I

摘 要 CISCO 的 CCNA 認 證 已 是 網 路 證 照 的 首 選, 除 了 確 切 可 做 為 企 業 用 人 之 標 準, 是 一 項 可 協 助 達 成 企 業 主 e 化 所 需 的 技 術 認 證 之 外 ; 考 照 的 難 易 適 度, 更 增 加 了 此 項 證 照 的 價 值 ( 以 台 灣 為 例, 根 據 最 新 資 料, 台 灣 取 得 Cisco Routing & Switching 認 證 的 人 數 CCNA+CCDA 約 在 人 規 模 CCNP+ CCDP 與 CCIE 則 大 約 在 百 人 左 右 的 規 模 ) 基 本 上 從 CCNA 入 門 的 認 證 開 始, 若 想 對 CISCO 系 列, 進 行 持 續 學 習 及 認 證, 其 相 關 認 證 計 有 CCNA CCDA CCNP/CCDP 與 CCIE; 其 中 CCNA 與 CCDA 皆 透 過 單 一 課 程 的 學 習 是 足 夠 的, CCNP/CCDP 又 細 分 為 BSCN(Building Scalable Cisco Networks) BCMSN(Building Cisco Multilayer Switch Networks) BCRAN(Building Cisco Remote Access Networks) CIT(Cisco Internetwork Troubleshooting) 及 CID(Cisco Internet work Design) 等 多 項 課 程, 其 目 標 能 力 主 要 分 成 網 路 工 程 與 設 計 認 證 (Network Engineering and Design Certifications) 及 網 路 技 術 支 援 安 裝 認 證 (Network Installation and Support Certifications) 二 大 方 向 -0-

目 錄 第 一 章 網 路 基 礎 知 識 Network Fundamentals... 4 第 一 節 IP V4/IPv6... 4 1. 地 址 格 式... 4 2. IP Header... 5 3. IP 路 由... 6 4. IPv6... 9 5. IPv6 傳 播 方 式... 10 6. IPv6 header... 11 第 二 節 TCP(Transmission Control Protocol)... 12 1. TCP Header:... 13 2. Flow Control / 擁 塞 控 制 :... 14 3. TCP Port:... 14 第 三 節 UDP (User Datagram Protocol)... 15 1. UDP 簡 介... 15 2. UDP 標 頭... 15 第 二 章 路 由 協 定 和 概 念 Routing Protocols and Concepts... 18 第 一 節 ARP 協 議 (Address Resolution Protocol)... 18 1. 基 本 功 能... 18 2. 舉 例... 19 3. RARP ( 反 向 地 址 轉 換 協 議 )... 20 第 二 節 動 態 主 機 設 定 協 定 (DHCP)... 20 1. 簡 介... 21 2. 原 理... 21 3. 技 術 細 節... 22 第 三 節 無 類 別 域 間 路 由 (Classless Inter-Domain Routing CIDR)... 25 1. CIDR 塊 的 分 配... 26 2. CIDR 和 掩 碼... 27 第 四 節 路 由 協 定 (Routing Protocol)... 27 1. 路 由 協 定 的 三 種 類 型 : 靜 態 動 態 和 預 設... 27 2. 靜 態 路 由 具 有 下 列 優 缺 點... 28 第 五 節 擴 展 樹 協 定 (STP) Spanning Tree Protocol... 31 圖 2.1... 31 1. 擴 展 樹 的 運 作... 32 2. 擴 展 樹 專 用 術 語... 32 3. BID... 34 4. 擴 展 樹 的 埠 狀 態... 36-1-

5. 擴 展 樹 範 例... 37 第 三 章 LAN 交 換 與 無 線 LAN Switching and Wireless... 39 第 一 節 基 本 網 路 位 址 轉 換 (NAT)... 39 1. NAT 簡 介... 39 2. NAT 的 優 缺 點... 39 3. NAT 術 語... 40 4. 靜 態 與 動 態 NAT... 41 5. PAT... 42 第 二 節 存 取 控 制 清 單 (ACL)... 43 1. ACL 的 用 途... 44 2. ACL 可 能 會 帶 來 一 些 問 題... 44 3. ACL 有 三 種 類 型 :... 45 4. 標 準 和 延 伸 ACL 的 放 置... 46 第 三 節 VoIP 網 路 電 話 技 術 發 展 與 應 用... 49 1. VoIP 簡 介... 49 2. VoIP 網 路 電 話 的 運 作 方 式... 52 3. 三 種 使 用 VoIP 的 架 構 :... 52 4. VoIP 相 關 應 用... 53 第 四 章 廣 域 網 路 Accessing the WAN... 56 第 一 節 PPPoE... 56 1. 簡 介 PPPoE... 56 2. PPPoE 及 TCP/IP 協 議 線 (protocol stack)... 56 使 用 時 的 缺 點... 57 第 二 節 訊 框 中 繼 (frame relay)... 57 1. 簡 介 訊 框 中 繼... 57 2. 訊 框 中 繼 技 術... 58 3. 保 證 資 訊 速 率 (Committed Information Rate CIR)... 58 4. 有 關 Frame Relay 相 關 問 答... 59 5. 訊 框 中 繼 的 封 裝 類 型... 60 6. 虛 擬 電 路... 61 7. 實 作 與 監 控 訊 框 中 繼... 61 第 三 節 高 階 資 料 鏈 結 控 制 (HDLC)... 63 1. 簡 介 高 階 資 料 鏈 結 控 制... 63 2. HDLC 操 作 方 式 :... 65 3. 框 架 格 式 :... 65 I. Lab Exam... 68 ACL & NAT... 70 第 五 章 感 想... 72-2-

第 六 章 參 考 文 獻... 81 第 七 章 證 照 展 示... 82-3-

第 一 章 網 路 基 礎 知 識 Network Fundamentals 第 一 節 IP V4/IPv6 IPv4, 是 網 際 網 路 協 議 (Internet Protocol,IP) 的 第 四 版, 也 是 第 一 個 被 廣 泛 使 用, 構 成 現 今 網 際 網 路 技 術 的 基 石 的 協 議 1981 年 Jon Postel 在 RFC791 中 定 義 了 IP 1. 地 址 格 式 過 去 IANA 把 IP 位 址 分 為 A,B,C,D 4 類, 把 32 位 的 地 址 分 為 兩 個 部 分 : 前 陎 的 部 分 代 表 網 路 地 址, 由 IANA 分 配, 後 陎 部 分 代 表 區 域 網 地 址 如 在 C 類 網 路 中, 前 24 位 為 網 路 地 址, 後 8 位 為 區 域 網 地 址, 可 提 供 254 個 設 備 地 址 ( 因 為 有 兩 個 地 址 不 能 為 網 路 設 備 使 用 :255 為 廣 播 地 址,0 代 表 此 網 路 本 身 ) 網 路 遮 罩 (Netmask) 限 制 了 網 路 的 範 圍,1 代 表 網 路 部 分,0 代 表 設 備 地 址 部 分, 例 如 C 類 地 址 常 用 的 網 路 掩 碼 為 255.255.255.0 但 由 於 這 種 分 類 法 會 大 量 浪 費 網 路 上 的 可 用 空 間, 所 以 新 的 方 法 不 再 作 這 種 區 分, 而 是 把 用 者 需 要 用 的 位 址 空 間, 以 2 的 乘 冪 方 式 來 撥 與 例 如, 某 一 網 路 只 要 13 個 ip 位 址, 就 會 把 一 個 16 位 址 的 區 段 給 他 假 設 批 核 了 61.135.136.128/28 的 話, 就 表 示 從 61.135.136.129 到 61.135.136.142 的 網 址 他 都 可 以 使 用 -4-

一 些 特 別 的 IP 位 址 段 : 127.x.x.x 給 本 機 地 址 使 用 224.x.x.x 為 多 播 地 址 段 255.255.255.255 為 通 用 的 廣 播 地 址 10.x.x.x,172.16.x.x 和 192.168.x.x 供 本 地 網 使 用, 這 些 網 路 連 到 互 連 網 上 需 要 對 這 些 本 地 網 地 址 進 行 轉 換 ( 網 路 地 址 轉 換 _NAT) 2. IP Header IP 包 由 首 部 (header) 和 實 際 的 數 據 部 分 組 成 數 據 部 分 一 般 用 來 傳 送 其 它 的 協 議, 如 TCP,UDP,ICMP 等 數 據 部 分 最 長 可 為 65515 位 元 組 (Byte)( =216-1 - 最 短 首 部 長 度 20 位 元 組 ) 一 般 而 言, 低 層 ( 鏈 路 層 ) 的 特 性 會 限 制 能 支 持 的 IP 包 長 例 如 乙 太 網 (Ethernet) 協 議, 有 一 個 協 議 參 數, 即 所 謂 的 最 大 傳 輸 單 元 (Maximum Transfer Unit, MTU), 為 1518 位 元 組, 乙 太 網 的 幀 首 部 使 用 18 位 元 組, 剩 給 整 個 IP 包 ( 首 部 + 數 據 部 分 ) 的 只 有 1500 位 元 組 還 有 一 些 底 層 網 路 只 能 支 持 更 短 的 包 長 這 種 情 況 下,IP 協 議 提 供 一 個 分 割 (fragment) 的 可 選 功 能 長 的 IP 包 會 被 分 割 成 許 多 -5-

短 的 IP 包, 每 一 個 包 中 攜 帶 一 個 標 誌 (Fragmentid) 發 送 方 ( 比 如 一 個 路 由 器 ) 將 長 IP 包 分 割, 一 個 一 個 發 送, 接 送 方 ( 如 另 一 個 路 由 器 ) 按 照 相 應 的 IP 位 址 和 分 割 標 誌 將 這 些 短 IP 包 再 組 裝 還 原 成 原 來 的 長 IP 包 3. IP 路 由 IPv4 並 不 區 分 作 為 網 路 終 端 的 主 機 (host) 和 網 路 中 的 中 間 設 備 ( 如 路 由 器 ) 兩 者 之 間 的 差 別 每 台 電 腦 可 以 既 做 主 機 又 做 路 由 器 路 由 器 用 來 聯 結 不 同 的 網 路 所 有 用 路 由 器 聯 繫 起 來 的 這 些 網 路 的 總 和 就 是 網 際 網 路 格 式 IPv4 首 部 一 般 是 20 位 元 組 長 在 乙 太 網 幀 中,IPv4 包 首 部 緊 跟 著 乙 太 網 幀 首 部, 同 時 乙 太 網 幀 首 部 中 的 協 議 類 型 值 設 置 為 080016 IPv4 提 供 不 同, 大 部 分 是 很 少 用 的 選 項, 使 得 IPv4 包 首 部 最 長 可 擴 展 到 60 位 元 組 ( 總 是 4 個 位 元 組 4 個 位 元 組 的 擴 展 ) 版 本 首 部 長 度 服 務 類 型 長 度 標 識 標 誌 段 偏 移 量 -6-

TTL 協 議 校 驗 和 源 IP 位 址 目 的 IP 位 址 選 項... 版 本 :4 位, 指 定 IP 協 議 的 版 本 號 包 頭 長 度 (IHL): 4 位,IP 協 議 包 頭 的 長 度, 指 明 IPv4 協 議 包 頭 長 度 的 位 元 組 數 包 含 多 少 個 32 位 由 於 IPv4 的 包 頭 可 能 包 含 可 變 數 量 的 可 選 項, 所 以 這 個 欄 位 可 以 用 來 確 定 IPv4 數 據 報 中 數 據 部 分 的 偏 移 位 置 IPv4 包 頭 的 最 小 長 度 是 20 個 位 元 組, 因 此 IHL 這 個 欄 位 的 最 小 值 用 十 進 位 表 示 就 是 5(5x4 = 20 位 元 組 ) 就 是 說, 它 表 示 的 是 包 頭 的 總 位 元 組 數 對 於 4 位 元 組 的 倍 數 服 務 類 型 : 定 義 IP 協 議 包 的 處 理 方 法, 它 包 含 如 下 子 欄 位 過 程 欄 位 :3 位, 設 置 了 數 據 包 的 重 要 性, 取 值 越 大 數 據 越 重 要, 取 值 範 圍 為 :0( 正 常 )~ 7( 網 路 控 制 ) 延 遲 欄 位 :1 位, 取 值 :0( 正 常 ) 1( 期 待 低 的 延 遲 ) 流 量 欄 位 :1 位, 取 值 :0( 正 常 ) 1( 期 待 高 的 流 量 ) 可 靠 性 欄 位 :1 位, 取 值 :0( 正 常 ) 1( 期 待 高 的 可 靠 性 ) -7-

成 本 欄 位 :1 位, 取 值 :0( 正 常 ) 1( 期 待 最 小 成 本 ) 未 使 用 :1 位 長 度 :IP 包 的 總 長 標 識 : 唯 一 地 標 識 主 機 所 發 送 的 一 個 數 據 段, 通 常 每 發 送 一 個 數 據 段 後 加 一 但 IP 包 被 分 割 後, 分 割 得 到 的 IP 包 擁 有 相 同 的 標 識 標 誌 : 是 一 個 3 位 的 控 制 欄 位, 包 含 : 保 留 位 :1 位 不 分 段 位 :1 位, 取 值 :0( 允 許 數 據 報 分 段 ) 1( 數 據 報 不 能 分 段 ) 更 多 段 位 :1 位, 取 值 :0( 數 據 包 後 陎 沒 有 包, 該 包 為 最 後 的 包 ) 1( 數 據 包 後 陎 有 更 多 的 包 ) 段 偏 移 量 : 當 數 據 段 被 分 割 時, 它 和 更 多 段 位 (MF, More fragments) 進 行 連 接, 幫 助 目 的 主 機 將 分 段 的 包 組 合 TTL: 表 示 數 據 包 在 網 路 上 生 存 多 久, 每 通 過 一 個 路 由 器 該 值 減 一, 為 0 時 將 被 路 由 器 丟 棄 協 議 :8 位, 這 個 欄 位 定 義 了 IP 數 據 報 的 數 據 部 分 使 用 的 協 議 類 型 常 用 的 協 議 及 其 十 進 位 數 值 包 括 ICMP(1) TCP(6) UDP -8-

(17) 校 驗 和 :16 位, 是 IPv4 數 據 報 包 頭 的 校 驗 和 4. IPv6 IPv6 是 網 際 網 路 協 議 第 四 版 (IPv4) 的 更 新 版 ; 最 初 它 在 IETF 的 IPng 選 取 過 程 中 勝 出 時 稱 為 網 際 網 路 下 一 代 網 際 協 議 (IPng), IPv6 是 被 正 式 廣 泛 使 用 的 第 二 版 網 際 網 路 協 議 促 使 IPv6 形 成 的 主 要 原 因 是 網 路 空 間 的 匱 乏 從 1990 年 開 始, 網 際 網 路 工 程 任 務 小 組 (Internet Engineering Task Force, 簡 稱 IETF) 開 始 規 劃 IPv4 的 下 一 代 協 定, 除 要 解 決 即 將 遇 到 的 IP 位 址 短 缺 問 題 外, 還 要 發 展 更 多 的 擴 充 功 能, 為 此 IETF 小 組 創 建 IPng, 以 讓 後 續 工 作 順 利 進 行 1994 年, 各 IPng 領 域 的 代 表 們 於 多 倫 多 舉 辦 的 IETF 會 議 中 正 式 提 議 IPv6 發 展 計 劃, 該 提 議 直 到 同 年 的 11 月 17 日 才 被 認 可, 並 於 1998 年 8 月 10 日 成 為 IETF 的 草 案 標 準 IPv6 的 計 劃 是 建 立 未 來 網 際 網 路 擴 充 的 基 礎, 其 目 標 是 取 代 IPv4, 預 計 在 2025 年 以 前 IPv4 仍 會 被 支 持, 以 便 給 新 協 議 的 修 正 留 下 足 夠 的 時 間 雖 然 IPv6 在 1994 年 就 已 被 IETF 指 定 作 為 IPv4 的 下 一 代 標 準, -9-

然 而 在 世 界 範 圍 內 使 用 IPv6 部 署 的 公 眾 網 與 IPv4 相 比 還 非 常 的 少 IPv6 能 解 決 的 核 心 問 題 與 網 際 網 路 目 前 所 陎 臨 的 關 鍵 問 題 之 間 出 現 了 明 顯 的 偏 差, 難 以 給 網 際 網 路 的 發 展 帶 來 陏 命 性 的 影 響 與 IPv4 的 各 種 地 址 復 用 解 決 方 案 相 比,IPv6 能 夠 降 低 複 雜 性 和 成 本, 然 而 目 前 卻 只 有 製 造 商 較 能 夠 感 受 到 這 個 優 勢, 用 戶 和 運 營 商 無 法 直 接 感 受 到, 導 致 產 業 鏈 缺 乏 推 動 IPv6 的 動 力 5. IPv6 傳 播 方 式 單 播 (unicast) 位 址 單 播 位 址 標 示 一 個 網 路 介 陎 協 定 會 把 送 往 位 址 的 封 包 投 送 給 其 介 陎 IPv6 的 單 播 位 址 可 以 有 一 個 代 表 特 殊 位 址 名 字 的 範 疇, 如 link-local 位 址 和 唯 一 區 域 位 址 (ULA,unique local address) 任 播 (anycast) 位 址 任 播 位 址 用 於 指 定 給 一 群 介 陎, 通 常 這 些 介 陎 屬 於 不 同 的 節 點 若 封 包 被 送 到 一 個 任 播 位 址 時, 則 會 被 轉 送 到 成 員 中 的 其 中 之 一 通 常 會 根 據 路 由 協 定, 選 擇 " 最 近 " 的 成 員 任 播 位 址 通 常 無 法 輕 易 分 別 : 它 們 擁 有 和 正 常 單 播 位 址 一 樣 的 結 構, 只 是 會 在 路 由 協 定 中 將 多 個 節 點 加 入 網 路 中 -10-

多 播 (multicast) 位 址 多 播 位 址 也 被 指 定 到 一 群 不 同 的 介 陎, 送 到 多 播 位 址 的 封 包 會 被 傳 送 到 所 有 的 位 址 多 播 位 址 由 皆 為 一 的 位 元 組 起 始, 亦 即 : 它 們 的 前 置 為 FF00::/8 其 第 二 個 位 元 組 的 最 後 四 個 位 元 用 以 標 明 " 範 疇 " 一 般 有 node-local(0x1) link-local(0x2) site-local(0x5) organization-local(0x8) 和 global(0xe) 多 播 位 址 中 的 最 低 112 位 元 會 組 成 多 播 群 組 識 別 碼, 不 過 因 為 傳 統 方 法 是 從 MAC 位 址 產 生, 故 只 有 群 組 識 別 碼 中 的 最 低 32 位 元 有 使 用 定 義 過 的 群 組 識 別 碼 有 用 於 所 有 節 點 的 多 播 位 址 0x1 和 用 於 所 有 路 由 器 的 0x2 另 一 個 多 播 群 組 的 位 址 為 "solicited-node 多 播 位 址 ", 是 由 前 置 FF02::1:FF00:0/104 和 剩 餘 的 群 組 識 別 碼 ( 最 低 24 位 元 ) 所 組 成 這 些 位 址 允 許 經 由 鄰 居 發 現 協 議 (NDP,Neighbor Discovery Protocol) 來 解 譯 連 結 層 位 址, 因 而 不 用 干 擾 到 在 區 網 內 的 所 有 節 點 IPv6 封 包 由 兩 個 主 要 部 分 組 成 : 頭 部 和 負 載 6. IPv6 header -11-

包 頭 是 包 的 前 40 位 元 組 並 且 包 含 有 源 和 目 的 地 址, 協 議 版 本, 通 信 類 別 (8 位 元, 包 優 先 順 序 ), 流 標 記 (20 位 元,QoS 服 務 質 量 控 制 ), 負 載 長 度 (16 位 ), 下 一 個 頭 部 ( 用 於 向 後 兼 容 性 ), 和 跳 段 數 限 制 (8 位 元, 生 存 時 間, 相 當 於 IPv4 中 的 TTL) 後 陎 是 負 載, 至 少 1280 位 元 組 長, 或 者 在 可 變 MTU( 最 大 傳 輸 單 元 ) 大 小 環 境 中 這 個 值 為 1500 位 元 組 負 載 在 標 準 模 式 下 最 大 可 為 65535 位 元 組, 或 者 在 擴 展 包 頭 的 "jumbo payload" 選 項 進 行 設 置 IPv6 曾 有 兩 個 有 著 細 微 差 別 的 版 本 ; 在 RFC 1883 中 定 義 的 原 始 版 本 ( 現 在 廢 棄 ) 和 RFC 2460 中 描 述 的 現 在 提 議 的 標 準 版 本 兩 者 主 要 在 通 信 類 別 這 個 選 項 上 有 所 不 同, 它 的 位 數 由 4 位 變 為 了 8 位 其 他 的 區 別 都 是 微 不 足 道 的 分 段 (Fragmentation) 只 在 IPv6 的 主 機 中 被 處 理 在 IPv6 中, 可 選 項 都 被 從 標 準 頭 部 中 移 出 並 在 協 議 欄 位 中 指 定, 類 似 於 IPv4 的 協 議 欄 位 功 能 第 二 節 TCP(Transmission Control Protocol) 已 資 料 正 確 性 為 傳 輸 考 量, 是 一 種 陎 向 連 接 ( 連 接 導 向 ) 的 可 靠 的 基 於 位 元 組 流 的 運 輸 層 (Transport layer) 通 信 協 議, 由 -12-

IETF 的 RFC793 文 件 說 明 在 簡 化 的 計 算 機 網 路 OSI 七 層 中, 它 完 成 第 四 層 傳 輸 層 所 指 定 的 功 能, 然 而 UDP 也 是 同 一 層 內 另 一 個 重 要 的 傳 輸 協 議 圖 1.1 TCP Header 架 構 能 夠 確 保 檔 案 傳 輸 的 可 靠 性, 最 主 要 是 TCP 採 用 三 方 握 手 協 定, 由 於 TCP 為 全 雙 工 之 通 訊 協 定, 雙 方 皆 可 以 獨 立 開 啟 傳 輸 管 道 且 不 受 彼 此 約 束 1. TCP Header: Source / Destination Port: 記 載 Packet 所 匯 出 Port 和 即 將 匯 入 之 Port Sequence Number: 用 來 確 保 Packet 在 傳 輸 途 中 有 依 照 順 序 進 行 Acknowledegment: 確 認 Packet Loss 或 Error 時, 所 規 範 的 重 傳 策 略 Window size: 流 量 控 制 的 依 據 Checksum: 作 為 Packet 正 確 性 依 據 所 使 用 的 演 算 法 Window Size: 作 為 流 量 控 制 重 要 的 依 據 -13-

2. Flow Control / 擁 塞 控 制 : 數 據 發 送 者 之 間 用 對 接 收 數 據 的 確 認 或 不 予 確 認 來 顯 式 的 表 示 TCP 發 送 者 和 接 收 者 之 間 的 網 路 狀 態, 再 加 上 計 時 器 來 做 雙 重 把 關,TCP sender 和 reveic 就 可 以 改 變 數 據 的 流 動 情 況, 這 就 是 通 常 所 指 的 流 量 控 制 (Flow control), 通 常 TCP 會 使 用 大 量 的 機 制 來 同 時 獲 得 可 用 性 和 高 可 靠 性, 這 些 機 制 包 括 : 滑 動 窗 口 慢 速 啟 動 演 算 法 擁 塞 避 免 演 算 法 快 速 重 傳 以 及 快 速 恢 復 演 算 法 等 等 對 於 TCP 的 可 靠 的 丟 包 處 理 錯 誤 最 小 化 擁 塞 管 理 以 及 高 速 運 行 環 境 等 機 制 的 優 化 的 研 究 和 標 準 制 定, 目 前 仍 然 正 在 進 行 之 中 若 有 丟 失 封 包, 則 從 丟 失 的 封 包 開 始 重 送 3. TCP Port: TCP 使 用 了 埠 號 (Port Number) 的 概 念 來 標 識 發 送 方 和 接 收 方 的 應 用 層, 對 每 個 TCP 連 接 的 一 端 都 有 一 個 相 關 的 16 位 元 的 無 符 號 埠 號 分 配 給 他 們, 埠 主 要 被 分 為 三 類 : Public :FTP HTTP SMTP,POP TCP UDP 等 Register : 主 要 用 於 終 端 用 戶 在 和 伺 服 器 短 暫 連 結 時 所 使 用 之 埠 號 Dynamic / Private : 非 主 流 應 用 程 式 所 使 用 -14-

眾 所 周 知 的 埠 號 是 由 (IANA) 來 分 配 的, 並 且 通 常 被 用 於 系 統 一 級 或 根 進 程, 被 動 地 偵 聽 經 常 使 用 這 些 埠 的 連 接, 但 它 們 也 可 以 用 來 標 識 已 被 第 三 方 註 冊 了 的 被 命 名 的 服 務, 然 而 被 承 認 的 埠 號 總 共 有 65535 個 第 三 節 UDP (User Datagram Protocol) 1. UDP 簡 介 在 TCP/IP 模 型 中,UDP 為 網 路 層 以 下 和 應 用 層 以 上 提 供 了 一 個 簡 單 的 介 陎 UDP 只 提 供 數 據 的 不 可 靠 傳 遞, 它 一 旦 把 應 用 程 序 發 給 網 路 層 的 數 據 發 送 出 去, 就 不 保 留 Data 備 份 ( 所 以 UDP 有 時 候 也 被 認 為 是 不 可 靠 的 傳 輸 協 議 ) 2. UDP 標 頭 UDP 標 頭 欄 位 由 4 個 部 分 組 成, 其 中 兩 個 是 可 選 的 各 16bit 的 來 源 埠 (Source port) 和 目 的 埠 (Distination) 用 來 標 記 發 送 和 接 受 的 應 用 進 程, 因 為 UDP 不 需 要 應 答, 所 以 來 源 埠 是 可 選 的, 如 果 來 源 埠 不 用, 那 麼 配 置 給 他 的 值 為 零 在 目 的 埠 後 陎 是 長 度 固 定 的 以 位 元 組 為 單 位 的 長 度 域, 用 來 指 定 UDP Packet 包 括 Packet 部 分 的 長 度, 長 度 最 小 值 為 8byte 首 部 剩 下 的 16bit 是 用 來 對 Header 和 Packet 部 分 一 起 做 校 驗 (Checksum) 的, 這 部 分 -15-

是 可 選 的, 但 在 實 際 應 用 中 一 般 都 使 用 這 一 功 能 由 於 缺 乏 可 靠 性 且 屬 於 非 連 接 導 向 協 定,UDP 應 用 一 般 必 頇 允 許 一 定 量 的 封 包 出 錯 和 複 製 ; 有 些 應 用, 比 如 TFTP, 如 果 需 要 則 必 頇 在 應 用 層 增 加 根 本 的 可 靠 機 制, 但 是 絕 大 多 數 UDP 應 用 都 不 需 要 可 靠 機 制, 甚 至 可 能 因 為 引 入 可 靠 機 制 而 降 低 性 能 舉 例 來 說, 串 流 檔 即 時 性 多 媒 體 遊 戲 和 IP 電 話 (VoIP) 就 是 典 型 的 UDP 應 用 如 果 某 個 應 用 需 要 很 高 的 可 靠 性, 那 麼 可 以 用 傳 輸 控 制 協 議 (TCP) 來 代 替 UDP 由 於 缺 乏 擁 塞 控 制 (congestion control), 所 以 需 要 基 於 網 路 的 機 制 來 減 小 因 失 控 和 高 速 UDP 流 量 負 荷 而 導 致 的 擁 塞 崩 潰 效 應 ; 換 句 話 說, 因 為 UDP 發 送 者 不 能 夠 檢 測 擁 塞, 所 以 像 使 用 Sequence Number 和 Acknowledegment 的 機 制 路 由 器 這 樣 的 網 路 基 本 設 備 往 往 就 因 為 大 量 通 訊 而 導 致 錯 誤 的 傳 遞 發 生 DCCP 的 設 計 成 功 通 過 在 許 多 串 流 媒 體 類 型 的 高 速 率 UDP 資 料 流 中, 增 加 主 機 擁 塞 控 制, 來 減 小 這 個 潛 在 的 問 題 典 型 網 路 上 的 眾 多 使 用 UDP 協 議 的 關 鍵 應 用 一 定 程 度 上 是 相 似 的 這 些 應 用 包 括 域 名 系 統 (DNS) 簡 單 網 路 管 理 協 議 (SNMP) 動 態 主 機 配 置 協 議 (DHCP) 路 由 信 息 協 議 (RIP) 和 某 些 影 音 串 流 -16-

服 務 等 等 -17-

第 二 章 路 由 協 定 和 概 念 Routing Protocols and Concepts 第 一 節 ARP 協 議 (Address Resolution Protocol) ARP 協 議 的 基 本 功 能 就 是 通 過 目 標 設 備 的 IP 位 址, 查 詢 目 標 設 備 的 MAC 地 址, 保 證 通 信 的 順 利 進 行 他 是 IPv4 中 網 路 層 必 不 可 少 的 協 議, 不 過 在 IPv6 中 已 不 再 適 用, 並 被 icmp v6 所 替 代 1. 基 本 功 能 在 乙 太 網 協 議 中 規 定, 同 一 區 域 網 中 的 一 台 主 機 要 和 另 一 台 主 機 進 行 直 接 通 信, 必 頇 要 知 道 目 標 主 機 的 MAC 地 址 而 在 TCP/IP 協 議 棧 中, 網 路 層 和 傳 輸 層 只 關 心 目 標 主 機 的 IP 位 址 這 就 導 致 在 乙 太 網 中 使 用 IP 協 議 時, 數 據 鏈 路 層 的 乙 太 網 協 議 接 到 上 層 IP 協 議 提 供 的 數 據 中, 只 包 含 目 的 主 機 的 IP 位 址 於 是 需 要 一 種 方 法, 根 據 目 的 主 機 的 IP 位 址, 獲 得 其 MAC 地 址 這 就 是 ARP 協 議 要 做 的 事 情 所 謂 地 址 解 析 (address resolution) 就 是 主 機 在 發 送 幀 前 將 目 標 IP 位 址 轉 換 成 目 標 MAC 地 址 的 過 程 另 外, 當 發 送 主 機 和 目 的 主 機 不 在 同 一 個 區 域 網 中 時, 即 便 知 道 目 的 主 機 的 MAC 地 址, 兩 者 也 不 能 直 接 通 信, 必 頇 經 過 路 由 轉 發 才 可 以 因 此 此 時, 發 送 主 機 通 過 ARP 協 議 獲 得 的 將 不 是 目 的 主 機 的 真 實 MAC 地 址, 而 是 一 台 可 以 通 往 區 域 網 外 的 路 由 器 -18-

的 某 個 埠 的 MAC 地 址 於 是 此 後 發 送 主 機 發 往 目 的 主 機 的 所 有 幀, 都 將 發 往 該 路 由 器, 通 過 它 向 外 發 送 這 種 情 況 稱 為 ARP 代 理 (ARP Proxy) 在 每 台 安 裝 有 TCP/IP 協 議 的 電 腦 或 路 由 器 裡 都 有 一 個 ARP 緩 存 表, 表 裡 的 IP 位 址 與 MAC 地 址 是 一 對 應 的, 如 下 表 所 示 主 機 名 稱 IP 位 址 MAC 地 址 A 192.168.38.10 00-AA-00-62-D2-02 B 192.168.38.11 00-BB-00-62-C2-02 C 192.168.38.12 00-CC-00-62-C2-02 D 192.168.38.13 00-DD-00-62-C2-02 E 192.168.38.14 00-EE-00-62-C2-02...... 2. 舉 例 以 主 機 A(192.168.38.10) 向 主 機 B(192.168.38.11) 發 送 數 據 為 例 當 發 送 數 據 時, 主 機 A 會 在 自 己 的 ARP 緩 存 表 中 尋 找 是 否 有 目 標 IP 位 址 如 果 找 到 了, 也 就 知 道 了 目 標 MAC 地 址 為 (00-BB-00-62-C2-02), 直 接 把 目 標 MAC 地 址 寫 入 幀 裡 陎 發 送 就 可 以 了 ; 如 果 在 ARP 緩 存 表 中 沒 有 找 到 相 對 應 的 IP 位 址, 主 機 A 就 會 在 網 路 上 發 送 一 個 廣 播 (ARP request), 目 標 MAC 地 址 是 FF.FF.FF.FF.FF.FF, 這 表 示 向 同 一 網 段 內 的 所 有 主 機 發 -19-

出 這 樣 的 詢 問 : 192.168.38.11 的 MAC 地 址 是 什 麼? 網 路 上 其 他 主 機 並 不 響 應 ARP 詢 問, 只 有 主 機 B 接 收 到 這 個 幀 時, 才 向 主 機 A 做 出 這 樣 的 回 應 (ARP response): 192.168.38.11 的 MAC 地 址 是 (00-BB-00-62-C2-02) 這 樣, 主 機 A 就 知 道 了 主 機 B 的 MAC 地 址, 它 就 可 以 向 主 機 B 發 送 信 息 了 同 時 它 還 更 新 了 自 己 的 ARP 緩 存 表, 下 次 再 向 主 機 B 發 送 信 息 時, 直 接 從 ARP 緩 存 表 裡 查 找 就 可 以 了 ARP 緩 存 表 採 用 了 老 化 機 制, 在 一 段 時 間 內 如 果 表 中 的 某 一 行 沒 有 使 用, 就 會 被 刪 除, 這 樣 可 以 大 大 減 少 ARP 緩 存 表 的 長 度, 加 快 查 詢 速 度 3. RARP ( 反 向 地 址 轉 換 協 議 ) RARP 是 一 種 網 路 協 議, 作 用 與 ARP 相 反, 用 於 將 MAC 地 址 轉 換 為 IP 位 址 其 因 為 較 限 於 IP 位 址 的 運 用 以 及 其 他 的 一 些 缺 點, 因 此 漸 為 更 新 的 BOOTP 或 DHCP 所 取 代 第 二 節 動 態 主 機 設 定 協 定 (DHCP) DHCP 是 一 個 區 域 網 路 的 網 路 協 定, 使 用 UDP 協 定 工 作, 主 要 有 兩 個 用 途 : 給 內 部 網 路 或 網 路 服 務 供 應 商 自 動 分 配 IP 位 址 給 用 戶 給 內 部 網 路 管 理 員 作 為 對 所 有 電 腦 作 中 央 管 理 的 手 段 -20-

1. 簡 介 DHCP 用 一 台 或 一 組 DHCP 伺 服 器 來 管 理 網 路 參 數 的 分 配, 這 種 方 案 具 有 容 錯 性 即 使 在 一 個 僅 擁 有 少 量 機 器 的 網 路 中,DHCP 仍 然 是 有 用 的, 因 為 一 台 機 器 可 以 幾 乎 不 造 成 任 何 影 響 地 被 增 加 到 原 生 網 路 中 甚 至 對 於 那 些 很 少 改 變 位 址 的 伺 服 器 來 說,DHCP 仍 然 被 建 議 用 來 設 定 它 們 的 位 址 這 樣, 如 果 伺 服 器 需 要 被 重 新 分 配 位 址 (RFC2071) 的 時 候, 就 可 以 在 儘 可 能 少 的 地 方 去 做 這 些 改 動 對 於 一 些 裝 置, 如 路 由 器 和 防 火 牆, 則 不 應 使 用 DHCP 把 TFTP 或 SSH 伺 服 器 放 在 同 一 台 執 行 DHCP 的 機 器 上 也 是 有 用 的, 目 的 是 為 了 集 中 管 理 DHCP 也 可 用 於 直 接 為 伺 服 器 和 桌 陎 電 腦 分 配 位 址, 並 且 透 過 一 個 PPP 代 理, 也 可 為 撥 號 及 寬 頻 主 機, 以 及 住 宅 NAT 閘 道 器 和 路 由 器 分 配 位 址 DHCP 一 般 不 適 用 於 使 用 在 無 邊 際 路 由 器 和 DNS 伺 服 器 上 2. 原 理 動 態 主 機 設 定 協 定 DHCP 是 一 種 使 網 路 管 理 員 能 夠 集 中 管 理 和 自 動 分 配 IP 網 路 位 址 的 通 訊 協 定 在 IP 網 路 中, 每 個 連 線 -21-

Internet 的 裝 置 都 需 要 分 配 唯 一 的 IP 位 址 DHCP 使 網 路 管 理 員 能 從 中 心 結 點 監 控 和 分 配 IP 位 址 當 某 台 電 腦 移 到 網 路 中 的 其 它 位 置 時, 能 自 動 收 到 新 的 IP 位 址 DHCP 使 用 了 租 約 的 概 念, 或 稱 為 電 腦 IP 位 址 的 有 效 期 租 用 時 間 是 不 定 的, 主 要 取 決 於 使 用 者 在 某 地 聯 接 Internet 需 要 多 久, 這 對 於 教 育 行 業 和 其 它 使 用 者 頻 繁 改 變 的 環 境 是 很 實 用 的 透 過 較 短 的 租 期,DHCP 能 夠 在 一 個 電 腦 比 可 用 IP 位 址 多 的 環 境 中 動 態 地 重 新 配 置 網 路 DHCP 支 援 為 電 腦 分 配 靜 態 位 址, 如 需 要 永 久 性 IP 位 址 的 Web 伺 服 器 DHCP 和 另 一 個 網 路 IP 管 理 協 定 BOOTP 類 似 目 前 兩 種 配 置 管 理 協 定 都 得 到 了 普 遍 使 用, 其 中 DHCP 更 為 先 進 某 些 作 業 系 統, 如 Windows NT/2000, 都 帶 有 DHCP 伺 服 器 DHCP 或 BOOTP 用 戶 端 是 裝 在 電 腦 中 的 一 個 程 式, 這 樣 就 可 以 對 其 進 行 配 置 操 作 3. 技 術 細 節 DHCP 統 一 使 用 兩 個 IANA 分 配 的 埠 作 為 BOOTP: 伺 服 器 端 使 -22-

用 67/UDP, 用 戶 端 使 用 68/UDP DHCP 執 行 分 為 四 個 基 本 過 程, 分 別 為 請 求 租 約 提 供 租 約 選 擇 租 約 和 確 認 租 約 客 戶 在 獲 得 了 一 個 IP 位 址 以 後, 就 可 以 發 送 一 個 ARP 請 求 來 避 免 由 於 DHCP 伺 服 器 位 址 重 疊 而 引 發 的 IP 衝 突 DHCP 發 現 (DISCOVER) 客 戶 在 物 理 子 網 上 發 送 廣 播 來 尋 找 可 用 的 伺 服 器 網 路 管 理 員 可 以 配 置 一 個 原 生 路 由 來 轉 發 DHCP 包 給 另 一 個 子 網 上 的 DHCP 伺 服 器 該 客 戶 實 作 生 成 一 個 目 的 位 址 為 255.255.255.255 或 者 一 個 子 網 廣 播 位 址 的 UDP 包 客 戶 也 可 以 申 請 它 使 用 的 最 後 一 個 IP 位 址 ( 在 下 陎 的 例 子 里 為 192.168.1.100) 如 果 該 客 戶 所 在 的 網 路 中 此 IP 仍 然 可 用, 伺 服 器 就 可 以 准 許 該 申 請 否 則, 就 要 看 該 伺 服 器 是 授 權 的 還 是 非 授 權 的 授 權 伺 服 器 會 拒 絕 請 求, 使 得 客 戶 立 刻 申 請 一 個 新 的 IP 非 授 權 伺 服 器 僅 僅 忽 略 掉 請 求, 導 致 一 個 用 戶 端 請 求 的 超 時, 於 -23-

是 用 戶 端 就 會 放 棄 此 請 求 而 去 申 請 一 個 新 的 IP 位 址 DHCP 提 供 (OFFER) 當 DHCP 伺 服 器 收 到 一 個 來 自 客 戶 的 IP 租 約 請 求 時, 它 會 提 供 一 個 IP 租 約 DHCP 為 客 戶 保 留 一 個 IP 位 址, 然 後 透 過 網 路 發 送 一 個 DHCPOFFER 訊 息 給 客 戶 該 訊 息 包 含 客 戶 的 MAC 位 址 伺 服 器 提 供 的 IP 位 址 子 網 掩 碼 租 期 以 及 提 供 IP 的 DHCP 伺 服 器 的 IP 伺 服 器 基 於 在 CHADDR 欄 位 指 定 的 客 戶 硬 體 位 址 來 檢 查 配 置 這 裡 的 伺 服 器,192.168.1.1, 將 IP 位 址 指 定 於 YIADDR 欄 位 DHCP 請 求 (REQUEST) 當 客 戶 PC 收 到 一 個 IP 租 約 提 供 時, 它 必 頇 告 訴 所 有 其 他 的 DHCP 伺 服 器 它 已 經 接 受 了 一 個 租 約 提 供 因 此, 該 客 戶 會 發 送 一 個 DHCPREQUEST 訊 息, 其 中 包 含 提 供 租 約 的 伺 服 器 的 IP 當 其 他 DHCP 伺 服 器 收 到 了 該 訊 息 後, 它 們 會 收 回 所 有 可 能 已 提 供 給 客 戶 的 租 約 然 後 它 們 把 曾 經 給 客 戶 保 留 的 那 個 位 址 重 新 放 回 到 可 用 位 址 中, 這 樣, 它 們 就 可 以 為 其 他 電 腦 分 配 這 個 位 址 -24-

任 意 數 量 的 DHCP 伺 服 器 都 可 以 響 應 同 一 個 IP 租 約 請 求, 但 是 每 一 個 客 戶 網 卡 只 能 接 受 一 個 租 約 提 供 DHCP 確 認 (ACK) 當 DHCP 伺 服 器 收 到 來 自 客 戶 的 DHCPREQUEST 訊 息 後, 它 就 開 始 了 配 置 過 程 的 最 後 階 段 這 個 響 應 階 段 包 括 發 送 一 個 DHCPACK 包 給 客 戶 這 個 包 包 含 租 期 和 客 戶 可 能 請 求 的 其 他 所 有 配 置 資 訊 這 時 候, TCP/IP 配 置 過 程 就 完 成 了 該 伺 服 器 響 應 請 求 併 發 送 響 應 給 客 戶 整 個 系 統 期 望 客 戶 來 根 據 選 項 來 配 置 其 網 卡 第 三 節 無 類 別 域 間 路 由 (Classless Inter-Domain Routing CIDR) 給 用 戶 分 配 IP 位 址 以 及 在 網 際 網 路 上 有 效 地 路 由 IP 數 據 包 的 對 IP 位 址 進 行 歸 類 的 方 法 在 域 名 系 統 出 現 之 後 的 第 一 個 十 年 裡, 基 於 分 類 網 路 進 行 地 址 分 配 和 路 由 IP 數 據 包 的 設 計 就 已 明 顯 顯 得 可 擴 充 性 不 足, 為 了 解 決 這 個 問 題, 互 聯 網 工 程 工 作 小 組 在 1993 年 發 布 了 一 新 系 列 的 標 -25-

準 RFC 1518 和 RFC 1519 以 定 義 新 的 分 配 IP 位 址 塊 和 路 由 IPv4 數 據 包 的 方 法 CIDR 主 要 是 一 個 按 位 的 基 於 前 綴 的, 用 於 解 釋 IP 位 址 的 標 準 它 通 過 把 多 個 地 址 塊 組 合 到 一 個 路 由 表 表 項 而 使 得 路 由 更 加 方 便 這 些 地 址 塊 叫 做 CIDR 地 址 塊 當 用 二 進 位 表 示 這 些 地 址 時, 它 們 有 著 在 開 頭 部 分 的 一 系 列 相 同 的 位 1. CIDR 塊 的 分 配 網 際 網 路 地 址 指 派 機 構 (IANA) 向 區 域 網 際 網 路 註 冊 管 理 機 構 (RIRs) 分 配 數 量 多, 前 綴 短 的 CIDR 地 址 塊 例 如, 包 含 有 六 百 萬 個 地 址 的 62.0.0.0/8 地 址 塊 由 RIPE NCC( 歐 洲 的 RIR) 管 理 這 些 RIR 各 自 負 責 管 理 一 個 單 一 區 域 ( 例 如 歐 洲 或 者 北 美 ), 然 後 它 們 把 這 些 地 址 塊 分 成 小 一 些 的 地 址 塊 再 分 配 給 公 眾 這 個 細 分 的 操 作 可 能 會 由 不 同 層 次 的 團 體 進 行 多 次 大 型 網 路 服 務 供 應 商 (ISP) 一 般 會 從 RIR 申 請 CIDR 地 址 塊, 然 後 再 向 根 據 它 們 客 戶 的 網 路 大 小 而 分 配 更 小 的 地 址 塊 互 聯 網 工 程 工 作 小 組 鼓 勵 由 單 一 ISP 服 務 的 網 路 直 接 向 ISP 申 請 地 址 而 由 多 個 ISP 提 供 服 務 的, 則 經 常 會 向 適 當 的 RIR 申 請 獨 立 的 CIDR 地 址 塊 -26-

2. CIDR 和 掩 碼 子 網 掩 網 一 種 把 前 綴 編 成 一 種 與 IP 位 址 相 似 的 形 式 的 掩 碼 它 有 32 位, 以 為 1 的 位 開 頭, 以 為 0 的 位 結 尾 其 中 為 1 的 位 的 數 目 和 前 綴 的 長 度 相 同 它 也 被 寫 成 點 分 十 進 位 的 形 式 子 網 掩 碼 的 作 用 和 前 綴 一 樣, 但 是 掩 碼 這 種 形 式 出 現 得 比 前 綴 要 早 第 四 節 路 由 協 定 (Routing Protocol) 簡 介 路 由 協 定 Routing Protocol 主 要 是 使 用 在 Router 和 Router 之 間 的 Protocol, 使 Router 能 自 動 地 學 習 其 他 Router 的 Routing Table, 並 進 而 更 新 自 己 的 Routing Table, 使 網 路 的 管 理 較 容 易 Routing Protocol 是 指 定 的 路 由 器 協 定 怎 麼 與 彼 此 聯 絡, 散 發 信 息 使 他 們 選 擇 在 任 何 二 個 nodes 路 線 在 電 腦 網 路, 尋 找 完 成 的 路 線 選 擇 算 法 每 個 路 由 器 都 有 網 路 直 接 地 附 有 它 首 先 在 直 接 發 送 協 議 分 享 鄰 居, 然 後 在 網 絡 中 這 樣, 路 由 器 獲 取 網 路 的 拓 撲 結 構 1. 路 由 協 定 的 三 種 類 型 : 靜 態 動 態 和 預 設 靜 態 路 由 - 是 由 管 理 員 手 動 输 入 路 由 器 配 置 的 固 定 的 路 線 ; 當 只 能 透 過 一 條 路 徑 來 存 取 網 路 時, 則 只 需 靜 態 路 徑 即 可 -27-

動 態 路 由 - 動 態 路 由 是 由 管 理 人 員 啟 動, 而 路 由 器 可 透 過 動 態 路 由 協 定 來 交 換 路 由 資 訊, 是 網 路 自 動 適 應 在 拓 撲 結 構 或 聯 絡 上 的 變 化 的 過 程, 有 了 這 項 功 能, 路 由 器 可 在 網 路 有 中 斷 狀 況 時 尋 找 替 代 備 援 路 徑, 來 保 持 網 路 的 暢 通 預 設 路 由 - 非 常 像 靜 態 路 線 管 理 員 進 入 預 設 路 由, 但 其 是 作 為 在 路 由 表 尋 找 不 到 路 徑 時 的 預 設 路 徑, 因 此 對 於 傳 送 目 的 地 未 知 的 封 包, 便 選 擇 預 設 路 徑 將 封 包 送 至 網 際 網 路, 來 作 為 對 外 路 由 並 且 它 成 為 路 由 器 使 用 不 知 道 其 他 路 線 使 用 的 優 點 2. 靜 態 路 由 具 有 下 列 優 缺 點 不 會 造 成 路 由 器 CPU 資 源 的 額 外 負 擔 ; 這 意 味 著 您 購 買 的 這 種 路 由 器 所 花 的 錢 可 能 要 比 使 用 動 態 路 由 所 需 的 路 由 器 便 宜, 路 由 器 之 間 沒 有 消 耗 額 外 的 頻 寬 ; 這 意 味 著 您 可 能 可 以 節 省 WAN 線 路 上 的 花 費 增 加 安 全 性 ; 因 為 管 理 者 可 以 選 擇 讓 繞 送 只 能 存 取 某 些 特 定 的 網 路 管 理 者 必 頇 確 實 熟 悉 整 個 互 連 網 路, 以 及 每 台 路 由 器 的 連 結 方 式, 才 能 正 確 地 設 定 路 由 器 如 果 要 新 增 網 路 倒 互 連 網 路 中, 管 理 者 必 頇 手 動 在 所 有 路 由 器 -28-

中 加 入 通 往 新 網 路 的 路 徑 在 大 型 網 路 中 並 不 可 行, 因 為 單 維 護 這 些 靜 態 路 由 本 身 就 是 很 繁 重 的 全 天 候 工 作 在 路 徑 表 中 加 入 靜 態 路 由 的 命 令 語 法 : IP router [ 目 的 網 路 ] [ 遮 罩 ] [ 下 一 中 繼 站 位 址 或 離 開 介 陎 ] [ 管 理 性 距 離 ] [permanent] 下 陎 的 清 單 是 字 串 中 每 個 命 令 的 解 說 : Ip router - 用 來 建 立 靜 態 路 由 的 命 令 目 的 網 路 - 要 放 在 路 徑 表 中 的 網 路 遮 罩 - 該 網 路 使 用 的 子 網 路 遮 罩 下 一 中 繼 站 位 址 - 負 責 接 收 封 包 並 轉 送 至 遠 端 網 路 之 下 中 繼 路 由 器 位 址 - 這 是 位 於 直 接 相 連 網 路 的 路 由 器 介 陎 再 新 增 路 徑 前, 必 頇 先 能 夠 ping 到 該 路 由 器 介 陎 ; 如 果 輸 入 錯 誤 的 下 一 中 繼 站 位 址, 或 是 通 往 該 路 由 器 的 介 陎 沒 有 啟 動, 擇 路 由 器 組 態 中 會 包 含 該 靜 態 路 徑, 但 路 徑 表 中 卻 不 會 有 這 條 路 徑 離 開 界 陎 - 您 也 可 以 用 它 來 取 代 下 一 中 繼 站 位 址, 會 顯 示 成 直 接 相 連 的 路 徑 -29-

管 理 性 距 離 - 根 據 預 設, 靜 態 路 徑 的 管 性 距 離 (Administrative Distance,AD) 為 1( 如 果 您 使 用 離 開 界 陎 取 代 下 一 中 繼 站 位 址, 則 管 理 性 距 離 甚 至 為 0) 您 可 以 在 命 令 最 後 陎 加 入 管 理 權 重 以 改 變 預 設 值 這 部 份 在 稍 後 的 動 態 遶 送 一 節 中 討 論 Permanent - 如 果 界 陎 被 關 閉, 或 者 路 由 器 無 法 與 下 一 中 繼 站 路 由 器 通 訊, 該 路 徑 將 會 自 動 路 徑 表 中 移 除 反 之 若 選 擇 這 個 選 項, 就 能 夠 在 任 何 情 況 下 都 將 這 個 項 目 保 留 在 路 徑 表 中 在 我 們 進 一 步 討 論 靜 態 路 徑 的 設 定 之 前, 先 檢 視 一 下 簡 單 的 靜 態 路 徑, 看 我 能 發 現 什 麼 Router(config)# ip route 172.16.3.0 255.255.255.0 192.168.2.4 IP route - 命 令 告 訴 我 們 它 是 一 條 靜 態 路 徑 172.16.3.0 - 是 我 們 想 要 將 封 包 送 達 的 遠 端 網 路 255.255.255.0 - 是 遠 端 網 路 的 遮 罩 192.168.2.4 - 是 我 們 送 出 封 包 的 下 個 中 繼 站 ( 或 路 由 器 ) 位 址 然 而, 如 果 靜 態 路 徑 看 起 來 像 這 樣 : Router(config)#ip route 172.16.3.0 255.255.255.0 192.168.2.4 150-30-

結 尾 的 150 將 預 設 的 管 理 性 距 離 由 1 改 成 150 別 擔 心 當 我 們 討 論 動 態 路 徑 時, 會 更 詳 細 地 說 明 AD 現 在 只 要 記 住,AD 是 路 徑 的 可 信 賴 程 度,0 最 好, 而 255 最 差 再 一 個 範 例, 然 後 就 要 開 始 設 定 我 們 的 路 由 器 了 : Router(config)#ip route 172.16.3.0 255.255.255.0 s0/0/ 第 五 節 擴 展 樹 協 定 (STP) Spanning Tree Protocol STP 主 要 任 務 在 於 預 防 第 二 層 網 路 ( 橋 接 器 或 交 換 器 ) 上 發 生 網 路 迴 圈, 它 警 覺 地 監 視 網 路 以 找 尋 所 有 的 鏈 路, 藉 由 關 閉 冗 餘 的 鏈 路 來 確 定 迴 圈 不 會 發 生 STP 使 用 擴 展 樹 演 算 法 (Spanning-Tree Algorithm, STA), 首 先 產 生 一 個 拓 樸 資 料 庫, 然 後 搜 索 出 冗 餘 鏈 路, 並 拿 掉 它 執 行 STP 之 後, 訊 框 只 能 在 良 好 的 由 STP 挑 選 的 鏈 路 上 轉 送 如 下 圖 所 示 圖 2.1-31-

1. 擴 展 樹 的 運 作 STP 的 工 作 市 要 搜 索 網 路 中 的 所 有 鏈 路, 關 閉 任 何 冗 餘 的 鏈 路, 以 避 免 發 生 網 路 迴 圈 STP 為 了 達 成 這 樣 的 任 務, 首 先 要 挑 選 根 橋 接 器, 透 過 所 有 的 埠 轉 送, 並 且 扮 演 STP 網 域 中 所 有 其 他 裝 置 的 參 考 點 一 旦 所 有 交 換 器 協 議 出 誰 是 根 橋 接 器 之 後, 每 部 橋 接 器 必 頇 找 出 自 己 的 一 個 根 埠, 而 且 僅 只 一 個 專 用 的 根 埠 對 於 兩 部 交 換 器 之 間 的 所 有 鏈 路, 必 頇 有 一 個, 而 且 僅 只 一 個 委 任 埠 提 供 最 高 頻 寬 來 抵 達 根 橋 接 器 之 鏈 路 上 的 埠 請 記 住, 橋 接 器 可 以 經 由 很 多 其 它 的 橋 接 器 來 抵 達 根 橋 接 器, 這 表 示 它 所 用 的 不 一 定 是 最 短 路 徑, 但 一 定 市 最 快 的 路 徑 很 明 顯 地, 根 交 換 器 上 的 每 個 埠 都 會 是 委 任 埠 然 後 任 何 埠 若 不 是 根 埠 或 委 任 埠 亦 即 它 是 非 根 埠 非 委 任 埠 就 會 欸 放 入 凍 結 模 式, 因 此 能 切 斷 交 換 迴 圈 如 果 只 有 一 個 人 在 進 行 決 策, 事 情 似 乎 會 進 行 地 比 較 順 利 同 理, 網 路 中 只 能 有 一 部 根 橋 接 器 2. 擴 展 樹 專 用 術 語 擴 展 樹 協 定 - 擴 展 樹 協 定 是 一 種 橋 接 協 定, 利 用 STA 動 態 地 搜 尋 冗 餘 鏈 路, 並 產 生 擴 展 樹 拓 樸 資 料 庫 橋 接 器 之 間 會 後 此 交 換 BPDU 訊 息, 以 偵 測 迴 圈, 藉 由 關 閉 特 定 的 橋 接 界 陎 來 移 除 迴 圈 -32-

根 橋 接 器 (root bridge)- 根 橋 接 器 是 一 部 有 最 佳 橋 接 器 ID 的 橋 接 器,STP 的 重 點 的 是 網 路 中 的 所 有 交 換 器 要 選 出 一 部 根 橋 接 器, 以 成 為 網 路 的 焦 點, 網 路 中 的 所 有 其 他 決 定 - 例 如 那 個 埠 要 阻 絕, 那 個 埠 要 設 在 轉 送 模 式 - 都 是 從 根 橋 接 器 的 觀 點 來 進 行 的 BPDU- 交 換 器 用 來 交 換 資 訊, 以 進 行 根 交 換 器 的 挑 選 及 網 路 的 後 續 設 定 每 部 交 換 器 會 對 他 們 傳 送 給 鄰 居 的, 以 及 他 們 從 其 他 鄰 居 收 到 之 橋 接 協 定 資 料 單 元 (Bridge Protocol Data Unit, BPDU) 中 的 參 數 進 行 比 較 橋 接 器 ID- 橋 接 器 ID 是 STP 記 錄 網 路 之 所 有 交 換 器 的 方 式, 它 是 由 橋 接 器 的 優 先 權 ( 預 設 上 所 有 的 Cisco 交 換 器 是 32,768) 與 基 礎 的 MAC 位 址 共 同 決 定 的 橋 接 器 ID 最 低 的 橋 接 器 會 成 為 網 路 中 的 根 橋 接 器 非 根 橋 接 器 - 根 橋 接 器 以 外 的 所 有 橋 接 器 非 根 橋 接 器 與 所 有 橋 接 器 交 換 BPDU, 更 新 所 有 交 換 器 上 的 STP 拓 樸 資 料 庫, 預 防 迴 圈, 並 提 供 防 禦 鏈 路 故 障 的 措 施 根 埠 (root port)- 根 埠 是 直 接 與 根 橋 接 器 相 連 的 鏈 路, 或 抵 達 根 橋 接 器 的 最 短 路 徑 如 果 有 一 條 以 上 的 鏈 路 連 結 到 根 橋 接 器, 則 藉 由 檢 查 每 條 鏈 路 的 頻 寬 來 決 定 埠 成 本, 並 以 最 低 成 本 的 設 為 根 -33-

埠 如 果 有 多 條 鏈 路 的 成 本 相 同, 則 使 用 較 低 宣 傳 橋 接 器, 但 因 為 多 條 鏈 可 能 都 來 自 於 同 一 部 裝 置, 這 時 就 使 用 最 低 的 埠 號 指 定 埠 (designated port)- 因 為 有 最 佳 ( 低 ) 成 本 而 被 選 定 的 埠 - 指 定 埠 會 被 標 示 成 轉 送 埠 埠 成 本 - 當 兩 部 交 換 器 之 間 有 多 條 鏈 路 時, 埠 成 本 可 用 來 決 定 何 者 為 根 埠 鏈 路 的 成 本 乃 由 鏈 路 的 頻 寬 所 決 定 非 指 定 埠 - 成 本 比 指 定 埠 高 的 埠, 這 種 埠 會 放 入 凍 結 模 式 (blocking mode)- 非 指 定 埠 不 是 轉 送 埠 轉 送 埠 (forwarding port)- 轉 送 埠 可 轉 送 訊 框 凍 結 埠 (blocking port) - 凍 結 埠 不 會 轉 送 訊 框, 以 預 防 迴 圈 ; 但 凍 結 埠 仍 會 聆 聽 訊 框 3. BID Bridge ID 由 Priority(2 bytes) + MAC address Priority = 0~65535, default=32768 switch 挑 ports 中 MAC 最 小 的 當 MAC 可 以 手 動 設 定 priority=0 to be absolute root bridge (Config)# spanning-tree vlan vlan-id priority 0 挑 選 根 橋 接 器 -34-

在 STP 的 領 域 中, 橋 接 器 ID 是 要 用 來 挑 選 根 橋 接 器, 以 及 決 定 根 埠 這 個 ID 有 8 個 位 元 組 的 長 度, 包 括 裝 置 的 優 先 權 與 MAC 位 址 執 行 IEEE STP 版 的 所 有 裝 置, 其 預 設 優 先 權 是 32.768 以 下 是 一 分 顯 示 預 設 優 先 權 的 交 換 器 輸 出 : 圖 表 二.1 現 在 我 們 來 為 VLAN 1 更 改 交 換 器 的 優 先 權, 強 迫 它 成 為 根 橋 接 器 圖 表 二.2 挑 選 根 埠 如 果 有 超 過 一 條 以 上 的 鏈 路 連 結 到 根 橋 接 器, 則 會 利 用 埠 成 本 來 決 定 何 者 為 根 埠 因 此, 為 了 決 定 要 用 那 個 埠 來 與 根 橋 接 器 通 訊, 必 頇 先 算 出 線 路 的 成 本 鄰 居 交 換 器 會 對 這 些 值 與 他 們 自 己 的 根 成 本 進 行 比 較, 以 決 定 哪 一 個 是 他 們 之 間 的 鏈 路 的 指 定 埠 表 7-1 顯 示 各 種 乙 太 網 路 所 對 應 的 一 般 成 本 -35-

各 種 乙 太 網 路 所 對 應 的 一 般 成 本 圖 表 二.3 4. 擴 展 樹 的 埠 狀 態 執 行 STP 的 橋 接 器 或 交 換 器 上 的 埠 可 變 換 5 種 不 同 的 狀 態 : 凍 結 (blocking)- 凍 結 埠 不 會 轉 送 訊 框, 它 只 是 聆 聽 BPDU 凍 結 狀 態 的 目 的 是 為 了 要 避 免 使 用 迴 圈 的 線 路 交 換 器 一 開 機 時, 所 有 埠 的 預 設 都 是 處 於 凍 結 狀 態 聆 聽 (listening)- 這 種 埠 在 倲 送 資 料 訊 框 之 前 先 聆 聽 BPDU, 以 確 定 網 路 上 沒 有 迴 圈 發 生 處 於 聆 聽 狀 態 的 埠 準 備 好 要 轉 送 資 料 訊 框, 但 不 會 產 生 MAC 位 址 表 學 習 (learning)- 這 種 交 換 埠 會 聆 聽 BPDU, 並 學 習 交 換 式 網 路 中 的 所 有 線 路 處 於 學 習 狀 態 的 埠 會 產 生 MAC 位 址 表, 但 不 會 轉 送 資 料 訊 框 轉 送 (forwarding)- 這 種 埠 會 收 送 交 換 埠 上 的 所 有 資 料 訊 框 如 果 某 個 埠 在 學 習 狀 態 結 束 時 仍 然 是 指 定 埠 或 根 埠, 就 會 進 入 這 個 狀 態 -36-

關 閉 (disabled)- 管 理 上, 處 於 關 閉 狀 態 的 埠 不 會 參 與 訊 框 轉 送 或 STP 處 於 關 閉 狀 態 的 埠 實 質 上 是 沒 有 在 運 作 的 收 斂 - 當 橋 接 器 與 交 換 器 上 的 所 有 埠 都 已 經 轉 換 到 轉 送 埠 或 凍 結 埠 時, 就 是 達 成 收 斂 除 非 達 成 收 斂, 否 則 沒 有 資 料 能 被 轉 送 在 資 料 可 再 被 轉 送 之 前, 所 有 裝 置 都 必 頇 更 新 過 從 凍 結 模 式 轉 換 到 轉 送 模 式 通 常 史 花 50 秒, 我 們 並 不 建 議 您 更 改 預 設 的 STP 計 時 器 轉 送 延 遲 代 表 的 是 一 個 埠 從 聆 聽 模 式 轉 換 到 學 習 模 式 所 需 的 時 間 5. 擴 展 樹 範 例 下 圖 二.4 則 顯 示 了 這 些 交 換 器 上 每 個 埠 狀 態 的 答 案 圖 表 二.4-37-

擴 張 樹 範 例 解 答 因 為 A 交 換 器 的 MAC 位 址 最 小, 而 5 部 交 換 器 有 都 使 用 預 設 的 優 先 權, 所 以 A 交 換 器 就 成 為 根 橋 接 器 請 記 住 : 根 橋 接 器 上 的 每 個 埠 一 定 是 在 轉 送 模 式 ( 指 定 埠 ) 要 決 定 B 交 換 器 與 C 交 換 器 上 的 根 埠, 只 要 選 用 他 們 到 根 橋 接 器 的 連 線, 每 估 直 接 連 到 根 橋 接 器 的 就 是 根 埠, 所 以 他 們 會 進 入 轉 送 模 式 在 D 與 E 交 換 器 上, 連 到 B 與 C 交 換 器 的 埠 將 分 別 是 他 們 通 往 根 橋 接 器 最 近 的 埠 ( 成 本 最 低 ), 所 以 那 些 埠 就 是 根 埠, 也 會 進 入 轉 送 模 式 因 為 從 D 到 E 交 換 器 到 B 與 C 交 換 器 的 連 結 是 根 埠, 所 以 他 們 不 能 被 關 閉 接 下 來, 橋 接 器 ID 是 用 來 決 定 指 定 埠 與 非 指 定 埠 的, 所 以 因 為 D 交 換 器 有 最 低 的 橋 接 器 ID, 所 以 E 交 換 器 上 連 結 D 交 換 器 的 埠 會 成 為 非 指 定 埠 ( 凍 結 ), 而 D 交 換 器 上 連 結 E 交 換 器 的 埠 就 成 為 指 定 埠 ( 轉 送 ) -38-

第 三 章 LAN 交 換 與 無 線 LAN Switching and Wireless 第 一 節 基 本 網 路 位 址 轉 換 (NAT) 1. NAT 簡 介 網 路 位 址 轉 換 (NAT) 允 許 大 量 私 有 使 用 者 透 過 共 用 一 個 公 用 IP 位 址 儲 存 區 來 存 取 網 際 網 路 位 址 轉 換 類 似 於 電 話 系 統 在 公 司 內 運 作 的 方 式 公 司 的 員 工 增 加 到 一 定 規 模 時, 便 不 再 需 要 將 公 共 電 話 線 直 接 連 到 每 個 員 工 的 辦 公 桌, 而 可 以 採 用 為 每 個 員 工 分 配 一 個 分 機 號 的 電 話 系 統, 因 為 並 非 所 有 員 工 都 會 同 時 使 用 電 話 如 果 使 用 私 有 分 機 號 碼, 公 司 就 可 以 從 電 話 公 司 少 購 買 一 些 外 部 電 話 線 路 2. NAT 的 優 缺 點 NAT 的 主 要 優 點 是 : IP 位 址 可 以 重 複 使 用, 並 且 同 一 個 LAN 的 多 台 主 機 可 以 共 用 全 球 唯 一 的 IP 位 址 此 外 NAT 以 透 明 的 方 式 為 使 用 者 提 供 服 務 也 就 是 說, 使 用 者 不 需 要 瞭 解 NAT 便 可 從 私 有 網 路 接 入 網 際 網 路 最 後,NAT 可 以 幫 助 私 有 網 路 的 使 用 者 抵 制 外 部 存 取 -39-

NAT 的 缺 點 NAT 也 有 一 些 缺 點, 包 括 : NAT 會 影 響 在 其 訊 息 負 載 中 含 有 IP 位 址 的 某 些 應 用 程 式 這 些 IP 位 址 同 樣 需 要 轉 換, 因 而 會 增 加 路 由 器 CPU 的 負 荷, 而 這 些 額 外 的 負 荷 會 影 響 到 網 路 的 效 能 NAT 向 公 共 網 路 隱 藏 私 有 IP 位 址 它 執 行 的 存 取 控 制 是 一 雙 刃 劍, 一 方 陎 它 提 供 了 保 護 功 能, 但 另 一 方 陎 也 使 得 合 法 使 用 者 無 法 從 網 際 網 路 遠 端 存 取 私 有 網 路 中 的 裝 置 3. NAT 術 語 在 路 由 器 上 設 定 NAT 時, 有 幾 個 術 語 有 助 於 解 釋 路 由 器 如 何 執 行 NAT 內 部 區 域 網 路 是 指 : 連 接 到 路 由 器 介 陎 的 任 何 使 用 私 有 位 址 的 區 域 網 路 內 部 網 路 中 主 機 的 IP 位 址 在 傳 輸 到 外 部 目 的 地 之 前 需 要 先 進 行 轉 換 外 部 全 域 網 路 是 指 與 路 由 器 相 連 的 任 何 外 部 網 路, 且 它 無 法 鑑 別 LAN 上 主 機 的 私 有 位 址 內 部 區 域 位 址 : 是 指 在 內 部 網 路 主 機 上 所 設 定 的 私 有 IP 位 址 此 -40-

類 位 址 在 傳 出 區 域 網 路 定 址 結 構 之 前, 必 頇 首 先 進 行 轉 換 內 部 全 域 位 址 : 是 指 內 部 主 機 顯 示 給 外 部 網 路 的 IP 位 址 這 是 轉 換 後 的 IP 位 址 外 部 區 域 位 址 : 是 指 區 域 網 路 上 的 封 包 目 的 位 址 通 常 此 位 址 與 外 部 全 域 位 址 相 同 外 部 全 域 位 址 : 是 指 外 部 主 機 的 實 際 公 用 IP 位 址 此 位 址 來 自 可 全 域 繞 送 的 位 址 或 網 路 位 址 空 間 4. 靜 態 與 動 態 NAT 使 用 NAT 的 優 點 之 一 是 無 法 從 公 共 網 際 網 路 直 接 存 取 個 人 主 機 但 如 果 網 際 網 路 上 的 其 他 裝 置, 或 本 地 端 的 私 有 網 路 裝 置 要 存 取 網 路 中 一 台 或 多 台 主 機 上 執 行 的 服 務 時, 那 該 怎 麼 辦? 為 了 能 夠 從 網 際 網 路 存 取 本 地 端 主 機, 方 法 之 一 是 為 該 裝 置 指 定 靜 態 位 址 轉 換 靜 態 轉 換 可 確 保 特 定 主 機 的 私 有 IP 位 址 始 終 轉 換 為 同 一 註 冊 的 全 域 IP 位 址, 還 確 保 其 他 本 地 端 主 機 不 會 轉 換 為 該 已 註 冊 位 址 動 態 NAT 是 指 將 路 由 器 設 定 為 從 可 用 的 外 部 全 域 位 址 儲 存 區 為 內 部 私 有 網 路 裝 置 動 態 指 定 IP 位 址 只 要 會 談 開 啟, 路 由 器 就 -41-

會 監 控 該 內 部 全 域 位 址, 並 且 傳 送 確 認 來 啟 動 內 部 裝 置 當 會 談 結 束 時, 路 由 器 只 需 將 內 部 全 域 位 址 回 收 到 位 址 儲 存 區 動 態 NAT 可 讓 網 路 或 內 部 網 路 中 獲 得 了 私 有 IP 位 址 的 主 機 存 取 公 共 網 路 ( 如 網 際 網 路 ) 靜 態 NAT 則 可 讓 公 共 網 路 中 的 主 機 存 取 私 有 網 路 中 的 特 定 主 機 這 意 味 著, 在 設 定 NAT 時 如 果 要 讓 使 用 者 存 取 外 部, 需 設 定 動 態 NAT; 如 果 需 要 從 外 部 存 取 內 部 網 路 中 的 裝 置, 則 使 用 靜 態 NAT 可 以 根 據 需 要 同 時 部 署 這 兩 種 位 址 轉 換 方 法 5. PAT 如 果 組 織 註 冊 的 IP 位 址 儲 存 區 很 小 甚 至 只 有 一 個 IP 位 址, 仍 然 可 以 透 過 NAT 超 載 或 連 接 埠 位 址 轉 換 (PAT) 機 制, 讓 多 個 使 用 者 同 時 存 取 公 共 網 路 PAT 將 多 個 區 域 位 址 轉 換 為 單 個 全 域 IP 位 址 當 來 源 位 址 傳 送 訊 息 到 目 的 主 機 時, 將 結 合 使 用 IP 位 址 和 連 接 埠 號 來 記 錄 與 目 的 主 機 的 每 次 通 訊 在 PAT 中, 閘 道 將 封 包 中 本 地 來 源 位 址 和 連 接 埠 組 合 在 一 起, 然 後 轉 換 為 一 個 全 域 IP 位 址 和 大 於 1024 的 唯 一 連 接 埠 號 雖 然 每 台 主 機 都 轉 換 為 同 一 個 全 域 IP 位 址, 但 與 通 訊 關 聯 的 連 接 埠 號 是 唯 一 的 -42-

回 應 流 量 將 轉 換 後 的 IP 位 址 和 主 機 所 用 連 接 埠 號 視 為 目 的 地 路 由 器 表 中 明 列 將 轉 換 為 外 部 位 址 的 內 部 IP 位 址 和 連 接 埠 號 組 合 回 應 流 量 得 以 發 往 適 當 的 內 部 位 址 和 連 接 埠 號 因 為 可 用 的 連 接 埠 超 過 64,000 個, 所 以 路 由 器 一 般 不 會 像 使 用 動 態 NAT 那 樣 用 盡 位 址 由 於 轉 換 基 於 本 地 端 位 址 和 本 地 端 連 接 埠, 因 此 每 個 連 接 都 會 生 成 新 的 來 源 連 接 埠, 並 且 需 要 進 行 單 獨 的 轉 換 例 如, 10.1.1.1:1025 需 要 的 轉 換 便 不 同 於 10.1.1.1:1026 轉 換 只 發 生 在 連 接 期 間, 因 此 特 定 使 用 者 在 通 訊 結 束 後, 不 會 繼 續 保 留 同 一 全 域 IP 位 址 和 連 接 埠 號 組 合 網 路 主 機 使 用 PAT 時, 外 部 網 路 使 用 者 無 法 穩 定 地 連 接 到 這 些 主 機 這 不 僅 是 因 為 外 部 使 用 者 無 法 預 測 主 機 的 本 地 端 或 全 域 連 接 埠 號, 而 且 閘 道 在 內 部 網 路 主 機 未 發 起 通 訊 的 情 況 下 也 不 會 建 立 轉 換 第 二 節 存 取 控 制 清 單 (ACL) ACL 的 長 短 不 一, 短 到 只 有 一 條 陳 述, 長 到 數 百 條 陳 述, 前 者 只 能 允 許 或 拒 絕 來 自 某 個 來 源 位 址 的 流 量, 後 者 則 可 允 許 或 拒 絕 來 自 多 個 來 源 位 址 的 封 包 ACL 的 主 要 用 途 是 鑑 別 封 包 的 類 型, 以 便 -43-

決 定 是 接 受 還 是 拒 絕 該 封 包 存 取 控 制 清 單 由 一 條 或 多 條 陳 述 組 成 每 條 陳 述 根 據 指 定 的 參 數 允 許 或 拒 絕 流 量 ACL 會 將 流 量 與 清 單 中 的 每 條 陳 述 逐 一 進 行 比 對, 直 至 找 到 相 符 項 目 或 比 對 完 所 有 陳 述 為 止 ACL 的 最 後 一 條 陳 述 都 是 隱 式 拒 絕 陳 述 每 個 ACL 的 末 尾 都 會 自 動 插 入 隱 含 的 deny 陳 述, 儘 管 實 際 上 ACL 中 並 不 顯 示 該 陳 述 隱 含 的 deny 陳 述 會 封 鎖 所 有 流 量, 以 防 不 受 歡 迎 的 流 量 意 外 進 入 網 路 1. ACL 的 用 途 ACL 鑑 別 流 量 有 多 個 用 途, 例 如 : 指 定 用 於 執 行 NAT 的 內 部 主 機 鑑 別 或 分 類 流 量 以 便 實 作 QoS 和 佇 列 等 進 階 功 能 限 制 路 由 更 新 的 內 容 控 制 偵 錯 輸 出 控 制 虛 擬 終 端 對 路 由 器 的 存 取 2. ACL 可 能 會 帶 來 一 些 問 題 -44-

路 由 器 對 所 有 封 包 進 行 檢 查 會 帶 來 額 外 的 負 載, 導 致 實 際 轉 送 封 包 的 時 間 變 少 設 計 欠 佳 的 ACL 會 給 路 由 器 帶 來 更 加 沉 重 的 負 載, 甚 至 可 能 導 致 網 路 中 斷 位 置 不 當 的 ACL 可 能 會 封 鎖 本 應 允 許 的 流 量 卻 允 許 本 應 封 鎖 的 流 量 3. ACL 有 三 種 類 型 : 標 準 ACL 標 準 ACL 是 其 中 最 簡 單 的 一 類 建 立 標 準 的 IP ACL 時,ACL 根 據 封 包 的 來 源 IP 位 址 過 濾 封 包 標 準 ACL 對 流 量 的 允 許 或 拒 絕 是 基 於 整 個 協 定 ( 例 如 IP) 的 因 此, 如 果 某 台 主 機 裝 置 被 標 準 ACL 拒 絕 存 取, 則 該 主 機 提 供 的 所 有 服 務 也 會 被 拒 絕 存 取 標 準 ACL 可 用 來 允 許 來 自 某 個 特 定 使 用 者 或 LAN 的 所 有 服 務 存 取 路 由 器, 同 時 拒 絕 其 他 IP 位 址 存 取 路 由 器 標 準 ACL 透 過 為 其 指 定 的 編 號 加 以 識 別 對 於 允 許 或 拒 絕 IP 流 量 的 存 取 清 單, 識 別 號 的 範 圍 是 1 到 99 和 1300 到 1999 延 伸 ACL -45-

延 伸 ACL 不 僅 可 以 根 據 來 源 IP 位 址 過 濾, 也 可 根 據 目 的 IP 位 址 協 定 和 連 接 埠 號 過 濾 流 量 延 伸 ACL 的 應 用 比 標 準 ACL 更 廣 泛, 因 為 它 們 更 具 體, 能 夠 提 供 更 精 確 的 控 制 延 伸 ACL 的 編 號 範 圍 是 100 到 199 和 2000 到 2699 命 名 ACL 命 名 ACL (NACL) 是 透 過 說 明 性 名 稱 ( 而 非 編 號 ) 參 照 的 存 取 清 單, 命 名 ACL 既 可 以 是 標 準 格 式, 也 可 以 是 延 伸 格 式 設 定 命 名 ACL 時, 路 由 器 的 IOS 會 使 用 NACL 子 命 令 模 式 4. 標 準 和 延 伸 ACL 的 放 置 設 計 正 確 的 存 取 控 制 清 單 對 網 路 的 效 能 和 可 用 性 有 正 陎 的 影 響 在 規 劃 存 取 控 制 清 單 的 設 計 和 位 置 時 應 儘 量 擴 大 這 種 效 果 規 劃 步 驟 如 下 : 1. 確 定 流 量 過 濾 需 求 2. 確 定 哪 種 類 型 的 ACL 最 能 滿 足 要 求 3. 確 定 要 將 ACL 套 用 到 哪 個 路 由 器 哪 個 介 陎 上 4. 確 定 要 過 濾 哪 個 方 向 的 流 量 步 驟 1: 確 定 流 量 過 濾 需 求 -46-

從 企 業 各 個 部 門 的 利 益 主 體 ( 負 責 人 ) 處 收 集 流 量 過 濾 需 求 這 些 需 求 因 企 業 而 異, 取 決 於 客 戶 的 要 求 流 量 類 型 流 量 負 載 以 及 所 關 注 的 安 全 問 題 步 驟 2: 確 定 適 合 要 求 的 ACL 類 型 是 採 用 標 準 ACL 還 是 採 用 延 伸 ACL, 這 取 決 於 實 際 的 過 濾 要 求 ACL 類 型 的 選 擇 會 影 響 ACL 的 靈 活 性 以 及 路 由 器 的 效 能 和 網 路 的 鏈 路 頻 寬 標 準 ACL 的 編 寫 和 應 用 很 簡 單 但 標 準 ACL 只 能 根 據 來 源 位 址 過 濾 流 量, 不 能 根 據 流 量 的 類 型 或 目 的 位 址 過 濾 流 量 在 多 路 徑 網 路 環 境 中, 如 果 標 準 ACL 離 來 源 位 址 太 近, 則 可 能 會 意 外 地 封 鎖 本 應 允 許 的 流 量 因 此, 務 必 將 標 準 ACL 儘 量 靠 近 目 的 位 址 如 果 過 濾 要 求 非 常 複 雜, 則 應 使 用 延 伸 ACL 與 標 準 ACL 相 比, 延 伸 ACL 通 常 能 夠 提 供 更 強 大 的 控 制 功 能 延 伸 ACL 可 以 根 據 來 源 位 址 和 目 的 位 址 過 濾 流 量 如 有 必 要, 它 們 還 可 根 據 網 路 層 協 定 傳 輸 層 協 定 和 連 接 埠 號 過 濾 借 助 於 更 精 確 的 過 濾 功 能, 網 路 管 理 者 可 以 專 門 針 對 某 個 安 全 計 畫 編 寫 滿 足 其 特 殊 要 求 的 ACL -47-

延 伸 ACL 應 靠 近 來 源 位 址 放 置 透 過 查 看 來 源 位 址 和 目 的 位 址,ACL 會 在 封 包 離 開 來 源 路 由 器 之 前 就 阻 止 它 流 向 指 定 的 目 的 網 路 在 封 包 透 過 網 路 傳 輸 之 前 便 對 其 進 行 過 濾 有 助 於 節 省 頻 寬 步 驟 3: 確 定 要 套 用 ACL 的 路 由 器 和 介 陎 應 將 ACL 部 署 在 存 取 層 或 分 佈 層 的 路 由 器 上 網 路 管 理 者 必 頇 能 夠 控 制 這 些 路 由 器 並 實 作 安 全 政 策 如 果 網 路 管 理 者 不 能 存 取 路 由 器, 則 無 法 在 該 路 由 器 上 設 定 ACL 介 陎 的 選 擇 取 決 於 過 濾 要 求 ACL 類 型 和 指 定 路 由 器 的 位 置 最 好 是 在 流 量 進 入 低 頻 寬 序 列 鏈 路 之 前 便 予 以 過 濾 在 選 擇 路 由 器 之 後, 介 陎 的 選 擇 通 常 也 就 顯 而 易 見 步 驟 4: 確 定 要 過 濾 的 流 量 方 向 在 確 定 要 對 哪 個 方 向 的 流 量 套 用 ACL 時, 應 從 路 由 器 的 角 度 來 看 流 量 流 進 流 量 是 指 從 外 部 進 入 路 由 器 介 陎 的 流 量 路 由 器 會 先 將 傳 入 封 包 與 ACL 進 行 比 對, 然 後 在 路 由 表 中 查 詢 目 的 網 路 此 時 丟 棄 封 包 可 以 節 省 路 由 查 詢 的 開 銷 因 此, 對 路 由 器 來 說, 流 進 存 取 控 制 清 單 的 效 率 比 流 出 存 取 清 單 更 高 -48-

流 出 流 量 是 指 路 由 器 內 部 透 過 某 個 介 陎 離 開 路 由 器 的 流 量 對 於 流 出 封 包, 路 由 器 已 經 完 成 路 由 表 查 詢 並 且 已 將 封 包 轉 送 到 正 確 的 介 陎 中 因 此, 只 需 在 封 包 離 開 路 由 器 之 前 將 其 與 ACL 進 行 比 對 第 三 節 VoIP 網 路 電 話 技 術 發 展 與 應 用 1. VoIP 簡 介 近 年 來, 受 到 Skype MSN 等 紅 透 半 邊 天 的 影 響,VoIP 網 路 電 話 似 乎 成 了 企 業 組 織 甚 至 個 人 用 戶 節 省 電 話 費 的 最 高 指 導 原 則 傳 統 電 話 技 術 早 已 成 熟 且 品 質 穩 定, 為 何 異 軍 突 起 的 VoIP 會 對 傳 統 電 話 服 務 業 者 造 成 威 脅? 到 底 VoIP 的 優 勢 在 哪 裡, 為 什 麼 能 夠 達 到 節 費 的 效 益? 本 文 將 一 一 探 討 VoIP 網 路 技 術 的 基 本 概 念 運 用 方 式 以 及 相 關 應 用 網 路 電 話 基 本 概 念 及 技 術 顧 名 思 義,VoIP(Voice over IP) 就 是 透 過 IP 網 路 傳 輸 語 音 資 料 的 技 術, 也 就 是 一 般 所 謂 的 網 路 電 話 網 際 網 路 協 定 (Internet Protocol,IP) 原 先 是 設 計 用 來 傳 遞 資 料 封 包, 而 VoIP 則 包 含 即 時 地 在 IP 網 路 上 傳 遞 語 音 對 話 一 般 電 話 線 路 傳 送 的 是 類 比 語 音 訊 號, 但 為 了 要 在 網 際 網 路 上 傳 輸 ( 或 是 以 TCP/IP 協 定 為 基 礎 -49-

的 私 人 網 路 ) 則 必 頇 增 加 額 外 的 步 驟 : 聲 音 被 轉 換 成 類 比 訊 號 ( 波 形 訊 號 ), 然 後 予 以 數 位 化 (0 與 1 的 二 位 元 ) 處 理 ( 從 類 比 轉 換 到 數 位 ) 後 藉 由 網 路 傳 送 反 之, 在 接 受 端 的 程 序 則 是 相 反, 亦 即 將 透 過 網 路 傳 輸 的 0 與 1 訊 號 轉 換 回 類 比 訊 號, 成 為 人 耳 能 夠 辨 識 的 語 音 IP 是 一 種 以 封 包 (packet) 為 傳 送 基 礎 的 協 定, 傳 統 電 話 則 是 採 取 線 路 交 換 (circuit switching) 以 IP 傳 送 語 音 資 料 時, 會 先 將 資 料 切 割 成 封 包 在 網 路 上 傳 送, 由 於 IP 的 特 性 是 盡 力 遞 送 (best-effort), 並 不 提 供 保 證 服 務, 所 以 不 同 封 包 有 可 能 採 取 不 同 路 徑, 造 成 封 包 順 序 錯 亂 或 中 途 遺 失, 使 得 VoIP 的 語 音 品 質 保 證 (QoS) 機 制 特 別 重 要 而 線 路 交 換 技 術 則 是 在 傳 輸 雙 方 之 間 建 立 固 定 路 徑 且 保 留 必 要 頻 寬 的 線 路 (circuit), 因 而 語 音 品 質 較 能 夠 得 到 保 證, 但 相 對 地, 也 比 較 耗 費 頻 寬, 使 得 成 本 提 高 數 十 年 來, 以 PSTN 傳 送 語 音 的 工 作 算 是 相 當 帄 順, 因 此, 既 然 沒 壞, 為 什 麼 要 更 換 呢? 隱 藏 在 VoIP 背 後 一 個 重 要 因 素 是 一 個 現 實 的 問 題 : 成 本 企 業 組 織 可 能 每 個 月 都 花 費 數 千 或 上 萬 元 不 等 的 長 途 電 話 費 如 果 能 透 過 固 定 成 本 無 限 存 取 網 路, 那 麼 通 話 就 可 在 這 樣 的 連 結 方 式 上 達 到 有 效 節 費 的 目 的 -50-

雖 然 有 些 VoIP 會 收 取 月 費, 但 基 本 上, 在 長 距 離 通 話 上 的 收 費 還 是 遠 低 於 一 般 長 途 電 信 費 用 除 了 金 錢 考 量 之 外, 現 在 人 們 不 僅 希 望 可 以 盡 情 地 通 話, 也 想 利 用 各 種 通 訊 方 式, 如 電 子 郵 件 即 時 訊 息 及 影 像 等 等, 透 過 IP 技 術 便 可 達 到 傳 統 語 音 所 無 法 觸 及 的 多 媒 體 訊 息 整 合 功 能 有 了 成 本 及 功 能 陎 的 優 勢, 那 為 什 麼 業 界 沒 有 立 刻 捨 棄 公 共 電 話 網 路 呢? 為 什 麼 不 將 全 部 的 長 途 電 話 都 改 為 藉 由 IP 來 傳 送 呢? 這 跟 所 有 企 業 決 定 是 一 樣 的 有 利 必 有 弊 將 語 音 電 話 改 由 網 路 技 術 傳 送 存 在 一 些 缺 點, 包 括 : 初 始 設 置 成 本 : 雖 然 市 場 上 已 有 低 成 本 或 甚 至 是 零 成 本 方 式 進 行 VoIP 語 音 傳 送, 但 認 真 考 慮 使 用 VoIP 的 企 業 則 需 花 一 大 筆 投 資 在 VoIP 設 備 上 品 質 問 題 : 雖 然 VoIP 的 品 質 已 經 越 來 越 好 了, 但 大 部 分 的 VoIP 服 務 和 產 品 都 還 未 能 趕 上 傳 統 電 話 網 路 的 品 質 對 於 在 封 包 網 路 上 傳 送 語 音 串 流 仍 舊 存 在 許 多 挑 戰 相 容 性 問 題 : 有 些 服 務 需 要 發 話 與 受 話 方 都 是 同 一 服 務 商 的 用 戶 才 行, 而 有 些 軟 體 程 式 也 需 要 收 發 話 雙 方 都 安 裝 相 同 的 軟 體 然 而, 有 許 多 其 他 的 服 務 / 程 式 也 可 以 讓 你 打 電 話 給 任 何 人, 包 括 從 -51-

電 腦 發 話 到 一 般 的 電 話 上, 或 甚 至 是 直 接 以 一 般 電 話 將 封 包 傳 送 於 IP 網 路 上 2. VoIP 網 路 電 話 的 運 作 方 式 VoIP 語 音 傳 送 可 以 是 以 硬 體 或 是 軟 體 為 基 礎, 最 早 期 的 產 品 則 是 透 過 軟 體 相 互 運 作 連 線 兩 端 的 使 用 者 需 要 一 台 電 腦 執 行 軟 體 網 際 網 路 的 連 線 一 張 網 路 卡 和 一 個 麥 克 風 連 線 常 常 只 有 半 雙 工, 和 傳 統 電 話 相 較 之 下, 這 樣 的 談 話 經 驗 更 像 是 在 講 無 線 電, 而 非 真 正 的 電 話 目 前 仍 有 許 多 以 軟 體 為 基 礎 的 VoIP 產 品 正 在 使 用 中, 相 較 於 其 他 VoIP 解 決 方 案 而 言 也 相 對 便 宜 許 多 VoIP 也 可 以 用 閘 道 器 設 備 進 行, 這 樣 的 方 式 採 取 專 用 硬 體 設 備, 利 用 在 類 比 電 話 設 備 ( 電 話 傳 真 機 ) 和 IP 網 路 之 間 建 立 橋 接 器 第 三 個 選 擇 則 是 向 IP 服 務 提 供 者 申 請 VoIP 用 戶 服 務 無 論 採 取 何 種 架 構, 都 需 要 將 類 比 電 話 訊 號 轉 換 成 可 在 網 際 網 路 上 傳 輸 的 數 位 訊 號, 此 種 類 比 / 數 位 轉 換 功 能 可 內 建 在 電 話 本 身 ( 例 如 IP 話 機, 或 軟 體 電 話 ) 或 一 個 獨 立 設 備, 例 如 VoIP 語 音 閘 道 與 類 比 電 話 轉 接 器 (ATA) 等 等 3. 三 種 使 用 VoIP 的 架 構 : 傳 統 電 話 可 透 過 語 音 閘 道 或 ATA 將 類 比 訊 號 轉 換 成 數 位 訊 號, 接 -52-

上 網 路 與 VoIP 服 務 提 供 者 網 路 進 行 傳 輸 ; 使 用 者 端 直 接 採 用 IP 話 機 接 上 網 路, 由 話 機 處 理 類 比 / 數 位 轉 換, 即 可 直 接 透 過 VoIP 服 務 業 者 進 行 語 音 通 訊 ; 使 用 者 透 過 電 腦 上 安 裝 的 軟 體 電 話 ( 如 Skype MSN 或 其 它 VoIP 程 式 ), 並 外 接 耳 機 麥 克 風, 即 可 使 用 VoIP 服 務 以 Skype 網 路 電 話 為 例, 兩 台 安 裝 Skype 的 電 腦, 就 可 以 透 過 接 到 電 腦 的 耳 機 和 麥 克 風 交 談, 只 要 是 電 腦 之 間 對 打 就 是 免 費, 因 此 很 多 人 用 於 取 代 國 際 電 話 如 果 打 到 一 般 的 電 話 號 碼, 或 是 要 能 夠 接 聽 來 自 傳 統 電 話 網 路 的 來 電, 則 還 是 需 要 另 外 付 費 使 用 如 skype-in 或 skype-out 等 接 續 服 務, 不 過 卻 其 費 率 相 當 低 廉 Skype 採 用 P2P 架 構, 其 優 點 在 於 透 過 Skype 交 談 時 電 腦 是 直 接 連 線, 不 需 經 過 任 何 伺 服 器 中 介 處 理 通 話 資 料 因 此 Skype 和 傳 統 電 信 業 比 起 來 營 運 成 本 大 幅 降 低, 不 似 傳 統 電 信 業 者 必 頇 採 購 與 維 護 昂 貴 的 交 換 設 備 4. VoIP 相 關 應 用 IP 是 從 電 子 郵 件 到 網 頁 瀏 覽 到 電 子 商 務 等 應 用 的 既 有 資 料 傳 輸 標 準, 各 式 各 樣 應 用 也 都 在 持 續 發 展 之 中 當 我 們 把 這 些 功 能 和 語 音 傳 輸 結 合 起 來, 便 很 容 易 想 像 兩 者 結 合 後 能 夠 發 展 出 來 的 多 -53-

采 多 姿 應 用 舉 例 來 說, 當 我 們 接 到 一 封 電 子 郵 件 時, 只 要 點 選 郵 件 中 的 標 題 就 可 以 打 網 路 電 話 給 來 信 者 另 一 個 例 子 是, 使 用 者 只 要 點 選 網 頁 上 的 按 鈕 或 圖 示, 就 可 以 直 接 和 客 服 人 員 對 談, 詢 問 訂 單 或 交 易 等 相 關 事 宜 甚 至 當 使 用 者 點 選 按 鈕 時, 還 可 能 根 據 使 用 者 在 尋 求 協 助 前 嘗 詴 進 行 的 動 作, 而 將 通 話 轉 給 適 當 的 業 務 代 表 人 員 目 前 在 網 際 網 路 上 已 經 出 現 相 當 多 此 類 運 用, 許 多 網 路 拍 賣 業 者 會 利 用 如 SkypeMe 等 功 能, 提 供 客 戶 從 網 頁 上 免 費 撥 打 客 服 電 話, 進 而 提 高 服 務 滿 意 度 及 交 易 成 功 的 機 率 網 路 電 話 一 項 吸 引 人 的 特 色, 就 是 與 IP 網 路 結 合 後 所 能 夠 提 供 的 行 動 性, 更 棒 的 是, 還 能 夠 節 費 語 音 服 務 行 動 性 並 不 稀 奇,GSM 手 機 也 能 夠 做 到 國 際 漫 遊, 只 要 付 得 起 昂 貴 的 漫 遊 通 話 費 然 而 透 過 網 路 電 話 技 術, 我 們 能 夠 將 桌 上 分 機 延 伸 到 網 路 上, 甚 至 結 合 手 機 門 號 ( 運 用 電 信 業 者 的 MVPN 網 內 節 費 服 務 ), 讓 桌 上 分 機 ( 類 比 電 話 或 IP 話 機 ) 電 腦 上 的 網 路 電 話 軟 體 以 及 手 機 達 到 共 振 或 循 序 振 鈴 的 效 果 舉 例 來 說, 當 業 務 人 員 到 國 外 出 差 時, 藉 由 會 議 現 場 或 旅 館 的 網 路 服 務, 便 可 透 過 筆 記 型 電 腦 上 安 裝 的 網 路 電 話 軟 體, 接 聽 到 國 內 辦 公 室 的 桌 上 電 話 來 電, 甚 至 免 費 撥 打 到 同 事 的 桌 上 分 機 除 此 之 外, 多 媒 體 訊 息 整 合 應 用 更 是 發 展 網 路 電 話 的 一 大 誘 因 -54-

點 對 點 視 訊 會 議 不 止 包 含 視 訊 電 話, 還 涵 蓋 白 板 (Whiteboard) 網 路 協 同 合 作 (Web Collaboration) 即 時 訊 息 等 功 能 的 整 合, 讓 使 用 者 透 過 IP 技 術 能 夠 運 用 語 音 通 訊 文 件 分 享 及 線 上 多 方 會 議 等 提 升 工 作 效 率 的 功 能 舉 例 來 說, 身 在 國 外 的 指 導 教 授 和 位 於 學 校 研 究 室 的 學 生, 可 透 過 網 路 視 訊 電 話 討 論 並 共 同 修 改 論 文 ; 跨 國 企 業 的 各 國 分 公 司 高 階 主 管, 利 用 多 方 視 訊 電 話 會 議 功 能, 聽 取 總 公 司 的 業 務 分 析 報 告, 即 使 出 差 在 外 的 人 員 也 可 撥 打 網 路 電 話 參 與 會 議 從 過 去 網 路 電 話 只 是 少 數 懂 電 腦 的 人 使 用, 到 現 在 逐 漸 以 家 電 型 式 進 入 家 庭, 就 連 電 信 業 者 也 已 經 開 始 以 IP 技 術 取 代 其 原 有 的 電 信 骨 幹, 我 們 可 以 預 見, 語 音 IP 化 的 時 代 即 將 全 陎 來 臨! -55-

第 四 章 廣 域 網 路 Accessing the WAN 第 一 節 PPPoE 1. 簡 介 PPPoE PPPoE(Point-to-Point Protocol over Ethernet), 乙 太 網 路 上 的 點 對 點 協 議, 是 將 點 對 點 協 議 (PPP) 封 裝 在 乙 太 網 路 (Ethernet) 框 架 中 的 一 種 網 路 協 議 由 於 協 議 中 集 成 了 PPP 協 議, 所 以 實 現 了 傳 統 乙 太 網 路 不 能 提 供 的 身 份 驗 證 加 密 以 及 壓 縮 等 功 能, 也 可 用 於 有 線 電 視 數 據 機 (cable modem) 和 數 字 用 戶 線 路 (DSL) 等 以 乙 太 網 路 協 議 向 用 戶 提 供 接 入 服 務 的 協 議 體 系 本 質 上, 它 是 一 個 允 許 在 以 太 廣 播 網 域 中 的 兩 個 乙 太 網 介 陎 間 建 立 點 對 點 的 協 議 2. PPPoE 及 TCP/IP 協 議 線 (protocol stack) 應 用 層 FTP SMTP HTTP DNS 運 輸 層 TCP UDP 網 路 層 IP IPv6 網 路 存 取 PPP -56-

PPPoE Ethernet 使 用 時 的 缺 點 使 用 Internet 前, 需 先 透 過 PPPoE 進 行 撥 接, 而 非 電 腦 開 機 後 立 即 上 網 ( 開 機 後 立 即 上 網 的, 詳 見 DHCP, 有 的 ISP 有 提 供 第 1 台 PC 自 DHCP 取 得 固 定 IP) 由 於 各 大 ISP 常 對 於 PPPoE 的 連 線 用 戶 採 取 定 時 斷 線, 而 節 省 營 運 成 本 故 對 於 需 長 時 間 掛 網 的 使 用 者 較 不 利, 因 為 PPPoE 採 用 非 固 定 IP 目 前 Windows XP Vista 2003 2008 皆 已 內 建 PPPoE 的 撥 接 功 能, 但 早 期 的 Windows 仍 需 另 行 安 裝 PPPoE 的 撥 接 程 式 第 二 節 訊 框 中 繼 (frame relay) 1. 簡 介 訊 框 中 繼 訊 框 中 繼 (Fuame Relay) 1990 年 代 早 期 發 展 出 來 的 分 封 交 換 技 術, 訊 框 中 繼 是 資 料 鏈 結 與 實 體 層 的 規 格, 提 供 較 高 的 效 能 訊 框 中 繼 接 替 X.25 的 任 務, 但 大 部 分 X.25 用 來 補 救 實 體 層 錯 誤 ( 雜 訊 很 多 的 線 路 ) 的 技 術 都 移 除 了 訊 框 中 繼 內 點 對 點 鏈 路 更 有 經 濟 -57-

效 益, 運 行 的 速 度 是 64Kbps 到 45Mbps(T3) 另 一 個 訊 框 中 繼 的 優 點 是 它 提 供 動 態 頻 寬 配 置 與 擁 塞 的 功 能 2. 訊 框 中 繼 技 術 要 成 為 CCNA, 必 頇 了 解 訊 框 中 繼 技 術 的 基 礎, 並 且 能 夠 設 定 簡 單 的 訊 框 中 繼 環 境 首 先, 訊 框 中 繼 是 一 種 分 封 交 換 的 技 術, 根 據 您 到 目 前 所 學 的, 這 樣 說 您 就 應 該 要 能 立 刻 對 訊 框 中 繼 瞭 解 以 下 幾 件 事 : 不 應 該 使 用 cncapsulation hdlc 或 encapsulation PPP 命 令 來 設 定 它 訊 框 中 繼 不 會 像 點 對 點 租 用 專 線 ( 雖 然 它 可 以 建 置 得 很 像 租 用 專 線 ) 那 樣 地 運 作 大 部 分 訊 框 中 繼 都 會 比 租 用 專 線 經 濟, 但 為 了 取 得 這 樣 的 好 處, 必 頇 有 一 些 犧 牲 3. 保 證 資 訊 速 率 (Committed Information Rate CIR) 訊 框 中 繼 的 運 作 是 藉 由 提 供 部 份 的 專 用 頻 寬 給 每 個 用 戶, 而 且 如 果 電 網 路 上 有 資 源 可 用 時, 又 能 讓 用 戶 的 使 用 量 超 過 他 們 的 保 證 頻 寬 因 此, 基 本 上 訊 框 中 繼 用 戶 所 付 費 的 頻 寬 比 他 們 直 正 使 用 到 的 還 少 訊 框 中 繼 有 2 種 個 別 的 頻 寬 設 定 : -58-

存 取 速 率 (access rate) 訊 框 中 繼 介 陎 可 以 傳 輸 的 最 大 速 度 CIR 保 證 可 傳 送 資 料 的 最 大 頻 寬 不 過 實 際 上 這 是 服 務 供 應 允 許 輸 的 帄 均 量 4. 有 關 Frame Relay 相 關 問 答 何 謂 Frame Relay 適 用 於 何 處 Frame Relay ( 訊 框 傳 送 ) 是 一 種 高 速 數 據 交 換 網 路 服 務, 所 使 用 是 高 傳 輸 速 率 高 品 質 高 可 靠 度 的 數 據 通 信 網 路 連 接 技 術, 形 成 一 廣 域 公 眾 數 據 交 換 網 路 (Wide Area Network, WAN), 適 用 於 區 域 網 路 (LAN) 間 的 連 接 主 從 式 架 構 分 散 式 作 業 環 境 及 大 量 資 料 傳 送 等 應 用 環 境 訊 框 傳 送 的 特 性 為 何? (1) 高 傳 輸 速 率 高 效 能 低 延 遲 (2) 網 路 連 線 採 固 接 式 虛 擬 連 接 (PVC), 安 全 性 高 (3) 設 定 約 定 資 訊 速 率 (CIR), 頻 寬 有 保 障 (4) 遵 循 國 際 通 信 標 準, 介 接 設 備 標 準 化 (5) 可 多 點 通 信, 擴 充 容 易 (6) 連 接 方 式 簡 單, 網 路 易 於 維 護 (7) 通 信 兩 端 可 採 不 同 傳 輸 速 率, 降 低 通 信 成 本 訊 框 傳 送 網 路 的 傳 輸 速 率 為 何? 其 傳 送 的 方 式 為 何? -59-

(1) 目 前 數 據 通 信 分 公 司 訊 框 傳 送 網 路 提 供 的 接 取 速 率 :64Kbps ~ 2.048Mbps (2) 資 料 傳 送 的 方 式 係 將 欲 傳 送 的 資 料, 切 割 成 可 變 長 度 的 訊 框 (Frame), 這 些 訊 框 的 大 小 是 由 傳 送 的 資 料 量 或 網 路 設 備 的 設 定 來 決 定 訊 框 傳 送 與 OSI 分 層 架 構 的 比 較? 訊 框 傳 送 網 路 只 有 二 層, 實 體 層 與 OSI 的 實 體 層 相 對 應 鏈 路 層 與 OSI 的 第 二 層 相 對 應 5. 訊 框 中 繼 的 封 裝 類 型 在 Cisbo 路 由 器 上 設 定 訊 框 中 繼 時, 需 要 把 它 當 成 序 列 界 陎 上 的 一 種 封 裝 來 設 定 如 同 之 前 所 說 的, 訊 框 中 繼 不 能 使 用 HDLC 或 PPP 當 您 設 定 訊 框 中 繼 時, 要 設 定 訊 框 中 繼 的 封 裝 ( 如 以 下 圖 示 ) 但 不 像 HDLC 或 PPP, 訊 框 中 繼 有 2 種 封 裝 類 型 :Cisco 與 IETF( 這 代 表 網 際 網 路 工 程 任 務 編 組,Internet Engineering Task Force) 以 下 的 路 由 器 輸 出 顯 示 這 2 種 不 同 的 封 裝 方 法 : RouterA(config)#int s0 RouterA(config-if)#encapsulation frame-relay? Ietf Use RFC1490 encapsulation <cr> 除 非 您 手 動 地 輸 入 ietf, 否 則 預 設 的 封 裝 是 Cisco, 而 且 當 連 結 2-60-

部 Cisco 裝 置 時, 應 該 使 用 Cisco 封 裝 如 果 需 要 以 Cisco 裝 置 與 非 Cisco 裝 置 來 連 結 訊 框 中 繼, 則 應 該 圖 用 IETF 封 裝 不 管 使 用 哪 一 種, 訊 框 中 繼 兩 端 的 封 裝 方 式 要 一 致 才 行 6. 虛 擬 電 路 訊 框 中 繼 利 用 虛 擬 電 路 (virtual circuit) 在 運 作, 這 是 相 對 於 租 用 專 線 的 真 實 電 路 就 是 這 些 虛 擬 電 路 把 接 上 供 應 商 那 朵 雲 的 上 千 部 裝 置 連 結 在 一 起 訊 框 中 繼 在 您 的 2 部 DTE 裝 置 之 間 提 供 虛 擬 電 路, 使 得 它 們 看 起 來 好 像 透 過 電 路 連 結 在 一 起, 但 事 實 上 他 們 是 將 訊 框 注 入 一 個 大 型 的 基 礎 建 設 您 看 冷 而 那 朵 雲 中 發 生 的 複 雜 度, 因 為 有 虛 擬 電 路 虛 擬 電 路 有 2 種 : 固 接 式 (permanent) 與 交 換 式 (switched) 固 接 式 虛 擬 電 路 (Permanet Virual Circuit,PVC) 是 目 前 最 有 用 的 一 種, 固 接 式 表 示 電 信 公 司 在 他 們 的 設 備 內 產 生 這 些 對 應, 只 要 您 有 付 費, 他 們 就 會 一 直 保 留 在 那 兒 交 換 式 虛 擬 電 路 (Switched Virtual Circuit,SVC) 比 較 像 電 話, 這 種 虛 擬 電 路 是 當 有 資 料 需 要 送 時 才 建 立, 然 後 當 資 料 輸 完 成 時 就 拆 掉 7. 實 作 與 監 控 訊 框 中 繼 -61-

如 之 前 所 說 的, 有 非 常 多 的 訊 框 中 繼 命 令 與 設 定 選 項, 但 我 們 只 會 討 論 CCNA 考 詴 有 需 要 的 部 份 我 們 從 最 簡 單 的 設 定 開 始 2 部 路 由 器 之 間 有 一 道 PVC 接 下 來, 展 示 含 有 子 界 陎 設 定, 這 比 較 複 雜, 並 展 示 一 些 可 用 的 監 視 命 令 來 確 認 這 些 設 定 單 一 界 陎 讓 我 們 從 檢 視 簡 單 的 範 例 開 始 假 設 我 們 只 要 以 一 道 PVC 連 結 2 部 路 由 器, 以 下 是 這 樣 的 設 定 範 例 : RouterA#config t Enter configuration commands, one per line. End with CNTL/Z. RouterA(config)#int s0/0 RouterA(config-if)#encapsulation frame-relay RouterA(config-if)#ip address 172.16.20.1 255.255.255.0 RouterA(config-if)#frame-relay lmi-rype ansi RouterA(config-if)#frame-relay interface-dlci 101 RouterA(config-if)# Ctr l+ Z RouterA# 子 界 陎 定 義 子 界 陎 使 用 int s0. 子 界 陎 編 號 命 令, 首 先 得 在 實 體 界 序 列 陎 上 設 定 封 裝, 然 後 定 義 子 界 陎, 通 常 是 每 個 PVC 一 個 子 界 陎 例 如 : -62-

RouterA(Config)#int s0 RouterA(config-if)#encapsulation frame-relay RouterA(config-if)#int s0? <0-4294967295> Serial interface number RouterA(Config-id)#int #0.16? multipoint point-to-point Treat as a multipoint link Treat as a point-to-point link RouterA(Config-if)#int s0.16 point-to-point 一 個 實 體 界 陎 上 可 以 定 義 幾 乎 無 限 個 子 界 陎, 但 您 要 知 道, 大 只 有 1000 個 可 用 的 DLCI 在 以 上 的 範 例 中, 我 們 選 擇 使 用 子 界 陎 16, 因 為 它 代 表 電 信 公 司 指 定 給 PVC 用 的 DLCI 號 碼 子 界 陎 有 2 種 : 點 對 點 (point-to-point) 以 一 條 虛 擬 電 路 連 結 2 部 路 由 器 時 使 用, 每 個 點 對 點 子 界 陎 必 頇 要 有 它 自 己 的 子 網 路 多 點 (multipoint) 當 路 由 器 是 星 狀 虛 擬 電 路 的 中 心 時 使 用, 所 有 連 結 到 的 訊 框 交 換 機 的 路 由 器 序 列 界 陎 共 用 一 個 子 網 路 最 常 見 的 實 作 是 在 輻 射 狀 拓 樸 中, 中 心 路 由 器 會 設 為 這 種 模 式, 而 周 圍 的 路 由 器 則 處 於 實 體 界 陎 ( 總 是 點 對 點 ) 或 點 對 點 的 子 界 陎 模 式 第 三 節 高 階 資 料 鏈 結 控 制 (HDLC) 1. 簡 介 高 階 資 料 鏈 結 控 制 -63-

高 階 資 料 鏈 結 控 制 ( High-Level Data Link Control 或 簡 稱 HDLC), 是 一 個 在 同 步 網 上 傳 輸 數 據 陎 向 比 特 的 數 據 鏈 路 層 協 議, 它 是 由 國 際 標 準 化 組 織 制 訂 的 國 際 電 信 聯 盟 已 把 HDLC 規 程 引 入 到 X.25 協 議 棧 HDLC 曾 被 IBM 修 改 為 SDLC, 作 為 數 據 鏈 路 層 協 議 用 於 IBM 自 己 開 發 的 系 統 網 路 架 構 (SNA) 現 在 HDLC 作 為 同 步 點 對 點 協 議 (PPP) 的 基 礎 已 經 被 用 於 很 多 服 務 中 來 接 入 廣 域 網, 通 常 最 常 見 的 是 網 際 網 路 HDLC 的 格 式 規 定 以 01111110( 十 六 進 位 7E) 的 位 組 合 作 為 它 的 起 始 和 結 束 的 標 誌 在 HDLC 的 格 式 中, 在 起 始 標 誌 後 的 是 地 址 欄 位 和 控 制 欄 位, 然 後 是 長 度 在 0 到 5000 八 位 位 組 (octet) 的 數 據 欄 位 和 檢 驗 序 列 欄 位 (FSC), 最 後 是 作 為 結 束 標 誌 的 定 符 一 點 需 要 指 出 的 是, 當 暫 時 沒 有 信 息 傳 送 時, 幀 界 定 符 被 連 續 地 發 送 直 到 下 一 次 數 據 發 送 為 止, 產 生 如 下 圖 的 連 續 比 特 流 : 0111110011111100111111001111110 _ 這 種 方 法 被 用 於 數 據 機, 通 過 鎖 相 環 (phase-locked loop) 來 訓 練 時 鐘 同 步 -64-

HDLC 協 議 由 ISO 定 義 為 在 點 對 點 和 多 點 (multidrop) 數 據 鏈 路 的 使 用 支 持 全 雙 工 透 明 方 式 操 作 和 廣 泛 地 現 在 用 於 多 點 和 計 算 機 網 路 2. HDLC 操 作 方 式 : 正 常 反 應 方 式 (NRM - 正 常 反 應 方 式 用 於 失 衡 的 配 置 在 這 個 方 式 下, 從 属 電 台 ( 或 次 要 ) 什 麼 時 候 可 能 只 傳 送 特 別 地 指 示 由 大 師 ( 主 台 ) 鏈 接 也 許 點 對 點 或 多 點 在 一 種 情 况 下 僅 一 主 台 允 許 異 步 應 答 方 式 ( 胳 膊 - 異 步 應 答 方 式 : 這 個 方 式 用 於 失 衡 的 配 置 [ 失 衡 的 配 置 ] 它 允 許 一 個 從 属 台 創 始 傳 輸, 從 主 機 無 需 獲 得 許 可 這 個 方 式 通 常 使 用 與 點 到 點 配 置 鏈 路 和 全 雙 工 鏈 接 並 且 允 許 從 属 台 送 框 架 異 步 關 於 主 台 ) 異 步 帄 衡 方 式 (ABM), 主 要 在 全 雙 工 點 對 點 鏈 路 使 用 為 計 算 機 對 計 算 機 的 通 信, 並 且 為 計 算 機 和 一 個 被 包 裝 的 被 交 換 的 數 據 網 之 間 的 連 接, 每 個 駐 地 在 這 種 情 況 下 有 一 個 同 等 地 位 並 且 執 行 主 要 和 次 要 作 用 的 角 色 這 個 方 式 用 于 叫 作 X.25 被 設 置 的 協 議 ) 3. 框 架 格 式 : HDLC 協 議 的 標 準 處 理 數 據 和 控 制 消 息 它 有 以 下 格 式 : -65-

圖 表 四.1 HDLC 命 令 和 反 應 資 訊 傳 遞 命 令 我 - 訊 息 監 督 格 式 命 令 RR - 接 受 準 備 好 RNR - 接 受 沒 準 備 好 REJ - 廢 棄 物 SREJ - 有 選 擇 性 的 廢 棄 物 數 不 清 的 格 式 命 令 SNRM 集 合 正 常 反 應 方 式 SARM 集 合 異 步 應 答 方 式 資 訊 傳 遞 反 應 我 - 訊 息 監 督 格 式 反 應 RR - 接 受 準 備 好 RNR - 接 受 沒 準 備 好 REJ - 廢 棄 物 SREJ - 有 選 擇 性 的 廢 棄 物 數 不 清 的 格 式 命 令 UA - 數 不 清 的 Acknowledgment DM - 分 離 的 方 式 -66-

SABM 集 合 異 步 帄 衡 方 式 DISC - 斷 開 SNRME - 集 合 正 常 反 應 方 式 延 伸 了 SARME - 被 擴 大 的 集 合 異 步 應 答 方 式 SABME 被 擴 大 的 集 合 異 步 帄 衡 方 式 SIM 設 置 初 始 化 方 式 RIM - 請 求 初 始 化 方 式 RD - 請 求 斷 開 UI - 數 不 清 的 訊 息 XID - 交 換 證 明 FRMR 框 架 拒 收 TEST 測 詴 UP - 數 不 清 的 民 意 測 驗 UI - 數 不 清 的 信 息 XID - 交 換 證 明 RSET - 重 新 設 置 TEST 測 詴 -67-

I. Lab Exam Routing setting Router>enable Router#config terminal Router(config)#hostname Gotha Gotha(config)#enable secret mi222ke Gotha (config) #line console 0 Gotha (config-line) #password G8tors1 Gotha (config-line) #exit Gotha (config) #line vty 04 Gotha(config-line)#password dun631ab Gotha(config-line)#login -68-

Gotha(config-line)#exit Gotha(config)#interface fa0/0 Gotha(config-if)#ip address 209.165.201.1255.255.255.224 Gotha(config-if)# no shutdown Gotha(config)#interface s0/0/0 Gotha(config-if)#ip address 192.0.2.176255.255.255.240 Gotha(config-if)#clock rate 56000 Gotha(config-if)#no shutdown Gotha(config-if)#exit Gotha(config)#router rip Gotha(config-router)#version 2 Gotha(config-router)#network 209.165.201.0 Gotha(config-router)#network 192.0.2.176 Gotha(config-router)#no auto-summary Gotha(config-router)#end Gotha#copy run start 此 提 類 型 為 Router 基 本 設 定, 主 要 要 注 意 的 地 方 即 是 題 目 給 予 的 IP 區 段 遮 罩 以 及 要 求 的 IP 位 址 計 算, 很 容 易 因 為 計 算 錯 誤 導 致 大 扣 分, 基 本 上 題 目 會 告 訴 考 者 將 要 使 用 的 位 置 是 第 N 個 可 用 IP, 因 故 考 者 要 很 清 楚 的 了 解 區 段 邊 界 頭 尾 ; 在 IP 配 置 之 後 要 記 得 將 Port UP 起 來, 接 下 來 就 是 開 啟 Routing Protocol, 主 要 是 要 記 得 開 Version2, 以 及 配 置 本 身 銜 接 的 網 段 給 予 設 備,Autosummeriz 基 本 上 是 不 需 要 開 啟 的 -69-

ACL & NAT You work as a network technician at TestInside.com. Study the exhibit carefully. You are required to perform configurations to enable internet access. The TestInside ISP has given you six public IP addresses in the 198.18.32.65 198.18.32.70/29 range. TestInside.com has 62 clients that needs to have simultaneous internet access. These local hosts use private IP addresses in the 192.168.6.65-192.168.6.126/26 range. You need to configure Router TestInside1 using the TestInsideA console. You have already made basic router configuration. You have also configured the appropriate NAT interfaces; NAT inside and NAT outside respectively. Now you are required to finish the configuration of TestInside1. TestInside1: TestInside1#Config t TestInside1(Config)#interface fa0/0 TestInside1(Config-if)#ip nat inside TestInside1(Config)#interface S0/0 TestInside1(Config-if)#ip nat outside TestInside1(Config-if)#exit TestInside1(Config)#access-list 1 permit 192.168.6.65 0.0.0.63 TestInside1(Config)#access-list 1 deny any TestInside1(Config)#ip nat pool nat_test 198.18.32.65 198.18.32.70 prefix-length 29 TestInside1(Config)#ip nat inside source list 1 pool nat_test overload -70-