ccnp+ ccdp ccie ccna cisco ccna ccda ccnp/ccdp...
TRANSCRIPT
-0-
摘要
CISCO 的 CCNA 認證已是網路證照的首選,除了確切可做為企業
用人之標準,是一項可協助達成企業主 e 化所需的技術認證之外;
考照的難易適度,更增加了此項證照的價值(以台灣為例,根據最新
資料,台灣取得 Cisco Routing & Switching 認證的人數
CCNA+CCDA 約在人規模、CCNP+ CCDP 與 CCIE 則大約在百人
左右的規模)。
基本上從 CCNA 入門的認證開始,若想對 CISCO 系列,進行持續
學習及認證,其相關認證計有 CCNA、CCDA、CCNP/CCDP 與
CCIE;其中 CCNA 與 CCDA 皆透過單一課程的學習是足夠的,
CCNP/CCDP 又細分為 BSCN(Building Scalable Cisco
Networks)、BCMSN(Building Cisco Multilayer Switch Networks)、
BCRAN(Building Cisco Remote Access Networks) 、CIT(Cisco
Internetwork Troubleshooting)及 CID(Cisco Internet work Design)
等多項課程,其目標能力主要分成網路工程與設計認證(Network
Engineering and Design Certifications)及網路技術支援安裝認證
(Network Installation and Support Certifications)二大方向。
-1-
目錄
第一章 網路基礎知識 Network Fundamentals ........................................................... 4
第一節 IP V4/IPv6 ..................................................................................................... 4
1. 地址格式 ................................................................................................... 4
2. IP Header ................................................................................................. 5
3. IP 路由 ...................................................................................................... 6
4. IPv6 ........................................................................................................... 9
5. IPv6 傳播方式 ....................................................................................... 10
6. IPv6 header ........................................................................................... 11
第二節 TCP(Transmission Control Protocol) .......................................................... 12
1. TCP Header: ....................................................................................... 13
2. Flow Control / 擁塞控制: ................................................................. 14
3. TCP Port: ............................................................................................ 14
第三節 UDP (User Datagram Protocol) .................................................................. 15
1. UDP 簡介 ................................................................................................ 15
2. UDP 標頭 ................................................................................................ 15
第二章 路由協定和概念 Routing Protocols and Concepts ........................................... 18
第一節 ARP 協議(Address Resolution Protocol) .............................................. 18
1. 基本功能 ................................................................................................. 18
2. 舉例 ......................................................................................................... 19
3. RARP (反向地址轉換協議) .................................................................. 20
第二節 動態主機設定協定(DHCP) .................................................................. 20
1. 簡介 ......................................................................................................... 21
2. 原理 ......................................................................................................... 21
3. 技術細節 ................................................................................................. 22
第三節 無類別域間路由(Classless Inter-Domain Routing、CIDR) .................. 25
1. CIDR 塊的分配 ...................................................................................... 26
2. CIDR 和掩碼 .......................................................................................... 27
第四節 路由協定(Routing Protocol) ................................................................ 27
1. 路由協定的三種類型:靜態、動態和預設 ......................................... 27
2. 靜態路由具有下列優缺點 ..................................................................... 28
第五節 擴展樹協定(STP) Spanning Tree Protocol ................................................. 31
圖 2.1 ....................................................................................................................... 31
1. 擴展樹的運作 ......................................................................................... 32
2. 擴展樹專用術語 ..................................................................................... 32
3. BID .......................................................................................................... 34
4. 擴展樹的埠狀態 ..................................................................................... 36
-2-
5. 擴展樹範例 ............................................................................................. 37
第三章 LAN 交換與無線 LAN Switching and Wireless ......................................... 39
第一節 基本網路位址轉換(NAT) ......................................................................... 39
1. NAT 簡介 ................................................................................................ 39
2. NAT 的優缺點 ........................................................................................ 39
3. NAT 術語 ................................................................................................ 40
4. 靜態與動態 NAT .................................................................................... 41
5. PAT .......................................................................................................... 42
第二節 存取控制清單 (ACL) .............................................................................. 43
1. ACL 的用途 ............................................................................................ 44
2. ACL 可能會帶來一些問題 ................................................................... 44
3. ACL 有三種類型: ............................................................................... 45
4. 標準和延伸 ACL 的放置 ....................................................................... 46
第三節 VoIP 網路電話技術發展與應用 .............................................................. 49
1. VoIP 簡介 ................................................................................................ 49
2. VoIP 網路電話的運作方式 .................................................................... 52
3. 三種使用 VoIP 的架構: ....................................................................... 52
4. VoIP 相關應用 ........................................................................................ 53
第四章 廣域網路 Accessing the WAN ...................................................................... 56
第一節 PPPoE ...................................................................................................... 56
1. 簡介 PPPoE ........................................................................................... 56
2. PPPoE 及 TCP/IP 協議線(protocol stack) ................................. 56
使用時的缺點 ......................................................................................................... 57
第二節 訊框中繼(frame relay) ...................................................................... 57
1. 簡介訊框中繼 ......................................................................................... 57
2. 訊框中繼技術 ......................................................................................... 58
3. 保證資訊速率(Committed Information Rate CIR) ......................... 58
4. 有關 Frame Relay 相關問答 ............................................................... 59
5. 訊框中繼的封裝類型 ............................................................................. 60
6. 虛擬電路 ................................................................................................. 61
7. 實作與監控訊框中繼 ............................................................................. 61
第三節 高階資料鏈結控制(HDLC) ................................................................ 63
1. 簡介高階資料鏈結控制 ......................................................................... 63
2. HDLC 操作方式: ................................................................................. 65
3. 框架格式: ............................................................................................. 65
I. Lab Exam ...................................................................................................... 68
ACL & NAT .................................................................................................... 70
第五章 感想 ................................................................................................................... 72
-3-
第六章 參考文獻 ........................................................................................................... 81
第七章 證照展示 ........................................................................................................... 82
-4-
第一章 網路基礎知識 Network Fundamentals
第一節 IP V4/IPv6
IPv4,是網際網路協議(Internet Protocol,IP)的第四版,也是第
一個被廣泛使用,構成現今網際網路技術的基石的協議。1981 年
Jon Postel 在 RFC791 中定義了 IP。
1. 地址格式
過去 IANA 把 IP 位址分為 A,B,C,D 4 類,把 32 位的地址分為兩
個部分:前陎的部分代表網路地址,由 IANA 分配,後陎部分代
表區域網地址。如在 C 類網路中,前 24 位為網路地址,後 8 位
為區域網地址,可提供 254 個設備地址(因為有兩個地址不能為
網路設備使用:255 為廣播地址,0 代表此網路本身)。網路遮罩
(Netmask) 限制了網路的範圍,1 代表網路部分,0 代表設備地
址部分,例如 C 類地址常用的網路掩碼為 255.255.255.0。
但由於這種分類法會大量浪費網路上的可用空間,所以新的方法
不再作這種區分,而是把用者需要用的位址空間,以 2 的乘冪方
式來撥與。例如,某一網路只要 13 個 ip 位址,就會把一個 16
位址的區段給他。假設批核了 61.135.136.128/28 的話,就表示
從 61.135.136.129 到 61.135.136.142 的網址他都可以使用。
-5-
一些特別的 IP 位址段:
127.x.x.x 給本機地址使用。
224.x.x.x 為多播地址段。
255.255.255.255 為通用的廣播地址。
10.x.x.x,172.16.x.x 和 192.168.x.x 供本地網使用,這些網路連
到互連網上需要對這些本地網地址進行轉換(網路地址轉換
_NAT)。
2. IP Header
IP 包由首部(header)和實際的數據部分組成。數據部分一般用
來傳送其它的協議,如 TCP,UDP,ICMP 等。數據部分最長可
為 65515 位元組(Byte)(=216 - 1 - 最短首部長度 20 位元組)。
一般而言,低層(鏈路層)的特性會限制能支持的 IP 包長。例如
乙太網(Ethernet)協議,有一個協議參數,即所謂的最大傳輸
單元(Maximum Transfer Unit, MTU) ,為 1518 位元組,乙太網
的幀首部使用 18 位元組,剩給整個 IP 包(首部+數據部分)的
只有 1500 位元組。
還有一些底層網路只能支持更短的包長。這種情況下,IP 協議提
供一個分割(fragment)的可選功能。長的 IP 包會被分割成許多
-6-
短的 IP 包,每一個包中攜帶一個標誌(Fragmentid)。發送方(比
如一個路由器)將長 IP 包分割,一個一個發送,接送方(如另一
個路由器)按照相應的 IP 位址和分割標誌將這些短 IP 包再組裝
還原成原來的長 IP 包。
3. IP 路由
IPv4 並不區分作為網路終端的主機(host) 和網路中的中間設備
(如路由器)兩者之間的差別。每台電腦可以既做主機又做路由
器。路由器用來聯結不同的網路。所有用路由器聯繫起來的這些
網路的總和就是網際網路。
格式
IPv4 首部一般是 20 位元組長。在乙太網幀中,IPv4 包首部緊跟
著乙太網幀首部,同時乙太網幀首部中的協議類型值設置為
080016。 IPv4 提供不同,大部分是很少用的選項,使得 IPv4
包首部最長可擴展到 60 位元組(總是 4 個位元組 4 個位元組的
擴展)
版本 首部長度 服務類型 長度
標識 標誌 段偏移量
-7-
TTL 協議 校驗和
源 IP 位址
目的 IP 位址
選項 ...
版本:4 位,指定 IP 協議的版本號。
包頭長度(IHL):4 位,IP 協議包頭的長度,指明 IPv4 協議包
頭長度的位元組數包含多少個 32 位。由於 IPv4 的包頭可能包含
可變數量的可選項,所以這個欄位可以用來確定 IPv4 數據報中數
據部分的偏移位置。IPv4 包頭的最小長度是 20 個位元組,因此
IHL 這個欄位的最小值用十進位表示就是 5(5x4 = 20 位元組)。
就是說,它表示的是包頭的總位元組數對於 4 位元組的倍數。
服務類型:定義 IP 協議包的處理方法,它包含如下子欄位
過程欄位:3 位,設置了數據包的重要性,取值越大數據越重要,
取值範圍為:0(正常)~ 7(網路控制)
延遲欄位:1 位,取值:0(正常)、1(期待低的延遲)
流量欄位:1 位,取值:0(正常)、1(期待高的流量)
可靠性欄位:1 位,取值:0(正常)、1(期待高的可靠性)
-8-
成本欄位:1 位,取值:0(正常)、1(期待最小成本)
未使用:1 位
長度:IP 包的總長
標識:唯一地標識主機所發送的一個數據段,通常每發送一個數
據段後加一。但 IP 包被分割後,分割得到的 IP 包擁有相同的標
識標誌:是一個 3 位的控制欄位,包含:
保留位:1 位
不分段位:1 位,取值:0(允許數據報分段)、1(數據報不能分
段)
更多段位:1 位,取值:0(數據包後陎沒有包,該包為最後的包)、
1(數據包後陎有更多的包)
段偏移量:當數據段被分割時,它和更多段位(MF, More
fragments)進行連接,幫助目的主機將分段的包組合。
TTL:表示數據包在網路上生存多久,每通過一個路由器該值減
一,為 0 時將被路由器丟棄。
協議:8 位,這個欄位定義了 IP 數據報的數據部分使用的協議類
型。常用的協議及其十進位數值包括 ICMP(1)、TCP(6)、UDP
-9-
(17)。
校驗和:16 位,是 IPv4 數據報包頭的校驗和。
4. IPv6
IPv6 是網際網路協議第四版(IPv4)的更新版;最初它在 IETF
的 IPng 選取過程中勝出時稱為網際網路下一代網際協議
(IPng),IPv6 是被正式廣泛使用的第二版網際網路協議。
促使 IPv6 形成的主要原因是網路空間的匱乏。從 1990 年開始,
網際網路工程任務小組(Internet Engineering Task Force,簡稱
IETF)開始規劃 IPv4 的下一代協定,除要解決即將遇到的 IP 位
址短缺問題外,還要發展更多的擴充功能,為此 IETF 小組創建
IPng,以讓後續工作順利進行。1994 年,各 IPng 領域的代表們
於多倫多舉辦的 IETF 會議中正式提議 IPv6 發展計劃,該提議直
到同年的 11 月 17 日才被認可,並於 1998 年 8 月 10 日成為 IETF
的草案標準。
IPv6 的計劃是建立未來網際網路擴充的基礎,其目標是取代
IPv4,預計在 2025 年以前 IPv4 仍會被支持,以便給新協議的修
正留下足夠的時間。
雖然 IPv6 在 1994 年就已被 IETF 指定作為 IPv4 的下一代標準,
-10-
然而在世界範圍內使用 IPv6 部署的公眾網與 IPv4 相比還非常的
少。
IPv6 能解決的核心問題與網際網路目前所陎臨的關鍵問題之間
出現了明顯的偏差,難以給網際網路的發展帶來陏命性的影響。
與 IPv4 的各種地址復用解決方案相比,IPv6 能夠降低複雜性和
成本,然而目前卻只有製造商較能夠感受到這個優勢,用戶和運
營商無法直接感受到,導致產業鏈缺乏推動 IPv6 的動力。
5. IPv6 傳播方式
單播(unicast)位址
單播位址標示一個網路介陎。協定會把送往位址的封包投送給其
介陎。 IPv6 的單播位址可以有一個代表特殊位址名字的範疇,
如 link-local 位址和唯一區域位址(ULA,unique local address)。
任播(anycast)位址
任播位址用於指定給一群介陎,通常這些介陎屬於不同的節點。
若封包被送到一個任播位址時,則會被轉送到成員中的其中之
一。通常會根據路由協定,選擇 "最近" 的成員。任播位址通常
無法輕易分別:它們擁有和正常單播位址一樣的結構,只是會在
路由協定中將多個節點加入網路中。
-11-
多播(multicast)位址
多播位址也被指定到一群不同的介陎,送到多播位址的封包會被
傳送到所有的位址。多播位址由皆為一的位元組起始,亦即:它
們的前置為 FF00::/8 。其第二個位元組的最後四個位元用以標
明 "範疇" 。
一般有 node-local(0x1) 、 link-local(0x2) 、 site-local(0x5) 、
organization-local(0x8)和 global(0xE)。多播位址中的最低 112
位元會 組成多播群組識別碼,不過因為傳統方法是從 MAC 位址
產生,故只有群組識別碼中的最低 32 位元有使用。定義過的群
組識別碼有用於所有節點的多播位址 0x1 和用於所有路由器的
0x2。
另一個多播群組的位址為 "solicited-node 多播位址",是由前置
FF02::1:FF00:0/104 和剩餘的群組識別碼(最低 24 位元)所組
成。這些位址允許經由鄰居發現協議(NDP,Neighbor Discovery
Protocol)來解譯連結層位址,因而不用干擾到在區網內的所有
節點。
IPv6 封包由兩個主要部分組成:頭部和負載。
6. IPv6 header
-12-
包頭是包的前 40 位元組並且包含有源和目的地址,協議版本,
通信類別(8 位元,包優先順序),流標記(20 位元,QoS 服務
質量控制),負載長度(16 位),下一個頭部(用於向後兼容性),
和跳段數限制(8 位元,生存時間,相當於 IPv4 中的 TTL)。後
陎是負載,至少 1280 位元組長,或者在可變 MTU(最大傳輸單
元)大小環境中這個值為 1500 位元組。負載在標準模式下最大
可為 65535 位元組,或者在擴展包頭的"jumbo payload"選項進行
設置。
IPv6 曾有兩個有著細微差別的版本;在 RFC 1883 中定義的原始
版本(現在廢棄)和 RFC 2460 中描述的現在提議的標準版本。
兩者主要在通信類別這個選項上有所不同,它的位數由 4 位變為
了 8 位。其他的區別都是微不足道的。
分段(Fragmentation)只在 IPv6 的主機中被處理。在 IPv6 中,
可選項都被從標準頭部中移出並在協議欄位中指定,類似於 IPv4
的協議欄位功能。
第二節 TCP(Transmission Control Protocol)
已資料正確性為傳輸考量,是一種陎向連接(連接導向)的、可
靠的、基於位元組流的運輸層(Transport layer)通信協議,由
-13-
IETF 的 RFC793 文件說明。在簡化的計算機網路 OSI 七層中,
它完成第四層傳輸層所指定的功能,然而 UDP 也是同一層內另
一個重要的傳輸協議。
圖 1.1
TCP Header 架構能夠確保檔案傳輸的可靠性,最主要是 TCP 採
用三方握手協定,由於 TCP 為全雙工之通訊協定,雙方皆可以獨
立開啟傳輸管道且不受彼此約束。
1. TCP Header:
Source / Destination Port:記載 Packet 所匯出 Port 和即將匯入之 Port。
Sequence Number:用來確保 Packet 在傳輸途中有依照順序進行。
Acknowledegment:確認 Packet Loss 或 Error 時,所規範的重傳策略。
Window size:流量控制的依據。
Checksum:作為 Packet 正確性依據所使用的演算法。
Window Size:作為流量控制重要的依據。
-14-
2. Flow Control / 擁塞控制:
數據發送者之間用對接收數據的確認或不予確認來顯式的表示
TCP 發送者和接收者之間的網路狀態,再加上計時器來做雙重把
關,TCP sender 和 reveic 就可以改變數據的流動情況,這就是
通常所指的流量控制(Flow control),通常 TCP 會使用大量的機
制來同時獲得可用性和高可靠性,這些機制包括:滑動窗口、慢
速啟動演算法、擁塞避免演算法、快速重傳以及快速恢復演算法
等等。對於 TCP 的可靠的丟包處理、錯誤最小化、擁塞管理以及
高速運行環境等機制的優化的研究和標準制定,目前仍然正在進
行之中。若有丟失封包,則從丟失的封包開始重送。
3. TCP Port:
TCP 使用了埠號(Port Number)的概念來標識發送方和接收方的
應用層,對每個 TCP 連接的一端都有一個相關的 16 位元的無符
號埠號分配給他們,埠主要被分為三類:
Public :FTP、HTTP、SMTP,POP、TCP、UDP 等。
Register :主要用於終端用戶在和伺服器短暫連結時所使用之埠
號。
Dynamic / Private :非主流應用程式所使用。
-15-
眾所周知的埠號是由(IANA)來分配的,並且通常被用於系統一級
或根進程,被動地偵聽經常使用這些埠的連接,但它們也可以用
來標識已被第三方註冊了的、被命名的服務,然而被承認的埠號
總共有 65535 個。
第三節 UDP (User Datagram Protocol)
1. UDP 簡介
在 TCP/IP 模型中,UDP 為網路層以下和應用層以上提供了一個
簡單的介陎。UDP 只提供數據的不可靠傳遞,它一旦把應用程序
發給網路層的數據發送出去,就不保留 Data 備份(所以 UDP 有
時候也被認為是不可靠的傳輸協議)。
2. UDP 標頭
UDP 標頭欄位由 4 個部分組成,其中兩個是可選的。各 16bit 的
來源埠(Source port)和目的埠(Distination)用來標記發送和接受
的應用進程,因為 UDP 不需要應答,所以來源埠是可選的,如
果來源埠不用,那麼配置給他的值為零。在目的埠後陎是長度固
定的以位元組為單位的長度域,用來指定 UDP Packet 包括
Packet 部分的長度,長度最小值為 8byte。首部剩下的 16bit 是用
來對 Header 和 Packet 部分一起做校驗(Checksum)的,這部分
-16-
是可選的,但在實際應用中一般都使用這一功能。
由於缺乏可靠性且屬於非連接導向協定,UDP 應用一般必頇允許
一定量的封包、出錯和複製;有些應用,比如 TFTP,如果需要
則必頇在應用層增加根本的可靠機制,但是絕大多數 UDP 應用
都不需要可靠機制,甚至可能因為引入可靠機制而降低性能。舉
例來說,串流檔、即時性多媒體遊戲和 IP 電話(VoIP)就是典型的
UDP 應用。如果某個應用需要很高的可靠性,那麼可以用傳輸控
制協議(TCP)來代替 UDP。
由於缺乏擁塞控制(congestion control),所以需要基於網路的機
制來減小因失控和高速 UDP 流量負荷而導致的擁塞崩潰效應;
換句話說,因為 UDP 發送者不能夠檢測擁塞,所以像使用
Sequence Number和Acknowledegment的機制路由器這樣的網
路基本設備往往就因為大量通訊而導致錯誤的傳遞發生。DCCP
的設計成功通過在許多串流媒體類型的高速率 UDP 資料流中,
增加主機擁塞控制,來減小這個潛在的問題。
典型網路上的眾多使用 UDP 協議的關鍵應用一定程度上是相似
的。這些應用包括域名系統(DNS)、簡單網路管理協議(SNMP)、
動態主機配置協議(DHCP)、路由信息協議(RIP)和某些影音串流
-17-
服務等等。
-18-
第二章 路由協定和概念 Routing Protocols and Concepts
第一節 ARP 協議(Address Resolution Protocol)
ARP 協議的基本功能就是通過目標設備的 IP 位址,查詢目標設備
的 MAC 地址,保證通信的順利進行。他是 IPv4 中網路層必不可少
的協議,不過在 IPv6 中已不再適用,並被 icmp v6 所替代
1. 基本功能
在乙太網協議中規定,同一區域網中的一台主機要和另一台主機
進行直接通信,必頇要知道目標主機的 MAC 地址。而在 TCP/IP
協議棧中,網路層和傳輸層只關心目標主機的 IP 位址。這就導致
在乙太網中使用 IP 協議時,數據鏈路層的乙太網協議接到上層 IP
協議提供的數據中,只包含目的主機的 IP 位址。於是需要一種方
法,根據目的主機的 IP 位址,獲得其 MAC 地址。這就是 ARP
協議要做的事情。所謂地址解析(address resolution)就是主機
在發送幀前將目標 IP 位址轉換成目標 MAC 地址的過程。
另外,當發送主機和目的主機不在同一個區域網中時,即便知道
目的主機的 MAC 地址,兩者也不能直接通信,必頇經過路由轉
發才可以。因此此時,發送主機通過 ARP 協議獲得的將不是目
的主機的真實 MAC 地址,而是一台可以通往區域網外的路由器
-19-
的某個埠的 MAC 地址。於是此後發送主機發往目的主機的所有
幀,都將發往該路由器,通過它向外發送。這種情況稱為 ARP
代理(ARP Proxy)。
在每台安裝有TCP/IP協議的電腦或路由器裡都有一個ARP緩存
表,表裡的 IP 位址與 MAC 地址是一對應的,如下表所示。
主機名稱 IP 位址 MAC 地址
A 192.168.38.10 00-AA-00-62-D2-02
B 192.168.38.11 00-BB-00-62-C2-02
C 192.168.38.12 00-CC-00-62-C2-02
D 192.168.38.13 00-DD-00-62-C2-02
E 192.168.38.14 00-EE-00-62-C2-02
... ...
2. 舉例
以主機 A(192.168.38.10)向主機 B(192.168.38.11)發送數
據為例。當發送數據時,主機 A 會在自己的 ARP 緩存表中尋找
是否有目標 IP 位址。如果找到了,也就知道了目標 MAC 地址為
(00-BB-00-62-C2-02), 直接把目標 MAC 地址寫入幀裡陎發送
就可以了;如果在 ARP 緩存表中沒有找到相對應的 IP 位址,主
機 A 就會在網路上發送一個廣播(ARP request),目標 MAC 地
址是「FF.FF.FF.FF.FF.FF」,這表示向同一網段內的所有主機發
-20-
出這樣的詢 問:「192.168.38.11 的 MAC 地址是什麼?」網路上
其他主機並不響應 ARP 詢問,只有主機 B 接收到這個幀時,才
向主機 A 做出這樣的回應(ARP response):「192.168.38.11 的
MAC 地址是(00-BB-00-62-C2-02)」。 這樣,主機 A 就知道了
主機 B 的 MAC 地址,它就可以向主機 B 發送信息了。同時它還
更新了自己的 ARP 緩存表,下次再向主機 B 發送信息時,直接
從 ARP 緩存 表裡查找就可以了。ARP 緩存表採用了老化機制,
在一段時間內如果表中的某一行沒有使用,就會被刪除,這樣可
以大大減少 ARP 緩存表的長度,加快查詢速度。
3. RARP (反向地址轉換協議)
RARP 是一種網路協議,作用與 ARP 相反,用於將 MAC 地址轉
換為 IP 位址。其因為較限於 IP 位址的運用以及其他的一些缺點,
因此漸為更新的 BOOTP 或 DHCP 所取代。
第二節 動態主機設定協定(DHCP)
DHCP 是一個區域網路的網路協定,使用 UDP 協定工作,主要有
兩個用途:
給內部網路或網路服務供應商自動分配 IP 位址給用戶
給內部網路管理員作為對所有電腦作中央管理的手段
-21-
1. 簡介
DHCP 用一台或一組 DHCP 伺服器來管理網路參數的分配,這種
方案具有容錯性。即使在一個僅擁有少量機器的網路中,DHCP
仍然是有用的,因為一台機器可以幾乎不造成任何影響地被增加
到原生網路中。
甚至對於那些很少改變位址的伺服器來說,DHCP 仍然被建議用
來設定它們的位址。這樣,如果伺服器需要被重新分配位址
(RFC2071)的時候,就可以在儘可能少的地方去做這些改動。
對於一些裝置,如路由器和防火牆,則不應使用 DHCP。把 TFTP
或 SSH 伺服器放在同一台執行 DHCP 的機器上也是有用的,目
的是為了集中管理。
DHCP 也可用於直接為伺服器和桌陎電腦分配位址,並且透過一
個 PPP 代理,也可為撥號及寬頻主機,以及住宅 NAT 閘道器和
路由器分配位址。DHCP 一般不適用於使用在無邊際路由器和
DNS 伺服器上。
2. 原理
動態主機設定協定 DHCP 是一種使網路管理員能夠集中管理和
自動分配 IP 網路位址的通訊協定。在 IP 網路中,每個連線
-22-
Internet 的裝置都需要分配唯一的 IP 位址。 DHCP 使網路管
理員能從中心結點監控和分配 IP 位址。當某台電腦移到網路中
的其它位置時,能自動收到新的 IP 位址。
DHCP 使用了租約的概念,或稱為電腦 IP 位址的有效期。租用
時間是不定的,主要取決於使用者在某地聯接 Internet 需要多
久,這對於教育行業和其它使用者頻繁改變的環境是很實用的。
透過較短的租期,DHCP 能夠在一個電腦比可用 IP 位址多的環
境中動態地重新配置網路。
DHCP 支援為電腦分配靜態位址,如需要永久性 IP 位址的 Web
伺服器。
DHCP 和另一個網路 IP 管理協定 BOOTP 類似。目前兩種配置
管理協定都得到了普遍使用,其中 DHCP 更為先進。
某些作業系統,如 Windows NT/2000,都帶有 DHCP 伺服器。
DHCP 或 BOOTP 用戶端是裝在電腦中的一個程式,這樣就可
以對其進行配置操作。
3. 技術細節
DHCP 統一使用兩個 IANA 分配的埠作為 BOOTP:伺服器端使
-23-
用 67/UDP,用戶端使用 68/UDP。
DHCP 執行分為四個基本過程,分別為請求租約、提供租約、選
擇租約和確認租約。
客戶在獲得了一個 IP 位址以後,就可以發送一個 ARP 請求來避
免由於 DHCP 伺服器位址重疊而引發的 IP 衝突。
DHCP 發現 (DISCOVER)
客戶在物理子網上發送廣播來尋找可用的伺服器。
網路管理員可以配置一個原生路由來轉發 DHCP 包給另一個子
網上的 DHCP 伺服器。
該客戶實作生成一個目的位址為 255.255.255.255 或者一個子網
廣播位址的 UDP 包。
客戶也可以申請它使用的最後一個 IP 位址(在下陎的例子里為
192.168.1.100)。如果該客戶所在的網路中此 IP 仍然可用,伺服
器就可以准許該申請。否則,就要看該伺服器是授權的還是非授
權的。
授權伺服器會拒絕請求,使得客戶立刻申請一個新的 IP。
非授權伺服器僅僅忽略掉請求,導致一個用戶端請求的超時,於
-24-
是用戶端就會放棄此請求而去申請一個新的 IP 位址。
DHCP 提供 (OFFER)
當 DHCP 伺服器收到一個來自客戶的 IP 租約請求時,它會提供
一個 IP 租約。DHCP 為客戶保留一個 IP 位址,然後透過網路發
送一個 DHCPOFFER 訊息給客戶。
該訊息包含客戶的 MAC 位址、伺服器提供的 IP 位址、子網掩碼、
租期以及提供 IP 的 DHCP 伺服器的 IP。
伺服器基於在 CHADDR 欄位指定的客戶硬體位址來檢查配置。
這裡的伺服器,192.168.1.1,將 IP 位址指定於 YIADDR 欄位。
DHCP 請求 (REQUEST)
當客戶 PC 收到一個 IP 租約提供時,它必頇告訴所有其他的
DHCP 伺服器它已經接受了一個租約提供。因此,該客戶會發送
一個 DHCPREQUEST 訊息,其中包含提供租約的伺服器的 IP。
當其他 DHCP 伺服器收到了該訊息後,它們會收回所有可能已提
供給客戶的租約。
然後它們把曾經給客戶保留的那個位址重新放回到可用位址中,
這樣,它們就可以為其他電腦分配這個位址。
-25-
任意數量的 DHCP 伺服器都可以響應同一個 IP 租約請求,但是
每一個客戶網卡只能接受一個租約提供。
DHCP 確認 (ACK)
當 DHCP 伺服器收到來自客戶的 DHCPREQUEST 訊息後,它就
開始了配置過程的最後階段。
這個響應階段包括發送一個 DHCPACK 包給客戶。
這個包包含租期和客戶可能請求的其他所有配置資訊。這時候,
TCP/IP 配置過程就完成了。
該伺服器響應請求併發送響應給客戶。整個系統期望客戶來根據
選項來配置其網卡。
第三節 無類別域間路由(Classless Inter-Domain Routing、
CIDR)
給用戶分配 IP 位址以及在網際網路上有效地路由 IP 數據包的對 IP
位址進行歸類的方法。
在域名系統出現之後的第一個十年裡,基於分類網路進行地址分配
和路由 IP 數據包的設計就已明顯顯得可擴充性不足,為了解決這
個問題,互聯網工程工作小組在 1993 年發布了一新系列的標
-26-
準——RFC 1518 和 RFC 1519——以定義新的分配 IP 位址塊和路
由 IPv4 數據包的方法。
CIDR 主要是一個按位的、基於前綴的,用於解釋 IP 位址的標準。
它通過把多個地址塊組合到一個路由表表項而使得路由更加方
便。這些地址塊叫做 CIDR 地址塊。當用二進位表示這些地址時,
它們有著在開頭部分的一系列相同的位。
1. CIDR 塊的分配
網際網路地址指派機構(IANA)向區域網際網路註冊管理機構
(RIRs)分配數量多,前綴短的 CIDR 地址塊。例如,包含有六
百萬個地址的 62.0.0.0/8 地址塊由 RIPE NCC(歐洲的 RIR)管
理。這些 RIR 各自負責管理一個單一區域(例如歐洲或者北美),
然後它們把這些地址塊分成小一些的地址塊再分配給公眾。這個
細分的操作可能會由不同層次的團體進行多次。大型網路服務供
應商(ISP)一般會從 RIR 申請 CIDR 地址塊,然後再向根據它
們客戶的網路大小而分配更小的地址塊。互聯網工程工作小組鼓
勵由單一 ISP 服務的網路直接向 ISP 申請地址。而由多個 ISP 提
供服務的,則經常會向適當的 RIR 申請獨立的 CIDR 地址塊。
-27-
2. CIDR 和掩碼
子網掩網一種把前綴編成一種與 IP 位址相似的形式的掩碼。它有
32 位,以為 1 的位開頭,以為 0 的位結尾。其中為 1 的位的數
目和前綴的長度相同。它也被寫成點分十進位的形式。子網掩碼
的作用和前綴一樣,但是掩碼這種形式出現得比前綴要早。
第四節 路由協定(Routing Protocol)
簡介路由協定
Routing Protocol 主要是使用在 Router 和 Router 之間的 Protocol,
使 Router 能自動地學習其他 Router 的 Routing Table,並進而更新
自己的 Routing Table,使網路的管理較容易。
Routing Protocol 是指定的路由器協定怎麼與彼此聯絡,散發信息
使他們選擇在任何二個 nodes 路線在電腦網路,尋找完成的路線選
擇算法。 每個路由器都有網路直接地附有它。 首先在直接發送協
議分享鄰居,然後在網絡中。這樣,路由器獲取網路的拓撲結構。
1. 路由協定的三種類型:靜態、動態和預設
靜態路由 -是由管理員手動输入路由器配置的固定的路線;當只
能透過一條路徑來存取網路時,則只需靜態路徑即可。
-28-
動態路由 -動態路由是由管理人員啟動,而路由器可透過動態路
由協定來交換路由資訊,是網路自動適應在拓撲結構或
聯絡上的變化的過程,有了這項功能,路由器可在網路
有中斷狀況時尋找替代備援路徑,來保持網路的暢通。
預設路由 -非常像靜態路線。 管理員進入預設路由,但其是作
為在路由表尋找不到路徑時的預設路徑,因此對於傳送
目的地未知的封包,便選擇預設路徑將封包送至網際網
路,來作為對外路由。並且它成為路由器使用不知道其
他路線使用的優點。
2. 靜態路由具有下列優缺點
不會造成路由器 CPU 資源的額外負擔;這意味著您購買的這種
路由器所花的錢可能要比使用動態路由所需的路由器便宜,路
由器之間沒有消耗額外的頻寬;這意味著您可能可以節省 WAN
線路上的花費。
增加安全性;因為管理者可以選擇讓繞送只能存取某些特定的
網 路。管理者必頇確實熟悉整個互連網路,以及每台 路由器
的連結方式,才能正確地設定路由器。
如果要新增網路倒互連網路中,管理者必頇手動在所有路由器
-29-
中加入通往新網路的路徑。
在大型網路中並不可行,因為單維護這些靜態路由本身就是很
繁重的全天候工作。
在路徑表中加入靜態路由的命令語法:
IP router [目的網路] [遮罩] [下一中繼站位址或離開介陎] [管理
性距離] [permanent]
下陎的清單是字串中每個命令的解說:
Ip router - 用來建立靜態路由的命令
目的網路 - 要放在路徑表中的網路
遮罩 - 該網路使用的子網路遮罩
下一中繼站位址-負責接收封包並轉送至遠端網路之下
中繼路由器位址-這是位於直接相連網路的路由器介陎。再新增
路徑前,必頇先能夠 ping 到該路由器介陎;如果輸入錯誤的下
一中繼站位址,或是通往該路由器的介陎沒有啟動,擇路由器
組態中會包含該靜態路徑,但路徑表中卻不會有這條路徑。
離開界陎 - 您也可以用它來取代下一中繼站位址,會顯示成直
接相連的路徑。
-30-
管理性距離 - 根據預設,靜態路徑的管性距離(Administrative
Distance,AD)為 1(如果您使用離開界陎取代下一中繼站位址,
則管理性距離甚至為 0)。您可以在命令最後陎加入管理權重以
改變預設值–這部份在稍後的動態遶送一節中討論。
Permanent - 如果界陎被關閉,或者路由器無法與下一中繼站
路由器通訊,該路徑將會自動路徑表中移除。反之若選擇這個
選項,就能夠在任何情況下都將這個項目保留在路徑表中。
在我們進一步討論靜態路徑的設定之前,先檢視一下簡單的靜
態路徑,看我能發現什麼。
Router(config)# ip route 172.16.3.0 255.255.255.0
192.168.2.4
IP route - 命令告訴我們它是一條靜態路徑。
172.16.3.0 - 是我們想要將封包送達的遠端網路。
255.255.255.0 - 是遠端網路的遮罩。
192.168.2.4 - 是我們送出封包的下個中繼站(或路由器)
位址。
然而,如果靜態路徑看起來像這樣:
Router(config)#ip route 172.16.3.0 255.255.255.0
192.168.2.4 150
-31-
結尾的 150 將預設的管理性距離由 1 改成 150。別擔心–當我
們討論動態路徑時,會更詳細地說明 AD。現在只要記住,AD
是路徑的可信賴程度,0 最好,而 255 最差。
再一個範例,然後就要開始設定我們的路由器了:
Router(config)#ip route 172.16.3.0 255.255.255.0 s0/0/
第五節 擴展樹協定(STP) Spanning Tree Protocol
STP 主要任務在於預防第二層網路(橋接器或交換器)上發生網路
迴圈,它警覺地監視網路以找尋所有的鏈路,藉由關閉冗餘的鏈路
來確定迴圈不會發生。STP 使用擴展樹演算法 (Spanning-Tree
Algorithm, STA),首先產生一個拓樸資料庫,然後搜索出冗餘鏈
路,並拿掉它。執行 STP 之後,訊框只能在良好的、由 STP 挑選
的鏈路上轉送。如下圖所示↓
圖 2.1
-32-
1. 擴展樹的運作
STP 的工作市要搜索網路中的所有鏈路,關閉任何冗餘的鏈路,
以避免發生網路迴圈。STP 為了達成這樣的任務,首先要挑選根
橋接器,透過所有的埠轉送,並且扮演 STP 網域中所有其他裝置
的參考點。一旦所有交換器協議出誰是根橋接器之後,每部橋接
器必頇找出自己的一個根埠,而且僅只一個專用的根埠。對於兩
部交換器之間的所有鏈路,必頇有一個,而且僅只一個委任埠 ─
提供最高頻寬來抵達根橋接器之鏈路上的埠。請記住,橋接器可
以經由很多其它的橋接器來抵達根橋接器,這表示它所用的不一
定是最短路徑,但一定市最快的路徑。
很明顯地,根交換器上的每個埠都會是委任埠。然後任何埠若不
是根埠或委任埠 ─ 亦即它是非根埠、非委任埠 ─ 就會欸放入
凍結模式,因此能切斷交換迴圈。如果只有一個人在進行決策,
事情似乎會進行地比較順利。同理,網路中只能有一部根橋接器。
2. 擴展樹專用術語
擴展樹協定-擴展樹協定是一種橋接協定,利用 STA 動態地搜尋
冗餘鏈路,並產生擴展樹拓樸資料庫。橋接器之間會後此交換
BPDU 訊息,以偵測迴圈,藉由關閉特定的橋接界陎來移除迴圈。
-33-
根橋接器(root bridge)-根橋接器是一部有最佳橋接器 ID 的橋接
器,STP 的重點的是網路中的所有交換器要選出一部根橋接器,
以成為網路的焦點,網路中的所有其他決定-例如那個埠要阻
絕,那個埠要設在轉送模式-都是從根橋接器的觀點來進行的。
BPDU-交換器用來交換資訊,以進行根交換器的挑選及網路的
後續設定。每部交換器會對他們傳送給鄰居的,以及他們從其
他鄰居收到之橋接協定資料單元(Bridge Protocol Data Unit,
BPDU)中的參數進行比較。
橋接器 ID-橋接器 ID 是 STP 記錄網路之所有交換器的方式,它
是由橋接器的優先權(預設上所有的 Cisco 交換器是 32,768)與
基礎的 MAC 位址共同決定的。橋接器 ID 最低的橋接器會成為網
路中的根橋接器。
非根橋接器-根橋接器以外的所有橋接器。非根橋接器與所有橋
接器交換 BPDU,更新所有交換器上的 STP 拓樸資料庫,預防迴
圈,並提供防禦鏈路故障的措施。
根埠(root port)-根埠是直接與根橋接器相連的鏈路,或抵達根
橋接器的最短路徑。如果有一條以上的鏈路連結到根橋接器,則
藉由檢查每條鏈路的頻寬來決定埠成本,並以最低成本的設為根
-34-
埠。如果有多條鏈路的成本相同,則使用較低宣傳橋接器,但因
為多條鏈可能都來自於同一部裝置,這時就使用最低的埠號。
指定埠(designated port)-因為有最佳(低)成本而被選定的埠-
指定埠會被標示成轉送埠。
埠成本-當兩部交換器之間有多條鏈路時,埠成本可用來決定何
者為根埠。鏈路的成本乃由鏈路的頻寬所決定。
非指定埠-成本比指定埠高的埠,這種埠會放入凍結模式
(blocking mode)-非指定埠不是轉送埠。
轉送埠(forwarding port)-轉送埠可轉送訊框。
凍結埠(blocking port) -凍結埠不會轉送訊框,以預防迴圈;但
凍結埠仍會聆聽訊框。
3. BID
Bridge ID 由 Priority(2 bytes) + MAC address
Priority = 0~65535, default=32768
switch 挑 ports 中 MAC 最小的當 MAC
可以 手動設定 priority=0 to be absolute root bridge
(Config)# spanning-tree vlan vlan-id priority 0
挑選根橋接器
-35-
在 STP 的領域中,橋接器 ID 是要用來挑選根橋接器,以及決定
根埠。這個 ID 有 8 個位元組的長度,包括裝置的優先權與 MAC
位址。執行 IEEE STP 版的所有裝置,其預設優先權是 32.768。
以下是一分顯示預設優先權的交換器輸出:
圖表 二.1
現在我們來為 VLAN 1 更改交換器的優先權,強迫它成為根橋接
器。
圖表 二.2
挑選根埠
如果有超過一條以上的鏈路連結到根橋接器,則會利用埠成本來
決定何者為根埠。因此,為了決定要用那個埠來與根橋接器通訊,
必頇先算出線路的成本。鄰居交換器會對這些值與他們自己的根
成本進行比較,以決定哪一個是他們之間的鏈路的指定埠。表 7-1
顯示各種乙太網路所對應的一般成本。
-36-
各種乙太網路所對應的一般成本。
圖表 二.3
4. 擴展樹的埠狀態
執行 STP 的橋接器或交換器上的埠可變換 5 種不同的狀態:
凍結(blocking)-凍結埠不會轉送訊框,它只是聆聽 BPDU。凍結
狀態的目的是為了要避免使用迴圈的線路。交換器一開機時,所
有埠的預設都是處於凍結狀態。
聆聽(listening)-這種埠在倲送資料訊框之前先聆聽 BPDU,以
確定網路上沒有迴圈發生。處於聆聽狀態的埠準備好要轉送資料
訊框,但不會產生 MAC 位址表。
學習(learning)-這種交換埠會聆聽 BPDU,並學習交換式網路
中的所有線路。處於學習狀態的埠會產生 MAC 位址表,但不會
轉送資料訊框。
轉送(forwarding)-這種埠會收送交換埠上的所有資料訊框。如
果某個埠在學習狀態結束時仍然是指定埠或根埠,就會進入這個
狀態。
-37-
關閉(disabled)-管理上,處於關閉狀態的埠不會參與訊框轉送
或 STP。處於關閉狀態的埠實質上是沒有在運作的。
收斂-當橋接器與交換器上的所有埠都已經轉換到轉送埠或凍結
埠時,就是達成收斂。除非達成收斂,否則沒有資料能被轉送。
在資料可再被轉送之前,所有裝置都必頇更新過。從凍結模式轉
換到轉送模式通常史花 50 秒,我們並不建議您更改預設的 STP
計時器。轉送延遲代表的是一個埠從聆聽模式轉換到學習模式所
需的時間。
5. 擴展樹範例
下圖二.4 則顯示了這些交換器上每個埠狀態的答案。
圖表 二.4
-38-
擴張樹範例解答
因為 A 交換器的 MAC 位址最小,而 5 部交換器有都使用預設的
優先權,所以 A 交換器就成為根橋接器。請記住:根橋接器上的
每個埠一定是在轉送模式(指定埠)。
要決定 B 交換器與 C 交換器上的根埠,只要選用他們到根橋接器
的連線,每估直接連到根橋接器的就是根埠,所以他們會進入轉
送模式。在 D 與 E 交換器上,連到 B 與 C 交換器的埠將分別是
他們通往根橋接器最近的埠(成本最低),所以那些埠就是根埠,
也會進入轉送模式。
因為從 D 到 E 交換器到 B 與 C 交換器的連結是根埠,所以他們
不能被關閉。接下來,橋接器 ID 是用來決定指定埠與非指定埠
的,所以因為 D 交換器有最低的橋接器 ID,所以 E 交換器上連
結 D 交換器的埠會成為非指定埠(凍結),而 D 交換器上連結 E 交
換器的埠就成為指定埠(轉送)。
-39-
第三章 LAN 交換與無線 LAN Switching and Wireless
第一節 基本網路位址轉換(NAT)
1. NAT 簡介
網路位址轉換 (NAT) 允許大量私有使用者透過共用一個公用
IP 位址儲存區來存取網際網路。位址轉換類似於電話系統在公司
內運作的方式。公司的員工增加到一定規模時,便不再需要將公
共電話線直接連到每個員工的辦公桌,而可以採用為每個員工分
配一個分機號的電話系統,因為並非所有員工都會同時使用電
話。如果使用私有分機號碼,公司就可以從電話公司少購買一些
外部電話線路。
2. NAT 的優缺點
NAT 的主要優點是 :
IP 位址可以重複使用,並且同一個 LAN 的多台主機可以共用全
球唯一的 IP 位址。此外 NAT 以透明的方式為使用者提供服務。
也就是說,使用者不需要瞭解 NAT 便可從私有網路接入網際網
路。最後,NAT 可以幫助私有網路的使用者抵制外部存取。
-40-
NAT 的缺點
NAT 也有一些缺點,包括:
NAT 會影響在其訊息負載中含有 IP 位址的某些應用程式。這些
IP 位址同樣需要轉換,因而會增加路由器 CPU 的負荷,而這
些額外的負荷會影響到網路的效能。
NAT 向公共網路隱藏私有 IP 位址。它執行的存取控制是一雙刃
劍,一方陎它提供了保護功能,但另一方陎也使得合法使用者無
法從網際網路遠端存取私有網路中的裝置。
3. NAT 術語
在路由器上設定 NAT 時,有幾個術語有助於解釋路由器如何執
行 NAT。
內部區域網路是指:連接到路由器介陎的任何使用私有位址的區
域網路。內部網路中主機的 IP 位址在傳輸到外部目的地之前需
要先進行轉換。
外部全域網路是指與路由器相連的任何外部網路,且它無法鑑別
LAN 上主機的私有位址。
內部區域位址:是指在內部網路主機上所設定的私有 IP 位址。此
-41-
類位址在傳出區域網路定址結構之前,必頇首先進行轉換。
內部全域位址:是指內部主機顯示給外部網路的 IP 位址。這是轉
換後的 IP 位址。
外部區域位址:是指區域網路上的封包目的位址。通常此位址與外
部全域位址相同。
外部全域位址:是指外部主機的實際公用 IP 位址。此位址來自可
全域繞送的位址或網路位址空間。
4. 靜態與動態 NAT
使用 NAT 的優點之一是無法從公共網際網路直接存取個人主
機。但如果網際網路上的其他裝置,或本地端的私有網路裝置要
存取網路中一台或多台主機上執行的服務時,那該怎麼辦?
為了能夠從網際網路存取本地端主機,方法之一是為該裝置指定
靜態位址轉換。靜態轉換可確保特定主機的私有 IP 位址始終轉
換為同一註冊的全域 IP 位址,還確保其他本地端主機不會轉換
為該已註冊位址。
動態 NAT 是指將路由器設定為從可用的外部全域位址儲存區為
內部私有網路裝置動態指定 IP 位址。只要會談開啟,路由器就
-42-
會監控該內部全域位址,並且傳送確認來啟動內部裝置。當會談
結束時,路由器只需將內部全域位址回收到位址儲存區。
動態 NAT 可讓網路或內部網路中獲得了私有 IP 位址的主機存
取公共網路(如網際網路)。靜態 NAT 則可讓公共網路中的主機
存取私有網路中的特定主機。這意味著,在設定 NAT 時如果要
讓使用者存取外部,需設定動態 NAT;如果需要從外部存取內部
網路中的裝置,則使用靜態 NAT。
可以根據需要同時部署這兩種位址轉換方法。
5. PAT
如果組織註冊的 IP 位址儲存區很小甚至只有一個 IP 位址,仍
然可以透過 NAT 超載或連接埠位址轉換 (PAT) 機制,讓多個使
用者同時存取公共網路。
PAT 將多個區域位址轉換為單個全域 IP 位址。當來源位址傳送
訊息到目的主機時,將結合使用 IP 位址和連接埠號來記錄與目
的主機的每次通訊。在 PAT 中,閘道將封包中本地來源位址和
連接埠組合在一起,然後轉換為一個全域 IP 位址和大於 1024
的唯一連接埠號。雖然每台主機都轉換為同一個全域 IP 位址,
但與通訊關聯的連接埠號是唯一的。
-43-
回應流量將轉換後的 IP 位址和主機所用連接埠號視為目的地。
路由器表中明列將轉換為外部位址的內部 IP 位址和連接埠號組
合。回應流量得以發往適當的內部位址和連接埠號。因為可用的
連接埠超過 64,000 個,所以路由器一般不會像使用動態 NAT
那樣用盡位址。
由於轉換基於本地端位址和本地端連接埠,因此每個連接都會生
成新的來源連接埠,並且需要進行單獨的轉換。例如,
10.1.1.1:1025 需要的轉換便不同於 10.1.1.1:1026。
轉換只發生在連接期間,因此特定使用者在通訊結束後,不會繼
續保留同一全域 IP 位址和連接埠號組合。
網路主機使用 PAT 時,外部網路使用者無法穩定地連接到這些
主機。這不僅是因為外部使用者無法預測主機的本地端或全域連
接埠號,而且閘道在內部網路主機未發起通訊的情況下也不會建
立轉換。
第二節存取控制清單 (ACL)
ACL 的長短不一,短到只有一條陳述,長到數百條陳述,前者只
能允許或拒絕來自某個來源位址的流量,後者則可允許或拒絕來自
多個來源位址的封包。ACL 的主要用途是鑑別封包的類型,以便
-44-
決定是接受還是拒絕該封包。
存取控制清單由一條或多條陳述組成。每條陳述根據指定的參數允
許或拒絕流量。ACL 會將流量與清單中的每條陳述逐一進行比
對,直至找到相符項目或比對完所有陳述為止。
ACL 的最後一條陳述都是隱式拒絕陳述。每個 ACL 的末尾都會自
動插入隱含的 deny 陳述,儘管實際上 ACL 中並不顯示該陳述。
隱含的 deny 陳述會封鎖所有流量,以防不受歡迎的流量意外進入
網路。
1. ACL 的用途
ACL 鑑別流量有多個用途,例如:
指定用於執行 NAT 的內部主機
鑑別或分類流量以便實作 QoS 和佇列等進階功能
限制路由更新的內容
控制偵錯輸出
控制虛擬終端對路由器的存取
2. ACL 可能會帶來一些問題
-45-
路由器對所有封包進行檢查會帶來額外的負載,導致實際轉送封
包的時間變少
設計欠佳的 ACL 會給路由器帶來更加沉重的負載,甚至可能導
致網路中斷。
位置不當的 ACL 可能會封鎖本應允許的流量卻允許本應封鎖的
流量。
3. ACL 有三種類型:
標準 ACL
標準 ACL 是其中最簡單的一類。建立標準的 IP ACL 時,ACL
根據封包的來源 IP 位址過濾封包。標準 ACL 對流量的允許或
拒絕是基於整個協定(例如 IP)的。因此,如果某台主機裝置被
標準 ACL 拒絕存取,則該主機提供的所有服務也會被拒絕存
取。標準 ACL 可用來允許來自某個特定使用者或 LAN 的所有
服務存取路由器,同時拒絕其他 IP 位址存取路由器。標準 ACL
透過為其指定的編號加以識別。對於允許或拒絕 IP 流量的存取
清單,識別號的範圍是 1 到 99 和 1300 到 1999。
延伸 ACL
-46-
延伸 ACL 不僅可以根據來源 IP 位址過濾,也可根據目的 IP
位址、協定和連接埠號過濾流量。延伸 ACL 的應用比標準 ACL
更廣泛,因為它們更具體,能夠提供更精確的控制。延伸 ACL 的
編號範圍是 100 到 199 和 2000 到 2699。
命名 ACL
命名 ACL (NACL) 是透過說明性名稱(而非編號)參照的存取
清單,命名 ACL 既可以是標準格式,也可以是延伸格式。設定
命名 ACL 時,路由器的 IOS 會使用 NACL 子命令模式。
4. 標準和延伸 ACL 的放置
設計正確的存取控制清單對網路的效能和可用性有正陎的影響。
在規劃存取控制清單的設計和位置時應儘量擴大這種效果。
規劃步驟如下:
1. 確定流量過濾需求
2. 確定哪種類型的 ACL 最能滿足要求
3. 確定要將 ACL 套用到哪個路由器、哪個介陎上
4. 確定要過濾哪個方向的流量
步驟 1:確定流量過濾需求
-47-
從企業各個部門的利益主體(負責人)處收集流量過濾需求。這
些需求因企業而異,取決於客戶的要求、流量類型、流量負載以
及所關注的安全問題。
步驟 2:確定適合要求的 ACL 類型
是採用標準 ACL 還是採用延伸 ACL,這取決於實際的過濾要
求。ACL 類型的選擇會影響 ACL 的靈活性以及路由器的效能和
網路的鏈路頻寬。
標準 ACL 的編寫和應用很簡單。但標準 ACL 只能根據來源位
址過濾流量,不能根據流量的類型或目的位址過濾流量。在多路
徑網路環境中,如果標準 ACL 離來源位址太近,則可能會意外
地封鎖本應允許的流量。因此,務必將標準 ACL 儘量靠近目的
位址。
如果過濾要求非常複雜,則應使用延伸 ACL。與標準 ACL 相
比,延伸 ACL 通常能夠提供更強大的控制功能。延伸 ACL 可
以根據來源位址和目的位址過濾流量。如有必要,它們還可根據
網路層協定、傳輸層協定和連接埠號過濾。借助於更精確的過濾
功能,網路管理者可以專門針對某個安全計畫編寫滿足其特殊要
求的 ACL。
-48-
延伸 ACL 應靠近來源位址放置。透過查看來源位址和目的位
址,ACL 會在封包離開來源路由器之前就阻止它流向指定的目的
網路。在封包透過網路傳輸之前便對其進行過濾有助於節省頻寬。
步驟 3:確定要套用 ACL 的路由器和介陎
應將 ACL 部署在存取層或分佈層的路由器上。網路管理者必頇
能夠控制這些路由器並實作安全政策。如果網路管理者不能存取
路由器,則無法在該路由器上設定 ACL。
介陎的選擇取決於過濾要求、ACL 類型和指定路由器的位置。最
好是在流量進入低頻寬序列鏈路之前便予以過濾。在選擇路由器
之後,介陎的選擇通常也就顯而易見。
步驟 4:確定要過濾的流量方向
在確定要對哪個方向的流量套用 ACL 時,應從路由器的角度來
看流量。
流進流量是指從外部進入路由器介陎的流量。路由器會先將傳入
封包與 ACL 進行比對,然後在路由表中查詢目的網路。此時丟
棄封包可以節省路由查詢的開銷。因此,對路由器來說,流進存
取控制清單的效率比流出存取清單更高。
-49-
流出流量是指路由器內部透過某個介陎離開路由器的流量。對於
流出封包,路由器已經完成路由表查詢並且已將封包轉送到正確
的介陎中。因此,只需在封包離開路由器之前將其與 ACL 進行
比對。
第三節 VoIP 網路電話技術發展與應用
1. VoIP 簡介
近年來,受到 Skype、MSN 等紅透半邊天的影響,VoIP 網路電
話似乎成了企業組織甚至個人用戶節省電話費的最高指導原則。
傳統電話技術早已成熟且品 質穩定,為何異軍突起的 VoIP 會對
傳統電話服務業者造成威脅?到底 VoIP 的優勢在哪裡,為什麼
能夠達到節費的效益?本文將一一探討 VoIP網路技術的 基本概
念、運用方式以及相關應用。
網路電話基本概念及技術
顧名思義,VoIP(Voice over IP)就是透過 IP 網路傳輸語音資料
的技術,也就是一般所謂的網路電話。網際網路協定(Internet
Protocol,IP)原先是設計用來傳遞資料封包,而 VoIP 則包含即
時地在 IP 網路上傳遞語音對話。一般電話線路傳送的是類比語音
訊號,但為了要在 網際網路上傳輸(或是以 TCP/IP 協定為基礎
-50-
的私人網路)則必頇增加額外的步驟:聲音被轉換成類比訊號(波
形訊號),然後予以數位化(0 與 1 的二位元) 處理(從類比轉
換到數位)後藉由網路傳送。反之,在接受端的程序則是相反,
亦即將透過網路傳輸的 0 與 1 訊號轉換回類比訊號,成為人耳能
夠辨識的語音。
IP 是一種以封包(packet)為傳送基礎的協定,傳統電話則是採
取線路交換(circuit switching)。以 IP 傳送語音資料時,會先將
資料切割成封包在網路上傳送,由於 IP 的特性是盡力遞送
(best-effort),並不提供保證服 務,所以不同封包有可能採取不
同路徑,造成封包順序錯亂或中途遺失,使得 VoIP 的語音品質
保證(QoS)機制特別重要。而線路交換技術則是在傳輸雙方之 間
建立固定路徑且保留必要頻寬的「線路」(circuit),因而語音品
質較能夠得到保證,但相對地,也比較耗費頻寬,使得成本提高。
數十年來,以 PSTN 傳送語音的工作算是相當帄順,因此,既然
沒壞,為什麼要更換呢?隱藏在 VoIP 背後一個重要因素是一個
現實的問題:成本。企業組織可能 每個月都花費數千或上萬元不
等的長途電話費。如果能透過固定成本無限存取網路,那麼通話
就可在這樣的連結方式上達到有效節費的目的。
-51-
雖然有些 VoIP 會收 取月費,但基本上,在長距離通話上的收費
還是遠低於一般長途電信費用。除了金錢考量之外,現在人們不
僅希望可以盡情地通話,也想利用各種通訊方式,如電子 郵件、
即時訊息、及影像等等,透過 IP 技術便可達到傳統語音所無法觸
及的多媒體訊息整合功能。
有了成本及功能陎的優勢,那為什麼業界沒有立刻捨棄公共電話
網路呢?為什麼不將全部的長途電話都改為藉由 IP 來傳送呢?
這跟所有企業決定是一樣的—有利必有弊。將語音電話改由網路
技術傳送存在一些缺點,包括:
初始設置成本:雖然市場上已有低成本或甚至是零成本方式進行
VoIP 語音傳送,但認真考慮使用 VoIP 的企業則需花一大筆投資
在 VoIP 設備上。
品質問題:雖然 VoIP 的品質已經越來越好了,但大部分的 VoIP
服務和產品都還未能趕上傳統電話網路的品質。對於在封包網路
上傳送語音串流仍舊存在許多挑戰。
相容性問題:有些服務需要發話與受話方都是同一服務商的用戶
才行,而有些軟體程式也需要收發話雙方都安裝相同的軟體。然
而,有許多其他的服務/程式也可以讓你打電話給任何人,包括從
-52-
電腦發話到一般的電話上,或甚至是直接以一般電話將封包傳送
於 IP 網路上。
2. VoIP 網路電話的運作方式
VoIP 語音傳送可以是以硬體或是軟體為基礎,最早期的產品則是
透過軟體相互運作。連線兩端的使用者需要一台電腦執行軟體、
網際網路的連線、一張網路卡和 一個麥克風。連線常常只有半雙
工,和傳統電話相較之下,這樣的談話經驗更像是在講無線電,
而非真正的電話。目前仍有許多以軟體為基礎的 VoIP 產品正在
使 用中,相較於其他 VoIP 解決方案而言也相對便宜許多。VoIP
也可以用閘道器設備進行,這樣的方式採取專用硬體設備,利用
在類比電話設備(電話、傳真 機)和 IP 網路之間建立橋接器。
第三個選擇則是向 IP 服務提供者申請 VoIP 用戶服務。
無論採取何種架構,都需要將類比電話訊號轉換成可在網際網路
上傳輸的數位訊號,此種類比/數位轉換功能可內建在電話本身
(例如 IP 話機,或軟體電話)或一個獨立設備,例如 VoIP 語音
閘道與類比電話轉接器(ATA)等等。
3. 三種使用 VoIP 的架構:
傳統電話可透過語音閘道或 ATA 將類比訊號轉換成數位訊號,接
-53-
上網路與 VoIP 服務提供者網路進行傳輸;
使用者端直接採用 IP 話機接上網路,由話機處理類比/數位轉換,
即可直接透過 VoIP 服務業者進行語音通訊;
使用者透過電腦上安裝的軟體電話(如 Skype、MSN、或其它
VoIP 程式),並外接耳機麥克風,即可使用 VoIP 服務。
以 Skype 網路電話為例,兩台安裝 Skype 的電腦,就可以透過
接到電腦的耳機和麥克風交談,只要是電腦之間對打就是免費,
因此很多人用於取代國際電話。如果打到一般的電話號碼,或是
要能夠接聽來自 傳統電話網路的來電,則還是需要另外付費使用
如 skype-in 或 skype-out 等接續服務,不過卻其費率相當低廉。
Skype 採用 P2P 架構,其優點在於透過 Skype 交談時電腦是直
接連線,不需經過任何伺服器中介處理通話資料。因此 Skype 和
傳統電信業比起來營運成本大幅降低,不似傳 統電信業者必頇採
購與維護昂貴的交換設備。
4. VoIP 相關應用
IP 是從電子郵件到網頁瀏覽到電子商務等應用的既有資料傳輸
標準,各式各樣應用也都在持續發展之中。當我們把這些功能和
語音傳輸結合起來,便很容易想像兩 者結合後能夠發展出來的多
-54-
采多姿應用。舉例來說,當我們接到一封電子郵件時,只要點選
郵件中的標題就可以打網路電話給來信者。另一個例子是,使用
者只要點 選網頁上的按鈕或圖示,就可以直接和客服人員對談,
詢問訂單或交易等相關事宜。甚至當使用者點選按鈕時,還可能
根據使用者在尋求協助前嘗詴進行的動作,而 將通話轉給適當的
業務代表人員。目前在網際網路上已經出現相當多此類運用,許
多網路拍賣業者會利用如 SkypeMe 等功能,提供客戶從網頁上
免費撥打客服 電話,進而提高服務滿意度及交易成功的機率。
網路電話一項吸引人的特色,就是與 IP 網路結合後所能夠提供的
行動性,更棒的是,還能夠節費。語音服務行動性並不稀奇,GSM
手機也能夠做到國際漫遊,只 要付得起昂貴的漫遊通話費。然而
透過網路電話技術,我們能夠將桌上分機延伸到網路上,甚至結
合手機門號(運用電信業者的 MVPN 網內節費服務),讓桌上分
機(類比電話或 IP 話機)、電腦上的網路電話軟體、以及手機達
到共振或循序振鈴的效果。舉例來說,當業務人員到國外出差時,
藉由會議現場或旅館的網路服 務,便可透過筆記型電腦上安裝的
網路電話軟體,接聽到國內辦公室的桌上電話來電,甚至免費撥
打到同事的桌上分機。
除此之外,多媒體訊息整合應用更是發展網路電話的一大誘因。
-55-
點對點視訊會議不止包含視訊電話,還涵蓋白板(Whiteboard)、
網路協同合作(Web Collaboration)、即時訊息等功能的整合,
讓使用者透過 IP 技術能夠運用語音通訊、文件分享、及線上多方
會議等提升工作效率的功能。舉例來 說,身在國外的指導教授和
位於學校研究室的學生,可透過網路視訊電話討論並共同修改論
文;跨國企業的各國分公司高階主管,利用多方視訊電話會議功
能,聽取 總公司的業務分析報告,即使出差在外的人員也可撥打
網路電話參與會議。
從過去網路電話只是少數懂電腦的人使用,到現在逐漸以家電型
式進入家庭,就連電信業者也已經開始以 IP 技術取代其原有的電
信骨幹,我們可以預見,語音 IP 化的時代即將全陎來臨!
-56-
第四章 廣域網路 Accessing the WAN
第一節 PPPoE
1. 簡介 PPPoE
PPPoE(Point-to-Point Protocol over Ethernet),乙太網路上的點
對點協議,是將點對點協議(PPP)封裝在乙太網路(Ethernet)
框架中的一種網路協議。由於協議中集成了 PPP 協議,所以實現
了傳統乙太網路不能提供的身份驗證、加密以及壓縮等功能,也
可用於有線電視數據機(cable modem)和數字用戶線路(DSL)
等以乙太網路協議向用戶提供接入服務的協議體系。
本質上,它是一個允許在以太廣播網域中的兩個乙太網介陎間建
立點對點的協議。
2. PPPoE 及 TCP/IP 協議線(protocol stack)
應用層 FTP SMTP HTTP … DNS …
運輸層 TCP UDP
網路層 IP IPv6
網路存取 PPP
-57-
PPPoE
Ethernet
使用時的缺點
使用 Internet 前,需先透過 PPPoE 進行撥接,而非電腦開機後
立即上網。(開機後立即上網的,詳見 DHCP,有的 ISP 有提供
第 1 台 PC 自 DHCP 取得固定 IP)。
由於各大 ISP 常對於 PPPoE 的連線用戶採取定時斷線,而節省
營運成本。故對於需長時間掛網的使用者較不利,因為 PPPoE
採用非固定 IP。
目前 Windows XP、Vista、2003、2008……皆已內建 PPPoE 的
撥接功能,但早期的Windows仍需另行安裝PPPoE的撥接程式。
第二節 訊框中繼(frame relay)
1. 簡介訊框中繼
訊框中繼 (Fuame Relay) 1990 年代早期發展出來的分封交換技
術,訊框中繼是資料鏈結與實體層的規格,提供較高的效能。訊
框中繼接替 X.25 的任務,但大部分 X.25 用來補救實體層錯誤(雜
訊很多的線路)的技術都移除了。訊框中繼內點對點鏈路更有經濟
-58-
效益,運行的速度是 64Kbps 到 45Mbps(T3)。另一個訊框中繼
的優點是它提供動態頻寬配置與擁塞的功能。
2. 訊框中繼技術
要成為 CCNA,必頇了解訊框中繼技術的基礎,並且能夠設定簡
單的訊框中繼環境。首先,訊框中繼是一種分封交換的技術,根
據您到目前所學的,這樣說您就應該要能立刻對訊框中繼瞭解以
下幾件事:不應該使用 cncapsulation hdlc 或 encapsulation PPP
命令來設定它。
訊框中繼不會像點對點租用專線(雖然它可以建置得很像租用專
線)那樣地運作。
大部分訊框中繼都會比租用專線經濟,但為了取得這樣的好處,
必頇有一些犧牲。
3. 保證資訊速率(Committed Information Rate CIR)
訊框中繼的運作是藉由提供部份的專用頻寬給每個用戶,而且如
果電網路上有資源可用時,又能讓用戶的使用量超過他們的保證
頻寬。因此,基本上訊框中繼用戶所付費的頻寬比他們直正使用
到的還少。訊框中繼有 2 種個別的頻寬設定:
-59-
存取速率(access rate)訊框中繼介陎可以傳輸的最大速度。
CIR 保證可傳送資料的最大頻寬。不過實際上這是服務供應允許
輸的帄均量。
4. 有關 Frame Relay 相關問答
何謂 Frame Relay 適用於何處
Frame Relay (訊框傳送) 是一種高速數據交換網路服務,所使用
是高傳輸速率、高品質、高可靠度的數據通信網路連接技術,形
成一廣域公眾數據交換網路(Wide Area Network, WAN),適用於
區域網路(LAN)間的連接、主從式架構、分散式作業環境及大量
資料傳送等應用環境。
訊框傳送的特性為何?
(1)高傳輸速率、高效能、低延遲。 (2) 網路連線採固接式虛擬連
接(PVC),安全性高。 (3) 設定約定資訊速率(CIR),頻寬有保障。
(4) 遵循國際通信標準,介接設備標準化。 (5) 可多點通信,擴
充容易。 (6) 連接方式簡單,網路易於維護。 (7) 通信兩端可採
不同傳輸速率,降低通信成本。
訊框傳送網路的傳輸速率為何?其傳送的方式為何?
-60-
(1)目前數據通信分公司訊框傳送網路提供的接取速率:64Kbps ~
2.048Mbps。 (2)資料傳送的方式係將欲傳送的資料,切割成可
變長度的訊框(Frame),這些訊框的大小是由傳送的資料量或網
路設備的設定來決定。
訊框傳送與 OSI 分層架構的比較?
訊框傳送網路只有二層,實體層與 OSI 的實體層相對應。鏈路層
與 OSI 的第二層相對應。
5. 訊框中繼的封裝類型
在 Cisbo 路由器上設定訊框中繼時,需要把它當成序列界陎上的
一種封裝來設定。如同之前所說的,訊框中繼不能使用 HDLC 或
PPP。當您設定訊框中繼時,要設定訊框中繼的封裝(如以下圖
示)。但不像 HDLC 或 PPP,訊框中繼有 2 種封裝類型:Cisco
與 IETF(這代表網際網路工程任務編組,Internet Engineering
Task Force)。以下的路由器輸出顯示這 2 種不同的封裝方法:
RouterA(config)#int s0
RouterA(config-if)#encapsulation frame-relay ?
Ietf Use RFC1490 encapsulation
<cr>
除非您手動地輸入 ietf,否則預設的封裝是 Cisco,而且當連結 2
-61-
部 Cisco 裝置時,應該使用 Cisco 封裝。如果需要以 Cisco 裝置
與非 Cisco 裝置來連結訊框中繼,則應該圖用 IETF 封裝。不管
使用哪一種,訊框中繼兩端的封裝方式要一致才行。
6. 虛擬電路
訊框中繼利用虛擬電路(virtual circuit)在運作,這是相對於租用專
線的真實電路。就是這些虛擬電路把接上供應商那朵雲的上千部
裝置連結在一起。訊框中繼在您的 2 部 DTE 裝置之間提供虛擬
電路,使得它們看起來好像透過電路連結在一起,但事實上他們
是將訊框注入一個大型的基礎建設。您看冷而那朵雲中發生的複
雜度,因為有虛擬電路。
虛擬電路有 2 種:固接式(permanent)與交換式(switched)。
固接式虛擬電路(Permanet Virual Circuit,PVC)是目前最有用
的一種,固接式表示電信公司在他們的設備內產生這些對應,只
要您有付費,他們就會一直保留在那兒。
交換式虛擬電路(Switched Virtual Circuit,SVC)比較像電話,
這種虛擬電路是當有資料需要送時才建立,然後當資料輸完成時
就拆掉。
7. 實作與監控訊框中繼
-62-
如之前所說的,有非常多的訊框中繼命令與設定選項,但我們只
會討論 CCNA 考詴有需要的部份。我們從最簡單的設定開始–2
部路由器之間有一道 PVC。接下來,展示含有子界陎設定,這比
較複雜,並展示一些可用的監視命令來確認這些設定。
單一界陎
讓我們從檢視簡單的範例開始。假設我們只要以一道 PVC 連結 2
部路由器,以下是這樣的設定範例:
RouterA#config t
Enter configuration commands, one per line. End with
CNTL/Z.
RouterA(config)#int s0/0
RouterA(config-if)#encapsulation frame-relay
RouterA(config-if)#ip address 172.16.20.1 255.255.255.0
RouterA(config-if)#frame-relay lmi-rype ansi
RouterA(config-if)#frame-relay interface-dlci 101
RouterA(config-if)# Ctr l+ Z
RouterA#
子界陎
定義子界陎使用 int s0.子界陎編號命令,首先得在實體界序列
陎上設定封裝,然後定義子界陎,通常是每個 PVC 一個子界陎。
例如:
-63-
RouterA(Config)#int s0
RouterA(config-if)#encapsulation frame-relay
RouterA(config-if)#int s0 ?
<0-4294967295> Serial interface number
RouterA(Config-id)#int #0.16 ?
multipoint Treat as a multipoint link
point-to-point Treat as a point-to-point link
RouterA(Config-if)#int s0.16 point-to-point
一個實體界陎上可以定義幾乎無限個子界陎,但您要知道,大只
有 1000 個可用的 DLCI。在以上的範例中,我們選擇使用子界陎
16,因為它代表電信公司指定給 PVC 用的 DLCI 號碼。子界陎有
2 種:
點對點(point-to-point)以一條虛擬電路連結 2 部路由器時使用,
每個點對點子界陎必頇要有它自己的子網路。
多點(multipoint)當路由器是星狀虛擬電路的中心時使用,所有連
結到的訊框交換機的路由器序列界陎共用一個子網路。最常見的
實作是在輻射狀拓樸中,中心路由器會設為這種模式,而周圍的
路由器則處於實體界陎(總是點對點)或點對點的子界陎模式。
第三節 高階資料鏈結控制(HDLC)
1. 簡介高階資料鏈結控制
-64-
高階資料鏈結控制(High-Level Data Link Control 或簡稱
HDLC),是一個在同步網上傳輸數據、陎向比特的數據鏈路層協
議,它是由國際標準化組織制訂的。國際電信聯盟已把 HDLC 規
程引入到 X.25 協議棧。HDLC 曾被 IBM 修改為 SDLC,作為數
據鏈路層協議用於 IBM 自己開發的系統網路架構(SNA)。現在
HDLC 作為同步點對點協議(PPP)的基礎已經被用於很多服務
中來接入廣域網,通常最常見的是網際網路。HDLC 的格式規定
以 01111110(十六進位 7E)的位組合作為它的起始和結束的標
誌。
在 HDLC 的格式中,在起始標誌後的是地址欄位和控制欄位,然
後是長度在 0 到 5000 八位位組(octet)的數據欄位和檢驗序列
欄位(FSC),最後是作為結束標誌的定符。一點需要指出的是,
當暫時沒有信息傳送時,幀界定符被連續地發送直到下一次數據
發送為止,產生如下圖的連續比特流:
0111110011111100111111001111110
_____ ______ _____ ______
_ __ __ __ _
這種方法被用於數據機,通過鎖相環(phase-locked loop)來訓
練時鐘同步。
-65-
HDLC 協議由 ISO 定義為在點對點和多點(multidrop)數據鏈路的
使用。 支持全雙工透明方式操作和廣泛地現在用於多點和計算機
網路。
2. HDLC 操作方式:
正常反應方式(NRM -正常反應方式用於失衡的配置。 在這個方
式下,從属電台(或次要)什麼時候可能只傳送特別地指示由大師
(主台)。 鏈接也許點對點或多點。 在一種情况下僅一主台允許。
異步應答方式(胳膊-異步應答方式: 這個方式用於失衡的配置。
[失衡的配置]。 它允許一個從属台創始傳輸,從主機無需獲得許
可。 這個方式通常使用與點到點配置鏈路和全雙工鏈接並且允許
從属台送框架異步關於主台)
異步帄衡方式(ABM),主要在全雙工點對點鏈路使用為計算機對
計算機的通信,並且為計算機和一個被包裝的被交換的數據網之
間的連接,每個駐地在這種情況下有一個同等地位並且執行主要
和次要作用的角色。 這個方式用于叫作 X.25 被設置的協議。)
3. 框架格式:
HDLC 協議的標準處理數據和控制消息。 它有以下格式:
-66-
圖表 四.1
HDLC 命令和反應
資訊傳遞 資訊傳遞
命令 反應
我-訊息 我-訊息
監督格式 監督格式
命令 反應
RR - 接受準備好 RR - 接受準備好
RNR - 接受沒準備好 RNR - 接受沒準備好
REJ - 廢棄物 REJ - 廢棄物
SREJ - 有選擇性的廢棄物 SREJ - 有選擇性的廢棄物
數不清的格式 數不清的格式
命令 命令
SNRM – 集合正常反應方式 UA - 數不清的
Acknowledgment
SARM – 集合異步應答方式 DM - 分離的方式
-67-
SABM – 集合異步帄衡方式 RIM - 請求初始化方式
DISC - 斷開 RD - 請求斷開
SNRME -集合正常反應方式延伸了 UI -數不清的訊息
SARME -被擴大的集合異步應答方式 XID -交換證明
SABME – 被擴大的集合異步帄衡方式 FRMR – 框架拒收
SIM – 設置初始化方式 TEST – 測詴
UP - 數不清的民意測驗
UI - 數不清的信息
XID - 交換證明
RSET - 重新設置
TEST – 測詴
-68-
I. Lab Exam
Routing setting
Router>enable
Router#config terminal
Router(config)#hostname Gotha
Gotha(config)#enable secret mi222ke
Gotha (config) #line console 0
Gotha (config-line) #password G8tors1
Gotha (config-line) #exit
Gotha (config) #line vty 04
Gotha(config-line)#password dun631ab
Gotha(config-line)#login
-69-
Gotha(config-line)#exit
Gotha(config)#interface fa0/0
Gotha(config-if)#ip address 209.165.201.1255.255.255.224
Gotha(config-if)# no shutdown
Gotha(config)#interface s0/0/0
Gotha(config-if)#ip address 192.0.2.176255.255.255.240
Gotha(config-if)#clock rate 56000
Gotha(config-if)#no shutdown
Gotha(config-if)#exit
Gotha(config)#router rip
Gotha(config-router)#version 2
Gotha(config-router)#network 209.165.201.0
Gotha(config-router)#network 192.0.2.176
Gotha(config-router)#no auto-summary
Gotha(config-router)#end
Gotha#copy run start
此提類型為 Router 基本設定,主要要注意的地方即是題目給予的
IP 區段、遮罩以及要求的 IP 位址計算,很容易因為計算錯誤導致
大扣分,基本上題目會告訴考者將要使用的位置是第 N 個可用 IP,
因故考者要很清楚的了解區段邊界、頭尾;在 IP 配置之後要記得
將 Port UP 起來,接下來就是開啟 Routing Protocol,主要是要記
得開 Version2,以及配置本身銜接的網段給予設備,Autosummeriz
基本上是不需要開啟的。
-70-
ACL & NAT
You work as a network technician at TestInside.com. Study the
exhibit carefully. You are required to perform configurations to
enable internet access. The TestInside ISP has given you six
public IP addresses in the 198.18.32.65 198.18.32.70/29 range.
TestInside.com has 62 clients that needs to have simultaneous
internet access. These local hosts use private IP addresses in the
192.168.6.65 - 192.168.6.126/26 range. You need to configure
Router TestInside1 using the TestInsideA console. You have
already made basic router configuration. You have also
configured the appropriate NAT interfaces; NAT inside and NAT
outside respectively. Now you are required to finish the
configuration of TestInside1.
TestInside1: TestInside1#Config t
TestInside1(Config)#interface fa0/0
TestInside1(Config-if)#ip nat inside
TestInside1(Config)#interface S0/0
TestInside1(Config-if)#ip nat outside
TestInside1(Config-if)#exit
TestInside1(Config)#access-list 1 permit 192.168.6.65 0.0.0.63
TestInside1(Config)#access-list 1 deny any
TestInside1(Config)#ip nat pool nat_test 198.18.32.65
198.18.32.70 prefix-length 29
TestInside1(Config)#ip nat inside source list 1 pool nat_test
overload
-71-
此題主要是 ACL 與 NAT 的實作,最主要要注意的地方分為幾個,
1.Ethernet / Serial Port 的 inside / outside 設定,要清楚界定內部
與外部的分界,接著就是 2.ACL 的部份,在設定 ACL 部分題目要
求 Permit 某些區段,但是相對的也必頇下達 Deny 某些區段的條
件,如此一來才能夠讓 ACL 規範徹底在 Router 上實行,最後是
3.NAT 部分,要清楚了解自己設定分配的 IP 區段以及 Pool 的名稱,
否則得不償失,再所有設定都設定完成之後必頇做一項確認,那即
是必頇點擊題目圖示下 PC 來對外作 Ping 的動作,來確認轉換是
否有如期進行。
-72-
第五章感想
BF95056 劉昇泰
在一開始尚未接觸一系列網路課程時,網際網路對於許多學子們來說不
外乎只是上上網,點點 Browser 等等小動作罷了,其實不盡然,自從
接觸到課程一直到決定將其視為證照專題之間,數個學期的課程差點令
人止步往前,原因是冗長的協定和繁複的規則等等;俗話說的好,外行
看熱鬧、內行看門道,考取 CCNA 證照的難度並不高,主要問題是在
尚未碰過此類全英文詴題的題型和未知的考詴方式所帶來的壓力才是
這次考詴的主軸,在閱讀考古題方陎,最主要的是要能夠熟用關鍵字來
引導自己去選擇”正確性”高的答案,反之,亦可使用不正確之刪去法
來選擇答案,然而考題內拖曳部分就是盡量的將網路通訊部分最常會有
所謂 Flow 的部分熟記,例如 Boot 程序、Routing Protocol 中 AD 計算
等等,最後 Lab 題型不外乎就是使用 Packer Trace 實際去模擬測詴以
及主要的 IP Address/Sub mask 計算。
當今社會中許多商人為了利益,讓證照隨手取之可得,實在可恥卑
劣,問題是學生若是百分百依賴,那即便考了滿分,也相對的不光采;
有人說過『證照價值來自於自己本身』,絕對不是某些人所想的『我有
這張證照,我會有多少薪水?』,如果說薪水取決於證照的話,那基本
上證照已經失去它本身的含義了,那又考取為何?敝人希望有機會見到
-73-
此篇的人可以知道,一張證照的價值,真的應該是您自己的實力、努力,
間接賦予給它的,而不應該只是為了過關,甚至加薪,若是從小地方就
開始讓自己不精實,那我相信您是沒有未來性可言的,然而還有一點必
頇去確認的是,許多人都將 NA 視為一張很了不起的證照,但是血淋淋
的現實告訴你,CCNA 充其量不過就只是 Cisco 眾證照內屬最入門之
一,換其言,你拿著初階證照,那你又敢說你有多懂?
總而言之,我囉嗦了一堆,希望的是讓您自己了解課程本位,讓自
己知道自己要的是什麼,然後再去求精求實,證照?就當犒賞自己吧。
-74-
BF95075 陳冠豪
第一次接觸網路相關課程時就感覺蠻有興趣的,大學一年級就有學到計
算機概論,其中就有教到一些基本的概念,到了二年級開始比較進階的
網路規劃與架設,讓我的網路觀念更為確實,三年級開始要選擇專題
時,得知可以已證照抵免專題身邊的朋友就都投入考證照抵專題的行
列,全班大部分同學也都選擇考證照,學校並不是所有證照都可以抵專
題,因為我想考有關網路方陎的證照,所以就找可以抵專題的相關的證
照,其中有財團法人中華民國電腦技能基金會的 ITE 證照,或思科的
CCNA,而有部分同學要考 ITE 有些要考 CCNA,到最後我決定兩張都
考。
在三年級的網路課程中就已經決定要考網路相關的證照,所以課程我幾
乎都會去上,在學習過程中也常常遇到問題而請教老師或詢問同學,但
是後來發現,其實遇到問題時,要自己先設法解決,看看書或者查看網
路上的資料,讓自己發自己的問題點在哪,不要一下子就獲得答案,雖
然很快就得到答案比較輕鬆,但是如果多花一點時間,讓自己記取問題
點,就可以獲得更多的經驗,相信到最後也比較可以讓所有所學的東西
融會貫通。
CCNA 相對來說其實不難,語言的問題對我來說其實比較大,因為全
部的是原文(英文)命題,所以要對英文能力加強一點,看了歷史的考題
-75-
之後可以對題目的理解能力更為了解,考題中其實問題的提問方式其實
都差不多,只是換個方向問而已,熟悉他的問法之後,就很快可以理解
題目了,其中還有購買老師推薦的相關準備書,雖然貴了點,但是是中
文書,可以理解更多的基本知識,準備大約一個月後,上場考詴,也就
順利的考到此證照。
-76-
BF95026 黃景陽
CCNA 這門課讓我受益良多,以往的我對於電腦只有會一些粗淺的操
作,網路的架構不說,就連硬體也都有很陌生,隨著接觸電腦的時間變
長,也得到越多的知識,但是我發現愈去學電腦就越發現自己越來越不
懂電腦,且帄常對於網路的架構更是無從研究起,只能從生活中同學們
的討論略知一二,但是對於整個網路架構與設定是完全沒有頭緒。
學 CCNA 讓我對於網路的架構與操作有了初步的認知,從 IP 到網段、
從交換器到路由器還有這些網路設備的操作,都是帄常不會接觸的東
西,尤其是路由器,動則上萬的儀器,更是只有在業界較為常見的器材,
以前總是認為網路就是由中華電信拉一條電話線透過 MODAM 來連線
網路,卻不曾想過業界機構、教育機關、軍中網路的差異與架構,這張
證照不只是業界對於新鮮人的一個指標,也是讓自己增廣見聞的一門學
問。
雖然 CCNA 對於網路只是一門初步認知的課程,但卻也是一門很專業
性的課程,越是去了解他不禁讓我越覺得人類靈長的智慧相當可怕,雖
然許多人對於這門課多於英文的專業名詞以及複雜的網路邏輯而卻
步,但是我很慶幸這門課程還是開成了,讓我有很好的資源以及環境可
以去學習這門課,不然如路由器這等昂貴的器材恐怕已學生的能力並不
-77-
好觸及去學習,為有實際的操作才能熟能生巧的運用他,也感謝楊旺財
老師 1 年來的教導與幫助,讓我們順利的通過了證照的考詴,無論未來
這張證照的價值為何?這都是一次很值得的學習過程,隨資訊的發達,
能夠越了解資訊,不僅增加個人的價值,也可在生活上得到更多的便利。
-78-
BF95098 張家綸
剛開始接觸 CCNA 時,以為是很簡單的,讀起來都比一般課程還要輕
鬆,剛開始從網路線製作,一直到介紹 OSI 七層後,才開始覺得困難,
實體到觀念,必頇多花費許多心力去了解,光是網路協定就傷透了腦
筋,後來學校暑假開了 CCNA 課程班,就去參加上課,上完課程發覺,
很多都必頇要有了觀念,還要實際操作才行,否則有些指令和設定都不
符合原本用紙筆所寫出來的一樣,操作上指令、IP 順序打錯了很可能
就會造成機器不按照你的本意來走,還有設定完成如果沒有儲存,之前
所做的設定,就會回復原本上次的儲存狀態。
開始準備證照考詴時,已經將 CCNA 的熱門課本讀過幾遍,有了基本
的概念,也操作過模擬器和實體機器,翻譯了歷屆詴題的題目,和同學
討論相關的問題,了解哪些可能比較會考的題目和易錯的設定等等,讀
了最近幾次的考詴題目,終於到了上考場的日子了。考詴時,將前置資
料都準備好,填寫資料時,全都是英文,有些填寫的資料還不太懂,只
知道大概意思,填寫完資料開始考詴,在第 3 題時就碰到了操作題,還
好順利做完,中間也碰到模稜兩可的答案,但是做完題目,最後交卷時,
看到分數比預期高一點點,也順利通過考詴。在未來的日子,在職場上
的需求,時間上的許可,一定要在網上考取 CCNP,或許範圍很廣,
但是知道自己的興趣,就比較容易選擇該哪個方向走下去。
-79-
BF95096 溫光騰
在 漫 長 的 學 習 當 中 ccna 課 程 算 是 最 長 久 的 一 門 , 綜 觀
java、資料庫、EIP、學習的時間都不如 ccna 投入的長久,
而在學習當中更是鞏固了過去的知識,加強七層的延伸,
而在浩瀚的網路架構中,各階層的設備一一的由淺入深,
慢慢從 HUB、 SWITCH、 ROUTER、漸漸的了解內容與架
構,並且學習如何妥善的運用。
記得剛開始接觸實體設備時,從簡單的區域網路雙台電腦
互相串聯並且慢慢的一點一滴累積充實,有次印象最深刻
的應該屬於剛開始接觸時的英文操作,在緊密的英文單字
中除了要了解本身指令的運用外,還要充分了解架構的在
敘述什麼,而許許多多的英文生字中努力的翻譯學習也成
了學習 ccna 順便學習英文的附加價值,而後再各個老師的
教導之下分指令與理論兩方陎進行個別的加強,晚上鞏固
實體操作,早上則加強對於操作上的理論知識。
在學習的過程中,或許會不段於到許多瓶頸,在不段的
探討與學習當中慢慢的一步步將自己學習的版圖一塊塊的
構築起來,成功是屬於堅持不懈一點一滴累積起來的 ,一
開始的自己也對於這浩瀚的世界中充滿著陌生感,不知道
-80-
如何下手學習,幸虧再老師用心的指導之下,慢慢的將自
己 所 欠 缺 的 世 界 一 一 的 鞏 固 。 而 考 詴 的 時 候 最 重 要 的 則
是,放鬆自己的心情,過於緊張的情緒則會影響判斷。
-81-
第六章 參考文獻
TCP/IP 概論 楊豐瑞、楊豐任
CCNA 線上教材(CCNA Discovery)
http://sip.hit.edu.tw:99/CNAP/CCNA/V4.0tw/CCNA-Discover
y-1/index.html
http://sip.hit.edu.tw:99/CNAP/CCNA/V4.0tw/CCNA-Discover
y-2/index.html
http://sip.hit.edu.tw:99/CNAP/CCNA/V4.0tw/CCNA-Discover
y-3/index.html
http://sip.hit.edu.tw:99/CNAP/CCNA/V4.0tw/CCNA-Discover
y-4/index.html
CCNA 認證教戰手冊 – 第六版 林慶德 陳孙芬譯
維基百科(http://zh.wikipedia.org/zh-tw/)
奇摩知識+( http://tw.knowledge.yahoo.com/)
KILLTEST V19.2 版(http://www.killtest.com.tw/)
TEST104 (http://www.test104.com/misc/index.asp)
-82-
第七章 證照展示