikrotik.com/download (點選 Cloud Hosted Router 有不同 Host 的虛擬機可下載)

我是掛在 VMWare ESXi ，當然下載 VMDK image 檔，虛擬機配置如下：

項目	說明
CPU	1 核即可，我配置 2 核
DRAM	最好大於 64 MB，我配置 128 MB
HDD	選既有的磁碟 (64 MB)，配置 IDE (0, 0) ，主要磁碟
網卡 1	Server 區的網段
網卡 2	vNetwork192

RouterOS 虛擬機配置

啟動配置好的 RouterOS

RouterOS 虛擬機是空機，初始化配置有點複雜，建議對一下既有的硬體配置設定，或是看看相關教材。

網路測通後，Todo Backup 終於能備份到檔案伺服器上，備份完後，我把 Todo 儲存備份檔的虛擬磁碟清空，節省容量。

這又是另一個悲慘的故事，我沒注意到當初資安廠商建立虛擬機時，有用差異快照檔案功能，所以我備份的 vmdk 是建立快照時的空的 Windows ，不含任何資安軟體與 log … 但我已經砍掉了，算了，以後要續約的時候，再請廠商重新安裝。

RouterOS 不同網段測試的部分就不一一列示，我測完 Class A 後，直接把 Class A 的測試檔拿來改，測試切成 16 個 IP 。

快速設定 16 個 IP 網段

IP 計算機可參考：https://www.iptp.net/zh_HK/iptp-tools/ip-calculator/

從 10.1.1.177 切 16 個 IP 範圍是 176 ~ 191 ，前後兩個 IP 不能用，剩下 177 ~ 190 共 14 個 IP 可用，拿 177 做 Gateway ，另外再把 184 ~ 187 共 4 個 IP 設為 DHCP 範圍。

讓 Windows 從 RouterOS 的 DHCP 自動取得 IP ：

自動取得 16 個 IP 的網段

RouterOS 的 DHCP 預設會從 IP Pool 最後一個開始分配，滿了以後，會從 Next Pool 開始分配，若都沒有 IP 了，就會分配失敗。所以從 187 自動取得。

RouterOS 的 NTP client 是內建的，NTP Server 是官方外掛套件。

RouterOS 外掛套件下載：https://mikrotik.com/download (虛擬機下載 x86 的 Extra packages)

安裝好 NTP Server

安裝好 NTP Server 會出現在 System 選單中，通常要啟用 NTP Server 時，通常也要啟用 NTP Client ，NTP Client 用來對上游校時，NTP Server 則是給下游校時用。

上游的 NTP Server 很多，例如說 Windows 內建的是 time.windows.com ，但因為是 Windows 內建的，所以幾乎全球的 Windows 都跟它校時，常常連不上。

在台灣可以使用政府標準檢驗局的標準時，由1969年成立的國家時間與頻率標準實驗室發布，是委託給中華電信研究院負責。

國家時間與頻率標準實驗室 網址：https://www.stdtime.gov.tw/

目前國家提供的時間伺服器 (NTP Server) 有：

• tick.stdtime.gov.tw
• tock.stdtime.gov.tw
• time.stdtime.gov.tw
• clock.stdtime.gov.tw
• watch.stdtime.gov.tw

既然是國家標準時，自然一堆政府機關、半官方法人、團體等都是對國家標準時校時，所以用戶多，常常碰上連不上 (逾時) 的情況。

既然是中華電信執行，而且公司網路基本上都在中華電信上，所以我一般都跟中華電信校時。

clock.hinet.net (168.95.192.12)

其次是效能不錯的 Google 時間伺服器，早期 Google 分成 4 台時間伺服器，現在用 DNS 做自動平衡，一般使用者用 time.google.com 即可。

別名	NTP Server	IPv4	IPv6
time	time1	216.239.35.0	2001:4860:4806::
time	time2	216.239.35.4	2001:4860:4806:4::
time	time3	216.239.35.8	2001:4860:4806:8::
time	time4	216.239.35.12	2001:4860:4806:c::

Google 的時間伺服器

所以 RouterOS 對上游校時的主伺服器設定為中華電信，次伺服器設定為 Google 。

Windows 再對 RouterOS 校時即可。

對 RouterOS 校時。

在有 AD 架構下的網域，Windows Client 會自動對 AD Server 校時，另外 Windows Server 可以透過 regedit 修改啟用 NTP Server ，倒不一定要用到這個方案。

我這個方案是要用在現場，現場沒有 Windows Server，而 RouterOS 的硬體都是便宜大碗的工業級設備，支援多 WAN ，多通道的 Site To Site VPN，唯一的缺點就是設定複雜，現場網路設備多需要校時，統一對 RouterOS 校時最好，把校時流量關在 LAN 裡面，只有 RouterOS 走 WAN 去校時。