大略規格如下：
CPU: Intel Core i5-650 內建HD Graphics 顯示及支援Turbo Boost
記憶體: DDR3-1333 2GB
硬碟: 500GB
光碟機: DVD RW 燒錄器
網路: Intel 82578DM GBE 網路卡
完整支援Intel vPro 技術及三年保固

先從外箱看起。外箱的長寬高及重量，一個人勉強搬得動。

驗明正身。基本規格及序號，已經印在外箱貼紙上。

機身擺設還算穩固，正上方的紙盒為鍵盤，右側邊的紙盒為相關配件。
不過機體一旦從外箱拿出來，我每次都很難按原擺設塞回去，因為白色的塑膠泡綿很軟，在進箱子時很容易脫落。

配件之一的PS2 規格鍵盤。
個人覺得敲起來偏軟，手指不太能感覺到按鍵的回饋力道，不過隨機附贈也沒啥好挑了

配件盒之二。

配件展示一。
有華碩USB滑鼠、滑鼠墊、電源線、原廠保固卡、跟裝在一袋裡的一堆光碟片跟說明書。小弟覺得比較特別的是，機身的5.25” 及3.25” 面板竟然有完整提供，因為過去買HP 商用電腦是完全沒有給，就不清楚是否為經銷商拿走，還是原廠就沒有給了。

配件展示二。
從塑膠袋中取出的光碟片非常豐富，光作業系統就提供了 Windows XP Professional SP3、Windows 7 Professional 32 位元及64 位元的還原光碟，並且還有提供原廠的驅動程式光碟及讀卡機驅動光碟。
更棒的是，有提供趨勢的PC-Cillin 2010 Internet Security Pro 一年份授權。
其他附加的光碟有CyberLink PowerDVD v8、Nero 9 Essentials、FOQUEST AssetQuest 資產管理軟體、FARSTONE 硬碟克隆專業版備份軟體。

主機現身，實為兩大兩小兩隱藏的機殼設計。

右側面來一張。
機體的側邊也提供了兩個USB 插槽。至於很重要的Windows 7 金鑰貼紙雖然貼在機殼側板的下方，儘管有點不明顯，但個人覺得能降低許多意外破損的機會。

主機背部照。
提供非常完整的IO 埠功能，連DVI 接頭、COM 埠及LPT 埠都有。另外，機身也提供了防盜鎖；如果不想讓鎖孔露出，還能收進機殼內。

主機板IO 背板的小開關，是用來開關Intel ME 功能。

機體上方也有華碩原廠的序號標籤。
請務必跟外箱序號驗證，確認品項正確。

隨機直接附贈多功能讀卡機，而且能讀取晶片卡。
軟碟機這種東西就讓他變成歷史，不過BIOS 預設有開啟，沒有額外裝軟碟機的話，就順手關閉吧。

建議華碩，如果機殼側板可以改使用手轉螺絲，對IT 黑手會方便許多。

拆殼照。
我覺得線整得蠻凌亂的，但軟硬碟機及光碟機有免螺絲和快拆功能，介面卡也有免螺絲的卡筍設計，這部份對IT 人員還算方便。

重新整線，好像也只好一點點而已。

台達電子生產的CAA-350ATA 350W 12 公分風扇電源供應器。

使用的主機板為P7Q57-M DO。
從型號及前面圖片的說明書可以大略猜到，ASUS BM5295、BM5395 及BM5695 應該都是採用同一塊主機板。
要特別提醒的是，雖然P7Q57-M DO 有在國外零售，但更新BIOS 時也請務必從華碩檔案下載中心的「桌上型電腦」 → 「Commercial」類別，找到商用電腦的對應型號，再從該型號頁面下載BIOS，否則更新零售主機板的BIOS 可能會造成不明錯誤。

這台電腦預載的是Apacer 宇瞻科技的DDR-1333 記憶體及顆粒。
之前我們公司採購進來的ASUS BM5320 商用電腦，則是比較常見到華碩投資的ASint 昱聯科技記憶體。

機殼前方面板也有快拆功能。

前方面板脫殼照。如果想要拆下讀卡機，請注意讀卡機下方還有一個小螺絲要鬆掉。

旋轉式設計的硬碟架。
用手往上一扳，就能將硬碟架90度轉出。

硬碟雖然有手轉螺絲提供快拆功能，但實際上在第一次卸下時，還是需要借助硬幣或其他工具使力，否則會難以轉動手轉螺絲。小弟猜測大概是因為組裝工廠大量裝機時，作業員應該都是用電動起子上鎖的關係。

硬體裝置列表。很可惜，燒錄機並非使用華碩自家產品。

用CPU-Z 軟體辨識CPU 資訊。

BM5395 出廠預設安裝的作業系統為Windows XP 專業版，對於許多仍在使用Windows XP 的中小企業來說，減少需要降版的時間。另外，系統也預載了華碩的AI Manager 常駐工具列，除了可以自行新增應用程式的快捷外，還能利用該軟體做USB 及光碟機的禁用存取設定，並透過該介面瞭解系統資訊及相關更新。

AI Manager 完整功能介面展開。

因為BM5395 有完整支援Intel vPro 技術，所以系統也預載安裝了Intel 中小企業IT 專家軟體，可對企業內部具備vPro 技術或安裝了中小企業IT 專家軟體的電腦做遠端管理。

用Everest 軟體及Win7 內建的測試做簡單賽豬公。

使用BrunInTest 軟體測試穩定度，全速運作時所消耗的功率，大約是七十幾瓦跳動。

一般使用所消耗的功率，大約四十幾瓦跳動。如果有使用光碟機，還會多加個 10W上下。

後記及心得分享

基本上，儘管BM5395 與公司之前採購的BM5320 在外觀及配件並無太大不同，但是硬體效能及功能卻是大大提昇，除了完整的IO 埠介面，更提供了Intel vPro 功能，對於中小企業的IT 人員或老闆來說，的確可以達成輕鬆管理的目的。另外，隨機附贈的燒錄及防毒等正版軟體，也降低企業需要額外採購的費用，算是非常貼心的服務。

如果企業沒有需要BM5395 這樣較高規格的硬體，其實仍推薦購買較低價位的BM商用電腦系列，因為除了配件相同外，內部的所有零件即使過了三年保固，依然可在市面上購買到可替換的產品；之前公司捨棄採購HP 商用電腦有很大的原因在於，過了三年保固，市面上根本就很難買到可替換的BTX 主機板及電源供應器，一旦有這兩樣關鍵零件故障，就幾乎等同整台報廢，連機殼都只能當廢鐵賣。

而以ASUS BM 商用電腦系列未來的殘餘價值來說，即使CPU、主機板或記憶體故障，屆時過保且無可替換，仍然能以舊瓶裝新酒的方式，採購市售電腦零組件做更換，降低再購置新機的成本。

再從購置費用及無形成本分析，一台電腦包含正版授權的Windows 及其他正版應用軟體，還有三年原廠全機硬體保固，這恐怕不是組裝機能夠相比的。我過去也曾經嘗試，想用組裝機的方式降低公司購機費用，但整台組裝下來加上Windows隨機版，竟然也只比ASUS BM5320 系列便宜一些而已。假使運氣不好，碰上組裝機有零件故障了，還必須將零件拆下轉交給經銷商或IT人員親送維修中心，這一來一往的時間，其實公司無形中又負擔許多成本。

最後要提醒的是，BM5395 實際會有細部型號不同，比如可能會是使用i7 或i5 的CPU，或者預先裝載獨立顯卡，建議企業採購時務必留意。

前陣子入手人生的第一台小黑 - Lenovo ThinkPad X201，因為筆電預載的是Windows 7 Professional 32 位元版，所以又跟Lenovo授權維修中心申請借用官方64 位元Windows 7 繁中版還原光碟，但在還原過程意外發現，拿到的竟是香港繁體中文版。

以小弟龜毛的個性（作業系統潔癖症!?），與其用港版的Win7 還原光碟，不如自己全新安裝Windows 7 英文版並搭配Traditional Chinese ( Taiwan, ZH-TW ) 語言包，然後一個個手動下載及安裝驅動及應用程式。

本來以為一切都很順利，直到開始測試一些Fn 組合鍵功能，又發現亮度雖然能調整，但是卻無法顯示OSD 數值；只好再用關鍵字拜請股溝大神才知道，原來是我習慣抓晶片廠的最新版驅動所造成的錯誤，只要改使用Lenovo 原廠提供的驅動就能恢復。

如果事情有這麼簡單，就不會有這篇文章了。

因為，我又發現調整螢幕亮度的OSD 值，由最暗到最亮竟然是2，然後往上就依序跳4、7、9、11、12、13、14、15，反之則是15、14、13、12、11、9、7、5、2….囧rz

這時，腦海中突然飄過這陣子很紅的一句話：「魔鬼藏在細節裡！」

於是，小弟開始檢查Lenovo 驅動程式解壓縮後的目錄（因為Lenovo 官方提供下載的大多是EXE 自解壓縮程式），果然看到目錄裡多了Intel 顯示驅動不太可能會放的東西。

比對之後發現，原來人有一半是自己殺的。

因為小弟不喜歡C 槽根目錄被建立一堆資料夾，所以習慣把驅動程式指定解壓縮到另一個地方，造成Lenovo 預設解壓縮後所呼叫的批次檔，找不到「LCDBright.reg」而無法把機碼寫入系統，最後在手動寫入後就通通恢復正常了。

果然，魔鬼都藏在細節裡！

最近家裡買了一組辦公桌當成研究小間的電腦桌用，由於不想把一堆網路設備跟電源延長線到處放，搞到桌面或桌下亂七八糟。剛好，意外發現以前曾經買過的一台五埠Switch：PCI FX-05SMC2 在底部有含磁鐵，所以可以很輕鬆地吸附在鐵製辦公桌，因此讓我動了改裝現有設備的念頭。

本次改裝最重要的材料是圖中的強力磁鐵，來源取得非常簡單，身為一個IT松鼠應該有很多不要的舊硬碟，從那些硬碟裡拆開就有非常高品質的強力磁鐵；而且，小弟發現越早期的舊硬碟，磁性越強。

（硬碟拆解方法可以參考重灌魔人所撰寫的文章：硬碟壞掉後的最後利用價值—「超強力磁鐵」！。）

如果把磁鐵用膠帶或瞬間膠黏在設備外面，這樣介紹就太無聊了，其實要推薦給大家的是，可以把磁鐵黏貼在設備的內部，優點如下：
1. 如果磁鐵磁性太強，會導致卸下設備時，你的設備及磁鐵很容易當場分家，而磁鐵依然安穩地貼附在鐵製品上。所以，放置於內部較容易解決分家問題，而且就算用膠帶亂固定磁鐵，在設備外面也看不到。
2. 無論你的設備是鐵製外殼還是塑膠外殼，也不用過度擔心磁性大幅削弱，磁鐵依然能以隔山打牛般發揮效力。

（小提醒：黏貼磁鐵時需注意是否會跟內部零件互卡）

完成示範如下，圖中的Zyxel GS-108A、ASUS GigaX 1008 跟一台ATEN CS84A KVM 都是利用磁鐵改裝的方式輕鬆吸附在鐵製辦公桌。

另外要注意的是，像是KVM加上相關線材後會相當重，所以必須特別考慮是否有足夠的磁力。像我只放了兩小塊磁鐵進去，就不幸讓KVM掉在木頭地板砸出兩個很深的洞....囧rz

最後想說的是，其實最近感覺蠻慚愧的，自從過年前接受iThome採訪之後，陸續因為忙著搬家還有公司的事情，再加上迎接人生大事，一直沒有時間再分享IT心得，等到這些告一段落會再多貼些測試及建置教學文章。

還好，網路上有DD-WRT 這公開的軔體能刷在特定的IP 分享器使用，裡面提供的功能包羅萬象，就看分享器內建的ROM 有多大，能使用的功能就有多少。
（注意！刷非原廠軔體不在保固範圍內，不過我好像買來第一天就都改刷了...）

所以這次就是要用DD-WRT 內建PPTP Server 來完成任務。有支援的軔體版本請參考官方連結。

設定方式非常簡單，兩張圖就講完。
進入分享器的頁面後，找 [伺服器] -> [VPN]，然後點選啟用 [PPTP 伺服器]。

參考下面說明及圖片進行設定。
● 伺服器IP 欄位請輸入IP分享器的內部IP：
以本文為例，則是 192.168.1.254，也就是指定IP分享器為Gateway。

● 用戶端IP 欄位請輸入希望給予的IP 範圍，建議設定為同網段範圍，格式如：

192.168.1.161-165

這部份在經過惡搞後發現，輸入跟分享器不同網段，VPN 還是會連接並取得設定的IP ，但你會發現就被關在那個網段裡面了，連Internet 都上不了。

● CHAP-Secrets 欄位則是用來輸入相關的帳號密碼，格式為：

帳號1 * 密碼 *
帳號2 * 密碼 *

如果需要給予多筆帳號，可以分行建立。請注意密碼的前後務必給予一個空格，否則就會跟我當初測試時一樣鬼打牆。

最後請點選 [儲存重啟]，使PPTP Server 功能生效，這樣就完成了伺服器端的設定。

接著在用戶端進行設定連線及測試。
到 [控制台] -> [網路及網際網路] -> [網路和共用中心]，點選 [設定新的連線和網路]。

點選 [連線到工作地點]。

點選 [使用我的網際網路連線 (VPN) ]。

這部份的資訊在連線時很重要，請輸入該IP分享器的對外或網址。「目的地名稱」則是用來建立連線時的識別名稱。

輸入帳號密碼後即完成在用戶端的連線設定。

而在Windows 7 裡最快的連線步驟，就是用滑鼠左鍵點擊右下角的網路圖示，再依據指示就能成功連線。
圖中的「PPTP」就是當初建立的「目的地名稱」。

最後要說的是，以台灣目前的網路環境，一般家用的ADSL/FTTB大都屬於浮動IP，所以在連線使用VPN 可能會有些不方便。如果像是使用中華電信的用戶，其實可以轉申請浮動轉固定的服務，或者可以申請Dyndns 的動態DNS 服務，然後在DD-WRT 上進行設定，這樣就會比較容易在外面連線到對外服務的IP 分享器，然後與內部網路進行連接。

另外特別提醒的是，如果有考慮開啟VPN Server，建議盡量將內部網路的網段設定至較為特別的位置，避開使用類似192.168.0.0/24或192.168.1.0/24等網段，因為這些網段都常在旅館或咖啡廳被使用，會導致兩端在建立VPN 連線後，都位在同樣網段時，很容易造成存取或連線上的錯誤。

用下面這幾張圖來說明會比較容易。
假設右端在企業外部的電腦與左端的分享器建立起PPTP VPN 後，取得的IP 為 192.168.1.162，那麼當他要存取左端192.168.1.1 或192.168.1.159 這兩台主機的資源時，會在右端尋找還是自動找到左端呢？

取得的IP 狀態。

其實從路由表來看，會比較清楚些。在建立VPN 連線後，會以左端的企業內部環境為優先，右端的內部資源可能就無法正常存取了。

很多IT 黑手都會碰到某些伺服器有散熱不佳的狀況，像小弟去年就因此掛掉一組八顆SAS 硬碟組起來的陣列，探究其原因應該就是硬碟過熱提早陣亡。（當然，某S 牌製造出的雞瘟也是有可能）

雖然保固內換掉故障的硬碟是免費，但散熱不佳的問題依舊存在。就算擺了一支工業用扇在前面對著伺服器主機吹，由於大面積的風量並沒有如預期，直接進入下圖左側的硬碟抽取櫃，且該後方也無設置風扇協助對流，下場就是熱依然積在整個抽取櫃及硬碟裡。

所以，小弟想了一個小克難的方法。首先，請至少準備以下材料：
1. 長螺絲。（至少超過3公分）
2. 小螺帽。（需配合螺絲）
3. L型鐵片。（最好是如最上圖長、短兩種都買）
4. USB轉小3Pin轉接線。
5. 能以5V 驅動的風扇。個人推薦至少要有滾珠軸承，夠便宜而且轉速一定要高，就算吵到爆也無所謂，除非你的伺服器是養在家裡。

為何建議買超過3公分的長螺絲？因為有的風扇厚度是2.5 cm，雖然還有更厚的，但改裝後會增加擺設的難度。

如果準備把風扇裝置在外面，裝配完成大致會如下圖。其中的重點是，請記得接上USB轉小3Pin轉接線，否則在機殼外去哪找風扇插座？所以這也是為何建議買能以5V 驅動的風扇，因為USB 的供電是5V；根據過去常在光華Oget 亂玩風扇的經驗，有的風扇真的無法降5V 使用，抖個幾下就轉不動了。

上機示範照。L 型鐵片的用處在這邊就看得到，是為了能將鐵片塞入縫隙處做固定。

另外，再推薦同樣是在Oget 找到的好物，可用來改裝成針對介面卡類做散熱。
缺點是，這小小鐵架要價50 元台幣。

假使像我預備要針對陣列卡或顯示卡上的晶片加強散熱，就可依下圖順序做固定。

裝在伺服器內則會像下圖。電源的部份，就可改使用主機板上的風扇插座或大4P電源，風扇也能以全速前進啦。

最後，如果伺服器是直立塔型，還能利用較長的L 型鐵片，將兩顆風扇併在一起使用！

最近朋友送了一個特別的東西給我，他說這應該可以讓我應付公司各種險惡多變的IT 狀況。

說實話，第一眼瞧見它，還以為是過去那種很難用的USB 電腦對連傳輸線，但經過實際使用一陣子後，發現完全擺脫以往的印象。

先看盒裝說明，有支援的項目還不少，且完整支援Windows XP、Vista 和Windows 7。不過中間的圖示，曾讓我有錯覺以為可以透過它搞雙螢幕輸出。

打開盒子，就只有這東西，連驅動光碟、說明書都沒有。但實際使用會發現，給這些東西根本就是不愛地球 ((好像扯遠了...))，因為使用時完全免安裝免驅動，點選功能還會有貼心的說明畫面，實在揪甘心。

研究一下發現，原來大頭跟小頭是可以分開的，而且另一端其實是一條標準mini USB 線材。如果有習慣攜帶2.5 吋隨身硬碟的人，可以不用再多帶這條線出門。

特別的是，還能將大頭包起來避免受傷 ((羞))，因為大頭除了是整個CrossLink 的核心外，本身還具有2GB 隨身碟的功能。

既然號稱是CrossLink，當然使用上一定是兩台電腦對接，使用就像下圖。

在傳輸使用時，會看見藍色訊息提示燈閃爍，也可以用來判定USB 連接是否正常。以下圖來說，比如只插大頭端，那麼僅會有靠大頭那端的燈號亮起或閃爍；反之，如果只有小頭端插入電腦，那麼只會有小頭端的燈號亮起或閃爍。

插入電腦後，會發現 [我的電腦] 裡自動出現三個裝置：
以下圖為例， 光碟機E 代號「Cross Link」，就是主程式的所在，如果你的作業系統無法自動執行 AutoRun，請點選該光碟機；另外，Cross Link 的PDF 說明文件其實也是位於該光碟機裡面。

磁碟機F 代號「VirtualLink」裡面只含了Autorun.inf 及icon 圖示檔，用途應該只是自動前導程式用。

磁碟機G 則是內建2GB 隨身碟。不過，這個隨身碟功能是先搶先贏，也就是不分大小頭，誰先將CrossLink 插進電腦裡面，就優先出現在該台電腦裡。

執行方式也很簡單，CrossLink Cable 在插入後就會啟動軟體，然後出現如下圖的介面。如果兩端都正確連接且有啟動該軟體，在CrossLink 的軟體頁面，還會提示「另一台電腦已連線」。

大略功能如下：

● Flash Share
顧名思義就是隨身碟功能。此功能僅限單台電腦可使用。

進入Flash Share 功能後，用拖拉的方式就能輕鬆將檔案放置於隨身碟空間裡。

● Data Link
用來將傳輸兩端電腦裡的檔案資料。

進入功能介面，預設呼叫的位置是另一端登入電腦的使用者桌面。

當然，想點選其他位置也可以，參考下圖的手指位置點選，就能找到。

● Remote Share
我認為最神奇的應該是這個遠端分享功能。

除了可以用來存取另一端的光碟機外，重點是可以利用CrossLink 透過另一台電腦上網。

假設，我目前使用的這台電腦A 是網路卡故障或者斷線無法上網，而隔壁的電腦B 卻是能正常連線的，我只要讓這兩台電腦插上CrossLink，再點選 [我要分享網際網路]。

在軟體自動完成設定後，就能透過另一端的電腦B 上網了。

實際使用效果如下圖。說穿了，就是在這台斷線的電腦A 上，幫你多塞了一張「OUSB Virtual Network Adapter」網卡，再透過這張網卡跟另一台電腦傳輸網路。

連IP 跟Gateway 都幫你設定好了。

由此可見，電腦B 也被自動塞了一張「OUSB Virtual Network Adapter」。

下圖是實際從HiNet 客戶服務網頁下載檔案做測試。同一時間，不透過CrossLink 直接下載同樣的檔案，速度則有800KB/s 左右，給大家參考一下。

如果有點選「我要使用另一台電腦的光碟機」，則會自動在 [我的電腦] 帶入另一端電腦的光碟機。可惜當時手邊沒有DVD 影片不清楚測起來效果會如何。

● Folder Link
跟Data Link 稍微不太一樣，它可以快速建立兩端電腦特定資料夾的同步。

第一次使用記得先點選左上角的「+」號，以新增同步任務及名稱，然後再設定要同步的項目。

● Outlook Link
用來同步Outlook 的相關資料。這就沒有實際測試效果了。

大略功能如上所述。

另外要注意的是，要退出CrossLink 前，請記得先將主程式關閉，否則會發現怎麼點都無法按正常程序退出設備。

最後，我做了一件「全天下IT 人都會做的事情」((明明是自己想玩...))，就是把CrossLink 插到同一台電腦上，只是插入的時間不同，為的是先讓VMWare 裡的虛擬機器抓到，再讓實體機器抓取到。也因此發現，原來CrossLink 還會自動判別作業系統使用的語系，使軟體顯示不同的語言，讓你帶出國還能跟隔壁的外國正妹借網路用。

整體來說，CrossLink 真的是非常方便的小道具，適合攜帶小筆電出門臨時搭訕借網路或透過該介面交流檔案，以避免使用隨身碟導致中毒。

不過，可惜內建的2GB 隨身碟以目前的趨勢來說，實在是小了點， 而且從華碩官方的ASUS eShop 購物網站查到的價格，也有點讓人難以入手。另外，附贈的mini USB 線材或許未來可以考慮渦輪捲線型，增加便利性；還有外觀的黑色材質，跟目前市場上五花八門的隨身碟比起來，如果再時尚特別些，相信購買的慾望會大增。

其實...想拆「Ascenlink 330」已經很久了，因為有朋友的公司用這設備管理多條線路的頻寬（330最多僅能管理5條），運作迄今非常穩定，讓我非常好奇裡面的硬體規格。

前陣子，在因緣際會下取得一台不在保固內的，自然是逃不過我的魔爪啦！

拆開的方式跟一般Switch沒什麼太大差別，螺絲鬆開取上蓋就一覽無遺了。整體來說內部很空曠，不過硬體配置有個比較令我較疑惑的地方，唯二的風扇竟然是配置在離主機板最遠的地方，並且採外抽方式。

從外觀的貼紙觀察，風扇應該是建準電機（SUNON）的磁浮風扇系列。

左上角的電源輸入處不馬虎，有用熱縮管包覆。

裡面使用的電源模組也相當不錯，從上面標示的型號「MPS-65-12」查得，為明緯企業所製造，且該模組等級屬於醫療用。

重頭戲上場，整台機器最重要的核心主機板，是由其陽科技（Aewin Technologies）所生產的「AW-A695」嵌入式主機板。由於該型號已經在網路上無法查得確切正確資料，不過研判極高的可能是使用VIA CPU，連南橋都是VIA在P3時代的長青樹-VT82C686B。

電容幾乎是採用日系品牌，不用擔心有未爆彈的狀況。

四組網路晶片疑似使用瑞昱半導體（Realtek）的RTL8139 CL+晶片。網路插座的連接器感覺也不錯，應該是Pulse的產品。

另外，上面安裝的記憶體是有終身保的創見（Transcend）PC133 256MB SDRAM（TS32MLS64V6G），不知道自行更換512MB能不能再提升效能？另外，原廠不知道是為了避免使用者自行拆卸，還是防止搬運過程會掉落，額外在左側的卡榫多上一小塊熱熔膠。

記憶體顆粒還是英飛凌的喔！

連系統核心也是塞在創見128MB IDE Flash Module裡。

主機板上其實有CF插槽，應該能把系統核心塞入CF記憶卡裡面執行。

既然是核心系統是塞在IDE Flash Module上執行，那能不能裝在PC上呢？事實證明，該裝置的確是抓得到。

而且用WinPE光碟開機後，也能用軟體讀出該裝置的資訊。

那能否開機呢？可以，而且核心還是用Linux寫的耶！

很可惜，系統核心似乎有寫死硬體，所以沒辦法開機。或許...找個相近的規格.....

綜觀來說，這設備的硬體用料是幾近滿分，至少在長期運作上應不會有太大問題；實際上，幾位有購買過同型產品的朋友經驗的確如此。小小不負責猜測，或許在同類型產品的分別上，是用不同硬體的規格作分野。

最後再從系統的GUI介面截圖大略說明（截圖是將所有選單重新排列顯示），個人認為選單及細部設定不夠直覺，如果一般網管人員想要搞懂，恐怕不是一件簡單的事情，建議購買後還是請SI或經銷商協助設定比較好，不然就是要參加原廠的教育訓練課程了。

前幾天收到好朋友寄來一個包裹，一打開我還誤以為華碩也去淌隨身碟這個大混水了，原來這是支滑鼠啊！

打開外包裝，就一般標準包裝。不過，我第一時間在想說接收器去哪了？

滑鼠主體及相關內容物排排站。

主角當然是滑鼠啦，側面照先來一張。
側邊有貼紙提醒首次使用請先充飽電，就算華碩沒貼，應該也列入生活常識了。

45度角再來一張。

嘿嘿，接收器其實就是跟滑鼠合體啦！按鍵理所當然是對頻用，那這三個金屬接點的用處是？

背部照來一張，驗明正身為華碩 MS7124 白色款產品，製造地當然還是中國...
滑鼠本體的對頻按鍵在背部。

滑鼠跟接收器分手啦！喔～滑鼠主體也有金屬接點耶！

因為，可以再合體作充電啊。

兩邊輕輕接觸後，因有磁力的關係就會互相貼住了。
這小設計真是貼心。

合體後更像隨身碟了，哈...

滑鼠充電模式，綠色即代表吃飽電嚕。

但是說實話，這支滑鼠不太適合男生用，而且習慣兩隻手指放在滑鼠上的，會有種很卡的感覺。
個人研究出比較適合的操作型態如下圖。（不好意思，我請不到SG只能用小弟的手上場...）

綜觀來說，這支滑鼠對於使用 ASUS Eee PC的使用者來說，算是非常搭配的外觀設計。而且經過實測，在無障礙物的阻擋下，應該也有 3公尺以上的操作實力。

不過很可惜的是，這支滑鼠比較適合臨時場合的使用，長時間操作應該會有手殘現象發生。希望未來改款時，能設計成可小折出一個角度，至少在食指的放置狀態上會比較舒適。另外，如果華碩能再提供一個小布袋放置滑鼠，避免因放置在包包導致外觀磨損，這樣就更甘心啦～

之前有網友留言希望我研究Fortigate 站台對站台的IPEC VPN，剛好我對這問題也很有興趣，所以一定要玩出來分享，相信大家一定也能舉一反三完成設定。

一樣這次還是快速設定的教學，先求效果再求瞭解。

先簡單說明網路測試環境，否則後續圖解一定會看到眼花：
Z1 Network - 192.168.123.0/24
有Fortigate 60 設備（FortiOS v4.0.1 beta）
WAN IP: 123.123.123.123
Lan IP:192.168.123.254

Z2 Network - 192.168.1.0/24
有Fortigate 60B 設備（FortiOS v3.0 MR7）
WAN IP: domain.dyndns.org（外部採PPPoE 無固定IP，故申請免費的dyndns.org 服務以達成兩端即時連線）
Lan IP:192.168.1.252

理所當然，我們先從Z1 區的FG60 下手設定：
1) 設定FG60 的IPSEC Key。到VPN -> IPSec，選擇「Create Phase 1」。

為方便未來清楚設定，建議參考下圖命名為「Z1toZ2_Tunnel」，進階的部分用預設即可。但幾個地方要注意：
a. 由於Z2 區的Fortiagte 對外是使用浮動式IP，所以Remote Gateway 請選擇「Dymamic DNS」模式，「Dynamic DNS」欄位則輸入Z2 對外的DDNS 名稱。
b. 「Local Interface」是個很容易讓人誤會的設定，請選擇Fortigate 上對外連線VPN 的介面。因此範例是選擇「wan1」。
c. 「Pre-shared Key」的密碼設定至少為三個字元以上。範例是設定「123456」，到時候另一端的設備也需要設同一組密碼作溝通。

建立完「IPSEC Phase 1」，接著新增「Phase 2」

參考下圖將「Phase 2」命名為「Z1toZ2_phase2」，並記得選擇前面phase 1 所設定「Z1toZ2_Tunnel」；進階的部分用預設即可。（就說了是快速設定啊 ）

Z1 端IPSEC 的設定完成如圖。

2) 到Firewall -> Address 新增兩組IP 網段。
請參考下圖，分別新增Z1（192.168.123.0/255.255.255.0）及Z2（192.168.1.0/255.255.255.0）的IP。

3) 到Firewall -> Policy 新增Internal -> Wan1 的Policy。
由於是Z1 到Z2 的設定，Source Address 當然要選擇Z1 的IP Address，Destination Address 則選擇Z2 的IP Address。要比較注意的是，Action 設定請記得選擇「IPSEC」，而VPN Tunnel 則選擇先前建立的「Z1toZ2_Tunnel」。

如果建立Policy 後，順序跟下圖一樣是後於「all to all」，請將調整於其之前。

如果以上步驟都確實完成，那麼Z1 端就算收工了，等於做完一半啦！

鏡頭轉到Z2 的FG60B 設定。以下步驟其實跟Z1 的設定幾乎一樣。
1) 到VPN -> IPSEC 新增FG60B 的IPSEC Key。一樣要先新增Phase 1，命名為「Z2toZ1_Tunnel」。而要注意的事項：
a. Z1 對外是使用固定IP，所以Remote Gateway 請選擇「Statics IP Address」模式，「IP Address」欄位則輸入Z1 對外的IP「123.123.123.123」。
b. 「Local Interface」請選擇擇「wan1」介面。
c. 「Pre-shared Key」的密碼必須跟Z1 端的IPSEC 設定一樣，所以請輸入「123456」。

新增Phase 2。不多講，看圖說故事。

完成Z2 端的IPSEC 設定。

2) 到Firewall -> address 新增兩組IP 網段。這部分跟Z1 端一樣。

3) 到Firewall -> Address 新增Internal -> Wan1 的Policy。
現在是Z2 到Z1 的設定，Source Address 請務必選擇Z2 的IP Address，Destination Address 則選擇Z1 的IP Address，不要搞混現在在哪裡設定啊。Action 設定別忘了選擇「IPSEC」，VPN Tunnel 則選擇「Z2toZ1_Tunnel」。

大功告成！

當然，照例要來個有圖有真相。從Z1 端的電腦直接Ping Z2 端的FG60B，會看到已經可以直接連接。不過，會發現第一次Ping 的時候似乎停頓1至1秒半的時間。

這是因為預設的IPEC VPN 不會主動建立連線，只有在Fortigate 發現內部有需要時才會開始連線（這算節能省碳嗎？），甚至在雙方達到一定時間且沒有流量時還會自動中斷VPN。

要解決這個問題，就是到IPSEC 的phase 2 設定找到進階選項，然後勾選「Autokey Keep Alive」。另外，從這裡可以發現「keylife」預設是30分鐘會換一次Key，如果又沒有勾選「Autokey Keep Alive」且沒有流量，設備就會因此停止VPN 連線。高興的話，也可以改一個小時甚至一天，就看你的安全考量；畢竟是透過Internet 傳輸IPSEC VPN，「keylife」時間越久就越有可能遭到有心駭客去破解。

認真研究起來，上面的設定其實不很難，難的是Fortinet 原廠提供的教學文件 - IPSec VPN User Guide 並沒有提供截圖，所以在閱讀上會有些困難。不過，一般企業會想到的應用幾乎都在文件裡出現，像是Redundant VPN、Hub and spoke 架構等等。如果資源夠的話，我會建議印出來閱讀，會比較容易從文件中抓出重點。

至於Site to Site IPSEC VPN 是否僅限定Fortigate 設備，其實不然！（假如連這都要綁標就太機車了...）原廠Knowledge Center 還提供了像是跟ZyXEL ZyWALL、SonicWall、Cisco PIX 等大廠設備，甚至連Microsoft ISA Server 都有的連線文件（詳情可參考Fortinet Knowledge Center 的 IPSec VPN interoperability 頁面），有需要的人可以上網參考看看喔！

上一篇文章講了Fortigate SSL VPN 的設定方式，但參照該方法後，所有進出的網路流量都會經過Fortigate 設備；如果用戶端的電腦在台灣就算了，萬一老闆出國比賽到半個地球外的歐洲，難道上個網還要大老遠繞回台灣才能出去HAPPY 嗎？

所以，還是要研究一下怎麼設定。方法其實很簡單，只要到User -> User Group 找出已設定的群組，然後勾選「Allow Split Tunneling」，點選「OK」就完成。

切換成繁中介面後，會比較容易理解，該選項就是「允許通道分割」。

只是，假如真有這麼簡單，我就不會又寫一篇教學...

因為按下「OK」後，一定會出現「Destination address of split tunneling policy is invalid」的錯誤訊息。

繁中的錯誤訊息則是「通道分割策略的目標位址錯誤」。（這是眼博士翻的嗎？）

其實，解決方法在錯誤訊息已經透露出一些端倪，這是由於之前的SSL VPN 快速設定，在WAN 對 Internal 的Policy 裡，並沒有針對Internal 指定範圍所造成的問題。

1) 到Firewall -> Address，新增一組內部IP網段。以範例的基本網路架構圖來看，內部IP網段應設定為「192.168.1.0/255.255.255.0」。

2) 修改WAN -> Internal 的Policy，將「Destination」修改為指定的內部網段。

選擇該項Policy 點選修改，然後將「Destination Address」指定為剛設定的內部IP 網段。

再回到群組設定裡勾選「允許通道分割」的選項，才真的算是成功喔。

最後，用「route print」指令來檢視用戶端的路由變化。
未連接SSL VPN 的路由表，預設閘道為192.168.123.254。

連接SSL VPN 成功的路由表，且尚未設定分割通道。可以發現預設閘道已經變為192.168.254.1，且Metric 值優於原本的192.168.123.254，故所有的網路流量都改走SSL VPN 所建立起的通道。

連接SSL VPN 成功的路由表，且已設定分割通道。預設閘道仍為192.168.123.254，僅有「192.168.1.0/24」及「192.168.254.1/32」才會走192.168.254.1 的閘道。

萬一SSL VPN 在已設定通道分割的狀況下，使用者執意要改走Fortigate 對外線路，也不是沒有辦法，用指令「route add 0.0.0.0 mask 0.0.0.0 VPN取得之IP」就能達成。

以本範例來說，就是輸入「route add 0.0.0.0 mask 0.0.0.0 192.168.254.1」。從路由表觀察，預設閘道已更改為192.168.254.1，且Metric 值優於原本的預設閘道，路由狀況跟SSL VPN 未分割設定前幾近一樣。

好啦，我也覺得用指令改來改去很麻煩，尤其對於一般使用者來說，指令跟火星文一樣。其實，建議可以利用建立兩個不同帳號及群組的方式，將一個群組設定為不分割VPN 通道，一個群組設定為分割通道，這樣就能輕鬆選擇模式囉！