IGRP

IGRP 是 Cisco 專屬的協定，開發之目的在於取代 RIP。IGRP 為 距離向量內部路由協定。距離向量路由協定會要求每一個路由器在固 定的時間間隔傳送路由更新訊息的全部或部份路由表至其鄰接的所 有路由器。當路由資訊傳遍整個網路後，路由器即可以計算到所有網 路內節點的距離。

IGRP 路由協定使用變數組合來判斷複合權值。這些變數包括：

(1) bandwidth (頻寬) (2) delay (延遲) (3) load (負載)

(4) reliability (可靠性)

網路管理員可以決定這些權值的設定，IGRP 會利用網路管理員 設定的或預設的頻寬以及延遲自動計算出最佳路徑。

自主系統(Autonomous System)

Cisco 設計 IGRP 的最主要目標是在自主系統 (AS) 中提供一

後的閘道器，當路由器沒有傳送封包的較佳路徑且目的地不是直接連 接的網路時，則會使用最後的閘道器。如果 AS 連接一個以上的外部 網路時，則不同的路由器可選擇不同的外部路由器來當作最後的閘道 器。

2.3 廣域網路技術

廣域網路(Wide Area Network)有許多不同的定義，就技術層面 來說，廣域網路是通訊必須透過網際網路服務提供者(Internet Service Provider，ISP)提供服務，並使用到廣域網路設備與技術才 能達成的。本節介紹目前廣域網路環境中最常使用的二種協定，點對 點通訊協定透過同步與非同步電路，使用序列介面的路由器對路由 器、主機對主機的連接(Host to Host)，提供 OSI 第二層(Data Link Layer)的服務；訊框中繼定義了在公共數據網路中傳送資料的程序，

是一個可在網際網路中使用的高效能、高效率的資料技術。

2.3.1 點對點通訊協定

在 1980 年代晚期時，撥接線路 Internet 協定 (Serial Line Internet Protocol) 限制了網際網路的成長。PPP (Point to Point

Protocol)的建立是為了解決遠端網際網路的連接問題。此外，需要

PPP 的設計是為了同時使用多重網路層協定。今日，PPP 能支援 IP 以外的其他協定，包括互連網路封包交換 (IPX) 和 Apple 通訊 協定(AppleTalk)。如圖所示，PPP 使用其 NCP 元件來封裝多重協定。

圖 2-12 PPP 層功能

PPP 使用的是分層的架構，利用本身較低階層的功能，PPP 可以 使用：

(1) 同步實體媒體，如連接整合性服務數位網路 (ISDN) 的設備。

(2) 非同步實體媒體，如使用基本電話服務作為數據機撥號連接 的設備。

利用本身較高階的功能，PPP 可以用 NCP 來支援或封裝數個網路 層協定。這些較高層的協定包括如下：

(1) BCP -- 橋接控制協定

(2) IPCP -- IP 控制協定

Novell IPX、和 AppleTalk) 組態設定完成後，才能傳送各 網路層協定中的封包。

(3) 鏈結維護訊框 - 用以管理訊框和訊框除錯。

PAP 並不是很強的認證協定。透過鏈結的密碼為純文字，並且無

CHAP 會使用唯一和無法預期的變動挑戰值，來抵擋回放的攻 擊。使用重覆挑戰習作的目的，是為了限制暴露在任何訊息攻擊下的 時 間 。 區 域 路 由 器 ( 或 協 定 廠 商 的 認 證 伺 服 器 ， 如 Netscape Commerce Server) 能控制挑戰習作的頻率和時間。

圖 2-14 CHAP 認證

2.3.2 訊框中繼

訊框中繼(Frame-Relay)是一種將資料分割成封包並透過廣域網 路來傳送資訊的方式。每個封包則經過訊框中繼網路中的一連串交換 器而到達目的地。訊框中繼本身沒有控制傳輸錯誤的機制，需依賴 TCP 等上層協定來進行錯誤更正。訊框中繼的原始構想是作為 ISDN 介面所使用的協定，使用虛擬電路，透過連接導向服務來進行連接。

今天訊框中繼已經成為租用專線上使用最多的通訊協定。

網路所提供的訊框中繼介面可能是電信業者所提供的公共網

路，或是僅供單一企業使用的私有設備網路。訊框中繼網路可由使用 者端的電腦與伺服器，以及交換器、路由器、CSU/DSU 或多工器等訊 框中繼網路設備所構成。

DLCI

訊框中繼 PVC 是由 DLCI (Data-Link Connection Identifier) 來識別，訊框中繼 DLCI 的意義限於本地。也就是說，該數值本身在

Systems 、 StrataCom 、 Northern Telecom 與 Digital Equipment Corporation 組成一個致力於發展訊框中繼技術的團體，並加速了可 相互運作之訊框中繼產品的誕生。這個團體發展出一種規格，此規格

除，並提供 PVC 完整性的一般資訊。虛擬電路狀態訊息可防

輯子分割。在子介面組態中，每個 PVC 皆可設定為點對點連接，因

的介面可能位於相同的子網路，且每個介面具有自己的區域 DLCI。在此環境中，由於子介面的運作方式類似一般的訊框 中繼網路，因此路由更新資訊依照 Split Horizon (分割區 域法) 的方式進行。

圖 2-17 VLAN 概覽

VLAN 的概念

在 VLAN 應用之前，唯一能用於控制廣播資訊流動的方法，便是 以路由器劃分網路－因此 VLAN 可視為交換式網路的延伸。由於它能 將各網段劃分為獨立的廣播網域，因此可以控制廣播訊息的傳遞範 圍。基本上在同 一個網路中，每部交換器都是獨立的，但經由 VLAN 的概念，卻又可以在它們之間建立起相依的關係。典型的 VLAN 設定 往往具有下列的特性：

(1) 每個邏輯性的 VLAN 猶如實體上一部獨立的橋接器。

(2) VLAN 可以跨越多個交換器。

(3) 主幹（trunk）上流通的是來自多個 VLAN 的資料。

現在每部交換器可以藉著不同的廣播網域，來區分各種資料－每 個是否將資料往前傳送的決定，將取決於這個封包是來自哪個 VLAN，

每個 VLAN 的運作猶如交換器下連接的一個獨立橋接器。為了交換器 間的聯繫，就必須採一條線路連往一個 VLAN 的方式，或以另外的方 法將 VLAN 的資訊保存在封包中以利傳送。

圖 2-18 LAN 與 VLAN 區段之間的差異 VLAN 的運作方式

在網路當中，一部 Catalyst 交換器運作相當類似傳統的橋接器

－交換器上設定每個 VLAN 都具有位址學習、傳送和過濾與避免迴圈 的機制。而一個 VLAN 上可能有多個連接埠。

就內部而言，Catalyst 交換器是以限制資料僅傳送到與發送端同 個 VLAN 的目的地端這種作法，來達到 VLAN 區隔。換言之，當交換器

的特地埠。也就是在 Catalyst 交換器上的 VLAN 會對單點和多點傳送

(2) 動態（Dynamic）的：Catalyst 1900 交換器在 VLAN 成員政 策伺服器（VMPS）的支援下，能提供動態的 VLAN，VMPS 可以 是一部 Catalyst 5000 交換器，或是其他的伺服器；但不能

由 Catalyst 1900 充任。在 VMPS 中有一個記錄著 MAC 位址與 VLAN 對應的資料庫。每當 Catalyst 1900 上設為動態的連接 埠收到一個資料框時，便以其來源 MAC 位址往 VMPS 去做查 詢，以確定它該送往哪個 VLAN。

在同一個時間內，一個設為動態的連接埠也僅能隸屬於一個 VLAN，若有多部主機想在一個動態的接埠上保持連線，則它們必須隸 屬於同一個 VLAN。

圖 2-19 靜態 VLAN

圖 2-20 動態 VLAN 交換器間的連線

交換器是 VLAN 通訊核心元件的其中一個。根據網路管理員所定 義的 VLAN 權值，每個交換器都有智慧去製作過濾與傳送訊框的決 策。交換器也可以將這個訊息與網路中其他交換器與路由器做通訊。

將使用者邏輯群組化到別的 VLAN 最普遍的方式是訊框過濾與 訊框識別 (訊框標籤)。這二個技術在交換器接收與轉送時會尋找訊 框。根據由管理員定義的規則設定，這些技術會決定訊框要傳送、過 濾或廣播到哪裡。這些控制機制可以被集中管理 (利用網路管理軟體) 並且可以輕易的在網路中完成。

訊框過濾會測試關於每個訊框的特殊資訊。過濾表根據每個交換

傳送至目標終端站之前，交換器會先移除識別碼。訊框識別在第 2 層 發生作用，而且只需要少量的處理或管理負擔。

VLAN 的主幹用通訊協定

為了提供 VLAN 在跨交換器時的連接，必須在每個交換器上加以 設定。Cisco 公司的 VLAN 主幹通訊協定（Trunking Protocol）在交 換式網路中，為維護連續的 VLAN 設定，提供較為簡單的方式。

交換器中 VLAN 設定的一致性。在預設中一部 Catalyst 交換 器是在無管理網域的狀態，直到收到經過主幹的網域廣播，

或在交換器上設定出一個管理網域為止。

VTP 的模式

VTP 在三種模式下運作：sever 模式、client 模式與 transparent 模式。其中的預設為 sever 模式。但 VLAN 的資訊要取得和註明管理 員。一部在 transparent 模式下的交換器可以增加、修改或刪除

VLAN，但不會把這些改變傳送給同網域中的其他交換器，也就是說， 免可能的 VLAN 設定覆蓋。而 transparent 模式則應用於那些一方面 要轉送來自其他交換器的 VTP 傳播，一方面要保留獨自管理內部 VLAN 設定的交換器。

2.5 存取控制清單

存取控制清單(Access Control List, ACL)是使用在路由器介面 的指令清單用來告訴路由器哪些種類的封包可以接受，哪些種類的封

換(IPX)都可以建立 ACL 來過濾經過路由器的封包，以控制網路或子 定定義一個 ACL。舉例來說，如果路由器介面上有 IP、AppleTalk、

與 IPX 三種可被繞送協定，為其中一種所定的 ACL 無法使用在另外兩

暗示要採用 deny any 的敘述，這表示雖然在 ACL 的最後一行沒有 寫明 deny any，但是路由器會把它補上去。其流程如圖 2-21 所示。

圖 2-21 ACL 敘述控制流程

雖然每個協定都有自己要過濾流量時所需的一套特定的工作規 則，但一般而言，多數的協定都需要兩個基本的步驟。第一個步驟 是定義 ACL 條件敘述，第二個步驟則是將 ACL 放置於要執行的介面 上。實際上，ACL 指令可以是很長的字元字串。建立 ACL 包含下列 幾項的關鍵工作：

(1)在全域組態模式下建立 ACL 條件敘述。

要小心地選擇檢查條件且要有邏輯地排列條件敘述 ACL：先指 出被允許的條件，而拒絕其他所有的條件；或者先指出被拒絕的項

目，而允許其他所有的情況；在實用上會有很大的不同結果。撇開 ACL 正確性的問題不談，假設先講拒絕敘述或先寫允許敘述都是正 確的，但是處理 ACL 的先後順序會影響到路由器的延遲時間，應該 把最有可能發生的情況放在最前面，而把最不常遇到的條件敘述放 在最後面，尤其在敘述的前後次序攸關整個 ACL 的正確與否，更是

目，而允許其他所有的情況；在實用上會有很大的不同結果。撇開 ACL 正確性的問題不談，假設先講拒絕敘述或先寫允許敘述都是正 確的，但是處理 ACL 的先後順序會影響到路由器的延遲時間，應該 把最有可能發生的情況放在最前面，而把最不常遇到的條件敘述放 在最後面，尤其在敘述的前後次序攸關整個 ACL 的正確與否，更是