• 沒有找到結果。

路由器操作實務與CCNA認證

N/A
N/A
Protected

Academic year: 2021

Share "路由器操作實務與CCNA認證"

Copied!
172
0
0

加載中.... (立即查看全文)

全文

(1)

逢 甲 大 學

資 訊 工 程 學 系 專 題 報 告

路由器操作實務與CCNA認證

王瑞揚(四乙)

學 生:

李孟昊(四丙)

林巧凰(四丙)

授 : 竇其仁 教授

中 華 民 國 九 十 一 年 十 一 月

(2)

目 錄

圖目錄……… III 表目錄………IX 第一章 導論 ………1 1.1 動機………1 1.2 目標………1 1.3 簡介………2 第二章 路由器相關理論 ………3 2.1 網際網路定址………3 2.1.1 IP 定址………3 2.1.2 子網路 ………8 2.2 路由技術 ………10 2.2.1 網路層協定運作模式………10 2.2.2 路由迴圈解決辦法………15 2.2.3 路由表………19 2.2.4 RIP ………22 2.2.5 IGRP………24 2.3 廣播網路技術 ………26 2.3.1 點對點通訊協定………26 2.3.2 訊框中繼………32 2.4 虛擬區域網路 ………37 2.5 存取控制清單 ………46 第三章 路由器簡介與基本設定………58 3.1 簡介 ………58 3.1.1 外部介面………58 3.1.2 作業系統………63 3.1.3 記憶體架構………64 3.2 設定連線 ………66 3.3 操作模式與指令 ………69 3.3.1 存取模式類型………69 3.3.2 各項命令及功能………71 3.3.3 線上求助方式………74 3.3.4 快速按鍵………75 3.3.5 路由器狀態檢視………77

(3)

第四章 實驗活動………79 4.1 路由器初始設定 ………79 4.2 路由器介面組態設定 ………84 4.3 路由器密碼復原操作 ………88 4.4 使用RIP設定網路拓樸實習………91 4.5 靜態路由操作實習 ………97 4.6 使用IGRP設定網路拓樸實習 ………102 4.7 標準式ACL設定 ………105 4.8 延伸式ACL設定 ………111 4.9 乙太網路交換器設定………114 4.10 VLAN實作………120 4.11 PPP設定 ………126 4.12 Frame Relay設定 ………130 4.13 模擬真實網路設定實作………136 第五章 結論 ………143 5.1 心得………143 5.2 未來展望………144 參考文獻 ………145 附錄A………147 附錄B………161 附錄C………162

(4)

圖 目 錄

圖 2-1 IP 位址元件欄位………4 圖 2-2 IP 位址類別 ………7 圖 2-3 網路與子網路………9 圖 2-4 可被繞送與路由協定之比較 ………12 圖 2-5 距離向量網路探索 ………13 圖 2-6 鏈結狀態網路探索 ………14 圖 2-7 混合式路徑選擇 … ………15 圖 2-8 路由迴圈問題 ………15 圖 2-9 靜態路徑選擇範例 ………21 圖 2-10 動態路徑選擇作業………22 圖 2-11 路由協定:RIP ………24 圖 2-12 PPP 層功能 ………28 圖 2-13 PAP 認證 ………31 圖 2-14 CHAP 認證………32 圖 2-15 DLCI………33 圖 2-16 訊框中繼子介面………36 圖 2-17 VLAN 概覽………38 圖 2-18 LAN 與 VLAN 區段之間的差異………39

(5)

圖 2-19 靜態 VLAN ………41 圖 2-20 動態 VLAN ………42 圖 2-21 ACL 敘述控制流程………48 圖 2-22 ACL 步驟與指令語法………51 圖 2-23 萬用遮罩範例………52 圖 3-1 路由器正面 ………59 圖 3-2 路由器背面 ………59 圖 3-3 路由器 WAN Port 連接纜線(公連接頭)………60 圖 3-4 路由器 WAN Port 連接纜線(母連接頭)………61 圖 3-5 RJ-45 與 AUI 轉換的收發器………62 圖 3-6 開啟終端機 ………66 圖 3-7 建立新的連線 ………67 圖 3-8 選取連線使用的通訊埠 ………68 圖 3-9 設定連接埠設定值 ………68 圖 3-10 點選連線圖示進行路由器連接………69 圖 3-11 模式切換命令………70 圖 3-12 使用者模式名稱和原文說明(1)………71 圖 3-13 使用者模式名稱和原文說明(2)………72 圖 3-14 特權模式的指令名稱和原文說明(1)………72

(6)

圖 3-15 特權模式的指令名稱和原文說明(2) ………73 圖 3-16 特權模式的指令名稱和原文說明(3)………73 圖 3-17 使用者求助功能的設定路由器時間範例………74 圖 4-1 初始設定畫面(a)………80 圖 4-2 初始設定畫面(b)………81 圖 4-3 初始設定畫面(c)………82 圖 4-4 初始設定畫面(d)………82 圖 4-5 初始設定畫面(e)………83 圖 4-6 基本組態設定 ………85 圖 4-7 顯示執行的組態(a)………86 圖 4-8 顯示執行的組態(b)………86 圖 4-9 將目前組態存入 NVRAM ………87 圖 4-10 進入組態暫存器模式………88 圖 4-11 組態暫存器模式設定………89 圖 4-12 回復新的密碼………90 圖 4-13 實驗拓樸圖………91 圖 4-14 名稱與密碼設定………92 圖 4-15 各個介面設定………93 圖 4-16 啟動 RIP 與設定 DNS………94

(7)

圖 4-17 顯示 DNS 內容………94 圖 4-18 顯示路由表內容………95 圖 4-19 ping 與 telnet 測試………96 圖 4-20 關閉 RIP 協定………97 圖 4-21 設定靜態路由………99 圖 4-22 靜態路徑測試………99 圖 4-23 lab_c 設定完成的路由表………100 圖 4-24 lab_b 的路由表………101 圖 4-25 IGRP 網路拓樸圖………102 圖 4-26 設定 IGRP ………103 圖 4-27 檢視 IGRP 資訊………104 圖 4-28 檢視路由表 ………104 圖 4-29 實驗拓樸圖 ………106 圖 4-30 設定 ACL 與啟動 ………107 圖 4-31 測試 ACL 設定(a)………107 圖 4-32 測試 ACL 設定(b)………108 圖 4-33 檢視 ACL 設定 ………108 圖 4-34 取消 ACL 設定 ………109 圖 4-35 測試 ACL 設定(c)………110

(8)

圖 4-36 延伸式 ACL 設定 ………111 圖 4-37 顯示 Lab_a 的組態 ………112 圖 4-38 延伸式 ACL 測試圖 ………113 圖 4-39 交換器的啟動畫面 ………115 圖 4-40 更改交換器名稱 ………116 圖 4-41 設定交換器 IP 位址………117 圖 4-42 瀏覽器登入交換器畫面 ………117 圖 4-43 設定靜態的 MAC 位址對應表 ………118 圖 4-44 儲存組態並重新啟動交換器 ………119 圖 4-45 設定 vtp 領域與密碼 ………121 圖 4-46 顯示交換器組態 ………121 圖 4-47 Ping 成功的畫面 ………122 圖 4-48 定義與指派 VLAN ………123 圖 4-49 檢視 VLAN 設定(a) ………123 圖 4-50 檢視 VLAN 設定(b) ………124 圖 4-51 Ping 失敗的畫面………125 圖 4-52 檢視 lab_a 的介面封裝(a)………126 圖 4-53 lab_a 的 PPP 設定畫面………127 圖 4-54 檢視 lab_a 的介面封裝(b)………128

(9)

圖 4-55 lab_b 的 PPP 設定………129 圖 4-56 檢視 lab_b 的介面封裝 ………129 圖 4-57 訊框中繼網路拓樸圖 ………130 圖 4-58 lab_a 的設定………131 圖 4-59 lab_b 的設定………131 圖 4-60 訊框中繼交換器設定(a)………132 圖 4-61 訊框中繼交換器設定(b)………132 圖 4-62 檢視訊框中繼交換器的固接虛擬電路 ………133 圖 4-63 檢視訊框中繼交換器的路由表 ………134 圖 4-64 檢視路由器的靜態路徑對應表 ………134 圖 4-65 測試訊框中繼設定 ………135 圖 4-66 整合實作的網路拓樸 ………136 圖 4-67 DO1 路由器設定 ………138 圖 4-68 SN1 路由器設定………139 圖 4-69 檢視路由表 ………140 圖 4-70 SN1 的 ACL 設定………141 圖 4-71 測試畫面(a)………141 圖 4-72 測試畫面(b)………142 圖 4-73 測試畫面(c)………142

(10)

表 目 錄

表 2-1 ACL 種類與號碼對應表………50 表 2-2 常見的保留埠編號表 ………56 表 2-3 延伸式 ACL 參數說明表 ………57 表 3-1 編輯功能鍵.………75 表 3-2 命令歷史紀錄鍵.………76 表 4-1 實驗拓樸資訊.………91 表 4-2 IGRP 網路資訊………103 表 4-3 實驗拓樸資訊………106 表 4-4 DO 路由器的資訊………136 表 4-5 SN 路由器資訊………138

(11)

第一章 導論

網路的潛力非僅限於技術開發,而是在於人類自身的不斷革新與 突破:網路不僅打破了人與人之間的時空藩籬,同時更改寫人類生活 歷史,並創造出一個全新的生活型態。越來越多的人共同投注心力, 探索網路的無限可能,為網路世界創造多樣的豐富面貌,同時更可順 利取得相關網路認證,為更美好的生活願景而努力!

1.1 動機

網路世界就如同星際般浩瀚無窮,如何快速認識網路的每個環 節,並取得相關認證,已成為專業技術人員共同追求的目標之一。在 網路世界中,路由器扮演著重要的角色,原本屬於小型的區域網路, 透過路由器,我們得以將多個網路加以連接而形成今日全球性的網際 網路。因此,我們對於路由器的運作感到興趣,就以此為專題主題。

1.2 目標

(1)實作路由器各種操作技巧 (2)紀錄實驗過程,建立教學文件 (3)取得 CCNA 認證

(12)

1.3 簡介

專題中使用的網路設備以 Cisco 的產品為主,包括 switches, hubs,routers 等。藉由 Cisco 的訓練課程安排與規劃,從中學習基 礎的網路舖設技術和管理能力,並且以實驗的方式來呈現路由器的各 種設定技巧。此外,通過 Cisco 網路基礎工程師檢定,取得 CCNA(Cisco Certified Network Associate)的證照。

(13)

第二章 路由器相關理論

路由器是一種互連網路設備,可在網路之間,根據第三層位址傳 送資料封包。路由器可以明智決定在網路上遞送資料的最佳路徑。本 章中,將說明路由器如何使用第三層定址方式,作出推送的決定。

2.1 網際網路定址

網路層負責瀏覽整個網路的資料。網路層的功能是尋找網路間的 最佳路徑。設備使用網路層定址法來決定資料傳送通過網路所要到達 的目的地。本節說明 IP 定址法中的 IP 定址與三種網路以及子網路 與子網路遮罩及其 IP 定址法。

2.1.1 IP 定址

IP 位址通常被視為 OSI 的第三層-網路層位址,它是被設計成具 有邏輯上的群組位址。網路位址可助路由器找出網路雲中的路徑。路 由器會使用網路位址來識別互連網路中封包的目的地網路。 在某些 網路協定上,網路管理者會依據預先決定的互連網路定址法來指定網 路位址。而在其他的網路協定上,指定位址則是部份或完全的動態作 業。除了網路位址之外,網路協定也使用某種形式的主機或節點位址。

(14)

(區域碼和前三個數字)。電話號碼的其餘 (最後四個) 數字,告訴電 話公司的設備,要接哪個特定的電話,就有如位址的主機部份,可告 訴路由器,要將封包傳送給哪個特定的設備。 沒有網路層定址就無法執行路徑選擇,路由器需要使用網路位 址,以確保封包正確傳送。如果沒有某種階層式定址架構,封包就無 法跨越互連網路傳送。同樣地,電話號碼、郵遞地址、或交通系統若 沒有某種階層式架構,也無法順利遞送貨品及服務。 IP 位址是以一個 32 位元的二進位數字來表示。IP 位址的網路 碼指出設備所連接的網路,而 IP 位址的主機部份則指出網路上的特 定設備。因為 IP 位址是由四組以點分隔的位元組字節組成,一、二 或三組都可以用來識別 IP 位址中的網路編碼。同樣地,也可以使用 一、二或三組位元組字節來識別 IP 位址中的主機號碼。 圖 2-1 IP 位址元件欄位

(15)

一個組織機構可以由美國網際網路編號註冊處 (ARIN) (或稱為 組織的 ISP) 接到三種類級的 IP 位址。就是 A、B 和 C 三個類級。 ARIN 現在將 A 類級位址保留給全世界各地的政府 (但在過去已有 少數大公司,如 Hewlett Packard (惠普公司) 取得 A 類級位址), 而將 B 類級位址保留給中等規模的公司。其他申請人都發給 C 類級 位址。 A 類級 A 類級位址的第一個 (最左邊的) 位元若以二進位格式寫成,一 定為 0,A 類級 IP 位址的範例之一是 124.95.44.15。第一組位元 組 - 124,代表由 ARIN 指定的網路編號。網路的內部管理者可以指 定其餘的 24 位元。若要辨認一個設備是否屬於 A 類級網路,最簡 便的方法是,查看其 IP 位址的第一個位元組,其範圍是 0 到 126。 (雖然 127 確實以 0 位元開始,但已保留作為特殊用途。) 所有 A 類級 IP 位址都只使用第一個 8 位元組來代表該位址 的網路部份。其餘的三個位元組都可用來作為位址的主機部份。每一 個已取得 A 類級 IP 位址網路可以指定最高 2 的 24 次方 (224) (-2),或是 16,777,214 個可能位址作為連接到網路上之設備的 IP 位址。

(16)

B 類級 B 類級的第一個位元組一定是 10 開頭。B 類級 IP 位址的範例 之一是 151.10.13.28。前二個位元組代表由 ARIN 指定的網路編 號。網路的內部管理者可以指定其餘的 16 位元。若要知道一項設備 是否屬於 B 類級網路,最簡便的方法就是查看其 IP 位址的第一個 位元組。B 類級 IP 位址的第一個位元組範圍是從 128 到 191。 所有 B 類級 IP 位址都只使用前 16 位元來代表該位址的網路 部份。IP 位址其餘的二個位元組則保留給該位址的主機部份來使 用。每一個已取得 B 類級 IP 定址許可的網路可以指定最高為 2 的 16 次方 (216)(-2),或是 65,534 個可能的位址作為連接至該網路之 設備的 IP 位址。 C 類級 C 類級的前三個位元一定是 110 。C 類級 IP 位址的範例之一 是 201.110.213.28。前三個位元組代表由 ARIN 指定的網路編號, 網路的內部管理者可以指定 其餘的 8 位元。若要知道一項設備是否 屬於 C 類級網路,最簡便的方法就是查看其 IP 位址的第一個位元 組。C 類級 IP 位址的第一個位元組範圍從 192 到 223,所有 C 類 級 IP 位址都使用前 24 位元來代表該位址的網路部份。C 類級 IP

(17)

位址只有最後一個位元組是用來代表位址的主機部份。每一個使用 C 類級 IP 位址的網路最高可指定 2 8 (- 2),或是 254 個可能的 IP 位址給連接至該網路之設備。 圖 2-2 IP 位址類別 如果您的電腦要和網路上所有的設備通訊,那麼要將所有設備的 IP 位址寫出來是相當困難的。您可以試試二個連字符號的位址,即 在一個數字範圍內要涵蓋所有設備,這也相當困難。然而,有個較簡 便的方式。 以二進位 0 結束的 IP 位址是保留給網路位址 (有時稱為纜線 位址) 使用。因此,A 類級網路範例的 113.0.0.0 是主機 113.1.2.3 的網路位址。路由器在網際網路上傳送資料時使用網路的 IP 位址。 在 B 類級網路範例中,IP 位址 176.100.0.0 為網路位址。

(18)

2.1.2 子網路

使用子網路的主要目的是縮小廣播領域。廣播會傳送到網路或子 網路上的所有主機。當廣播流量消耗掉太多可用頻寬時,網路管理者 可以選擇縮小廣播領域。 子網路位址包含 A 類級、B 類級、C 類級網路部份,加上子網 路欄位和主機欄位。子網路欄位與主機欄位都是以整個網路原來的主 機部份為基礎建立的。由於能夠決定如何分割原來的主機部份,而組 成新的子網路與主機欄位,網路管理者在定址時很有彈性。若要建立 子網路位址,網路管理者可從原來的主機欄位中借出位元,並將其標 示為子網路欄位。 若要建立子網路位址,網路管理者可從主機欄位中借出位元,並 將其標示為子網路位址。可借用最小位元數為 2。如果您只要借出一 個位元來建立子網路,那您只能得到一個網路編號 - 0 網路 - 和廣 播編號 - 1 網路。最多可借出的位元數可以是任何號碼,只要最少 保留二位元作為主機號碼即可。在此 C 類級 IP 位址範例中,就是 從主機欄位借出位元,供子網路欄位使用。

(19)

圖 2-3 網路與子網路 子網路遮罩 子網路遮罩,告訴網路設備,位址哪一部份是網路欄位,哪一部 份是主機號碼。子網路遮罩長度是 32 位元,有 4 個位元組,跟 IP 位址完全一樣。若要為特定子網路 IP 位址決定子網路遮罩,請遵循 下列步驟進行。 (1) 以二進位格式來表示子網路 IP 位址。 (2) 將位址的網路與子網路部份都用 1 來取代。 (3) 將位址的主機部份都用 0 來取代。 (4) 最後一個步驟,再將二進位表示法轉換回點式十進位表示法。

(20)

2.2 路由技術

傳送封包的路徑判斷可以看作是一個人開車從城市的一邊到另 一邊,駕駛人手中有地圖,可查看到達目的地之前必須經過的街道。 同樣地,路由器也會使用一份地圖來判斷到達目的地的所有路徑。 路由器也可以根據流量密集與否,以及連結的速度(頻寬)來作 決定,就如駕駛人可能選擇快速道路,也可能選擇車輛較少的偏僻小 道一樣。本節說明路由協定與可被繞送協定的差異,路由器如何追蹤 路由器之間的距離,還有如何解決一般的路徑選擇問題以及三種路徑 選擇方法。

2.2.1 網路層協定運作模式

IP 是一個網路層協定,因此,可透過網路間的相互連接被繞送 傳 過 網 際 網 路 。 支 援 網 路 層 的 協 定 稱 為 可 被 繞 送 協 定 (Routed Protocol)與路由協定(Routing Protocol)。 可被繞送協定特性 要成為可被繞送協定,必須能夠指定每個設備的網路編號及主機 號碼。有些協定,如 IPX,只要求您指定一個網路編號,而使用主機

(21)

的 MAC 位址作為實體號碼。其他協定,如 IP,則會要求您提供完整 的位址及子網路遮罩。網路位址是由位址與子網路遮罩執行 AND 運 算而得到的。 路由協定與可被繞送協定之比較 路由協定和可被繞送協定二術語經常因其相似性引起混淆。可被 繞送協定是指網路層位址提供足夠資訊,讓封包可以根據該位址架構 從某一主機傳送到另一主機的網路協定。可被繞送協定定義封包內之 欄位格式和使用。封包通常由一端點系統傳送到另一端點系統。網際 網路協定 (IP) 是可被繞送協定的一個例子。路由協定提供分享路徑 選擇資訊的機制,可以支援可被繞送協定。路由協定訊息在路由器之 間傳送。路由協定讓路由器和其他路由器通訊以更新及維護路由表。 路由協定的 TCP/IP 範例有: (1) RIP (路由資訊協定) (2) IGRP (內部閘道路徑選擇協定) (3) EIGRP (進階內部閘道路由協定) (4) OSPF (開放式最短路徑優先)

(22)

圖 2-4 可被繞送與路由協定之比較 路由協定類別共有三種:距離向量(Distance Vector),鏈結狀態 (Link State),以及平衡混合式(Hybrid)。 距離向量(Distance Vector) 以距離向量為主的路徑選擇演算法會在路由器之間定期的傳送 路由表,各路由器由鄰近路由器接收路由表。這種處理不斷在接相鄰 的路由器之間進行,最後演算法取得累積的網路距離來維護網路拓樸 資訊的資料庫。但距離向量演算法無法讓路由器確實得知整個網路的 拓樸型態。屬於距離向量路由協定有 RIP、RIPv2 及 Cisco 的 IGRP。

(23)

圖 2-5 距離向量網路探索 鏈結狀態(Link State)

鏈結狀態演算法根據鏈結狀態進行的路徑選擇演算法也稱為最 短路徑演算法(Shortest Path First,SPF),它保持一份拓樸資訊的 複雜資料庫,知悉遠端路由器的完整資訊與其網路的運作方式。當鏈 結狀態拓樸改變,第一個知道改變的路由器就會傳送資訊給其他路由 器,或是給所有其他路由器都能取用更新資訊的指定路由器。這項作 業將共用的路徑選擇資訊傳送給網路中的所有路由器。屬於鏈結狀態 路由定 OSPF。

(24)

圖 2-6 鏈結狀態網路探索 平衡混合式(Hybrid) 平衡混合式路徑選擇是新興的第三類路由協定,結合了距離向量 與鏈結狀態路由協定的特點。平衡混合式路由協定使用更精確權值得 距離向量,來判斷到達目的地的最佳路徑。不過,混合式協定與大部 分的距離向量協定不同,它們在拓樸改變時,才觸發更新路徑選擇的 資料庫。平衡混合式路由協定會如鏈結狀態協定一般迅速收斂。但 是,混合式協定又與距離向量及鏈結狀態協定都不同,它比較不佔頻 寬、記憶體及處理器等資源。屬混合式協定有 OSI 的 IS-IS 及 Cisco 的 EIGRP。

(25)

圖 2-7 混合式路徑選擇

2.2.2 路由迴圈解決辦法

若網路對於新組態的收斂速度很慢,導致路由項目之間不一致, 就可能會出現路徑選擇迴圈。圖 2-8 說明路徑選擇迴圈產生的情況:

(26)

(1) 就在網路 1 故障失敗之前,所有路由器都有一致的資訊與正 確的路由表。網路應該是已收斂了。假設在本範例以下程序 中,路由器 C 選擇經路由器 B 到網路 1 的路徑,從路由器 C 到網路 1 的距離是 3。 (2) 當網路 1 失敗時,路由器 E 就傳送更新給路由器 A;路由 器 A 即不再經此路徑傳送封包給網路 1,但路由器 B、C 與 D 則繼續使用該路徑,因為它們還未接到失敗通知。當路由 器 A 送出更新時,路由器 B 與 D 就不再使用該路徑到網路 1;但是路由器 C 並未接到更新資訊。若要到路由器 C,網 路 1 可以經過路由器 B 抵達。 (3) 路由器 C 就傳送定期更新資訊給路由器 D,指出經路由器 B 到網路 1 的路徑。路由器 D 即變更調整路由表,反映這項 極佳但不正確的資訊,並向路由器 A 傳播資訊;路由器 A 又 將資訊傳給路由器 B 與 E,如此週而復始地循環。現在,任 何目的地為網路 1 的封包就會形成迴圈,從路由器 C 到 B 到 A 到 D 再送回到 C。 網路 1 的無效更新會繼續迴圈打轉,直到其他處理制止迴圈為 止。這種狀況稱為漸增至無窮大的現象,迴圈封包持續不斷地繞著網

(27)

路轉,而其實目的地網路,網路 1,根本就己故障失效。在路由器發 生漸增至無窮大現象時,無效資訊使路徑選擇迴圈得以存在。 解決方案 1:定義跳躍最大數目最大值(Hop Count) 為了避免迴圈問題拖長時間,距離向量協定定義一個最大的跳躍 技術值,當跳躍數目超過最大值,網路 0 被視為無法抵達。 解決方案 2:分割領域(Split Horizon) 當不正確資訊送回路由器,而與其自身所傳送正確資訊相抵觸 時,也有可能發生路徑選擇迴圈。下面是問題發生時的情況: (1) 路由器 A 傳送更新資訊給路由器 B 與路由器 D,指出網 路 1 已故障當機,但路由器 C 已將更新資訊傳輸給路由 器 B,指出網路 1 可在距離 4 處,透過路由器 D 提供 使用。這項作業並不違反水平線分割規則。 (2) 路由器 B 作出不正確的結論,認為路由器 C 仍有有效的 路徑到網路 1,只不過其權值很不利而已。路由器 B 傳 送更新資訊給路由器 A,建議路由器 A 取新路徑到網路 1。 (3) 路由器 A 現在判斷它可以經路由器 B 傳送到網路 1;路 由器 B 判斷它可以經路由器 C 傳送到網路 1;而路由器

(28)

C 又判斷它可經路由器 D 傳送到網路 1。任何引入這個 環境的封包都會在路由器之間迴圈繞送。 (4) 水平線分割即試圖避免這種情況。如圖 所示,若網路 1 的路徑選擇相關更新資訊由路由器 A 送達,路由器 B 或 路由器 D 就無法將網路 1 的相關資訊再傳回路由器 A。水平線分割就可減少不正確的路徑選擇資訊,也減少 路徑選擇的負擔。 解決方案 3:使用「保持」計時器(Hold-Down) 我們可以使用保持計時器,來避免發生漸增至無窮大現象的問 題,其運作情形如下: (1) 當路由器從鄰點接到更新資訊,指出先前可存取的網路, 現在無法使用,路由器就標示該路由器,然後啟動保持計 時器。若在保持計時器過期前的任何時間裡,接收到由相 同的鄰點所發出的更新資訊,指出該網路可再度存取,路 由器就將網路標示為可存取,然後移除保持計時器。 (2) 若更新資訊是由不同的相鄰路由器傳來,而其權值比網路 的原先記錄更好,路由器就將網路標示為可存取,然後移 除保持計時器。

(29)

(3) 若在保持計時器過期前的任何時間裡,從不同的相鄰路由 器接到更新資訊,但權值較差,即不理會更新資訊。在保 持計時器時效範圍內,不理會權值較差的更新資訊,可以 有更多時間將中斷的改變資訊,傳播到整個網路上。

解決方案 4:毒害反向更新(Poison Reverse Updates)

毒害反向更新是路由器藉由傳送含跳躍數目超過最大值得更新 訊息到最先將失效路徑廣播到網路的路由器,來毒害此路徑。分割領 域法可避免再鄰接的路由器之間發生路由迴圈,而毒害反向更新則可 避免路由迴圈擴大。當路由權值增加到相當大時,通常已發生路由迴 圈。此時路由器會傳送毒害反向更新訊息以移除此路徑並將其放置在 保持計時器中,毒害路徑可加快收斂的速度。

2.2.3 路由表

路由器、第三層以上的網路設備以及執行網路作業系統、具有上 網能力的電腦,都會存有一份路由表,決定封包該網哪裡送。網路管 理者可以將路徑資訊以人工方式輸入到路由器裡,或是啟用路由器作 業系統中的動態路由協定,讓路由器可以一邊作業,一邊和別的路由 器交換路徑資訊,更新路由表。

(30)

路由表中的路徑種類有三種,分別是靜態路徑、動態路徑以及預 設路徑。 靜態路徑 靜態路徑選擇知識由網路管理員以人工方式將其輸入到路由器 組態中。每當互連網路拓樸改變需要更新時,網路管理員必須輸入資 料更新此一靜態路徑。 靜態路徑選擇有許多有用的應用程式。因為動態路徑選擇傾向透 漏互連網路上所有的事件,基於安全考慮,您可能希望隱藏互連網路 中部份的資訊。靜態路徑選擇讓您可以指定可以透露的特定資訊。 如果一個網路只能經由一個路徑來存取,則到該網路只要靜態路 由就足夠了。這種網路稱為存根網路。設定靜態路徑選擇到存根網路 (stub network) 可避免動態路徑的過度負擔。

(31)

圖 2-9 靜態路徑選擇範例 動態路徑 動態路徑選擇必須依靠路由器兩種基本功能才能順利運作: (1) 路由表維護。 (2) 以路徑選擇更新的方式適時配送資訊給其他路由器。 動態路徑選擇是依靠路由協定來分享路由器間的資訊。路由協定 定義一組規則,供路由器在與鄰近路由器通訊往來時使用。例如,路 由協定有如下說明: (1) 如何傳送更新。 (2) 更新中含何種資訊。 (3) 何時傳送此資訊。 (4) 如何探查更新收件者位置。

(32)

圖 2-10 動態路徑選擇作業 預設路徑 預設路徑是每一個路由表中,一定會有的項目。預設路徑的意思 是,當路由表中沒有列出要去的目的地網路是該經由何處去時,就到 預設路徑指出的位址去。一班電腦的預設路徑便是預設閘道,通常是 位於相同網路上的路由器介面的位址,如果電腦有兩張以上網路卡, 只能選用其中一個網路卡所在網路上的路由器為其預設路徑。

2.2.4 RIP

同網路的路由器彼此傳輸路由資訊最常用的方法,就是 RIP。這 個「內部閘道器協定」會計算與目的地間的距離。RIP 可以讓路由器 依預設時間間隔更新路由表,約每 30 秒一次。不過因為它們與鄰近 的路由器是固定連線的狀態,因此製造了大量的網路流量。

(33)

RIP 可以讓路由器判斷資料傳送的最佳路徑,它所依據的是稱為 距離向量的概念。當資料經過路由器時,亦即經過一個新的網路編 號,就視為一個跳躍。一條跳躍數為 4 的路徑,表示經該路徑的資 料,要在網路上傳過四個路由器,才能抵達網路上的最後目的地。 若通往目的地的路徑有數條,則 RIP 路由器會選跳躍數最少的 為最佳路徑。但因為 RIP 判斷最佳路徑時所用路由計量,只看跳躍 數的多寡,所以它選出的結果未必是最快的路徑。不過 RIP 還是非 常受歡迎,且運用十分廣泛普遍。主要可能是因為它是最早開發的路 由協定之一。 使用 RIP 的另一個問題是,有時目的地很遠,資料無法送達。 使用 RIP 時,資料可經過的跳躍數的上限為 15。因此若目的地網路 距離超過 15 個路由器,則無法傳遞資料。

(34)

圖 2-11 路由協定:RIP

2.2.5 IGRP

IGRP 是 Cisco 專屬的協定,開發之目的在於取代 RIP。IGRP 為 距離向量內部路由協定。距離向量路由協定會要求每一個路由器在固 定的時間間隔傳送路由更新訊息的全部或部份路由表至其鄰接的所 有路由器。當路由資訊傳遍整個網路後,路由器即可以計算到所有網 路內節點的距離。 IGRP 路由協定使用變數組合來判斷複合權值。這些變數包括: (1) bandwidth (頻寬) (2) delay (延遲) (3) load (負載)

(35)

(4) reliability (可靠性)

網路管理員可以決定這些權值的設定,IGRP 會利用網路管理員 設定的或預設的頻寬以及延遲自動計算出最佳路徑。

自主系統(Autonomous System)

Cisco 設計 IGRP 的最主要目標是在自主系統 (AS) 中提供一 個強健的路由協定,AS 為一群網路的集合且具有共同的管理機制以 及共享一個共同的路由策略。IGRP 使用一個使用者可設定的權值組 合,這些權值包括網路延遲、頻寬、可靠度以及負載。IGRP 廣播三 種路徑類型:內部、系統、外部。 內部路徑為子網路之間的路徑,而此子網路在連接路由器介面的 網路內如果連接路由器的網路未作子網路切割,則 IGRP 不會廣播內 部路徑。此外,在 IGRP 更新中並不含子網路資訊,因此會造成不連 續的 IP 子網路問題。 系統路徑為到達 AS 內其它主要網路的路徑,路由器會從直接連 接的網路介面取得系統路徑,而系統路徑資訊則由其它使用 IGRP 的 路由器提供。系統路徑不含子網路資訊。 外部路徑為到達 AS 外部網路的路徑,當識別最後的閘道器時會 考慮使用此路徑。路由器會從 IGRP 所提供的外部路徑清單中選擇最

(36)

後的閘道器,當路由器沒有傳送封包的較佳路徑且目的地不是直接連 接的網路時,則會使用最後的閘道器。如果 AS 連接一個以上的外部 網路時,則不同的路由器可選擇不同的外部路由器來當作最後的閘道 器。

2.3 廣域網路技術

廣域網路(Wide Area Network)有許多不同的定義,就技術層面 來說,廣域網路是通訊必須透過網際網路服務提供者(Internet Service Provider,ISP)提供服務,並使用到廣域網路設備與技術才 能達成的。本節介紹目前廣域網路環境中最常使用的二種協定,點對 點通訊協定透過同步與非同步電路,使用序列介面的路由器對路由 器、主機對主機的連接(Host to Host),提供 OSI 第二層(Data Link Layer)的服務;訊框中繼定義了在公共數據網路中傳送資料的程序, 是一個可在網際網路中使用的高效能、高效率的資料技術。

2.3.1 點對點通訊協定

在 1980 年代晚期時,撥接線路 Internet 協定 (Serial Line Internet Protocol) 限制了網際網路的成長。PPP (Point to Point

(37)

Protocol)的建立是為了解決遠端網際網路的連接問題。此外,需要 PPP 的緣故是為了要動態指定 IP 位址,並且能夠使用多重協定。PPP 可透過同步和非同步的電路,同時提供路由器對路由器、以及主機對 網路的連接。 PPP 是使用最廣泛、且最常用的 WAN 協定,因為它能提供以下所 有功能: (1) 資料鏈結設定的控制 (2) 提供對 IP 位址的動態指定 (3) 網路協定多工 (4) 鏈結組態和鏈結品質測試 (5) 錯誤偵測 (6) 其他功能的協商選項,如網路層位址協商和資料壓縮協商 PPP 利用三項主要的元件來解決網際網路連接的問題: (1) 透過序列鏈結封裝資料元的方法。PPP 使用高階資料鏈結控 制 (HDLC) 作為透過點對點鏈結來封裝資料元的基礎。 (2) 建立、設定、和測試資料鏈結連接的鏈結控制協定 (LCP)。 (3) 建立和設定不同網路層協定的網路控制協定 (NCP) 系列。

(38)

PPP 的設計是為了同時使用多重網路層協定。今日,PPP 能支援 IP 以外的其他協定,包括互連網路封包交換 (IPX) 和 Apple 通訊 協定(AppleTalk)。如圖所示,PPP 使用其 NCP 元件來封裝多重協定。 圖 2-12 PPP 層功能 PPP 使用的是分層的架構,利用本身較低階層的功能,PPP 可以 使用: (1) 同步實體媒體,如連接整合性服務數位網路 (ISDN) 的設備。 (2) 非同步實體媒體,如使用基本電話服務作為數據機撥號連接 的設備。 利用本身較高階的功能,PPP 可以用 NCP 來支援或封裝數個網路 層協定。這些較高層的協定包括如下: (1) BCP -- 橋接控制協定

(39)

(2) IPCP -- IP 控制協定 (3) IPXCP -- IPX 控制協定 PPP 提供建立、設定、維護、和終止點對點連接的方法。為能透 過點對點鏈結建立通訊,PPP 需經歷四個不同的階段: (1) 鏈結的建立和組態協商 - 一個來源 PPP 節點會傳送 LCP 訊框,以設定和建立資料鏈結。 (2) 鏈結品質的決定 - 我們會測試鏈結以判斷該鏈結品質是否 可以啟動網路層的協定。注意,這是選擇性的階段。 (3) 網路層協定組態協商 - 來源 PPP 節點會傳送 NCP 訊框,以 選擇和設定網路層的協定。所選擇的網路層協定 (如 IP、 Novell IPX、和 AppleTalk) 組態設定完成後,才能傳送各 網路層協定中的封包。 (4) 鏈結終止 - 鏈結會一直保持其通訊組態,直到 LCP 或 NCP 訊框關閉鏈結、或發生某些外部事件為止 (例如,非作用計 時器逾時,或使用者的介入)。 LCP 訊框有三種類別: (1) 鏈結建立訊框 - 用以建立和設定鏈結。

(40)

(3) 鏈結維護訊框 - 用以管理訊框和訊框除錯。 LCP 訊框是用來完成各 LCP 階段的工作: (1) 鏈結建立 (2) 鏈結品質 (3) 網路層協定 (4) 鏈結終止 PPP 認證 PPP 交談的認證階段是選擇性的。在鏈結建立完成、並選好認證 協定後,對等層便可以開始進行認證。若要使用認證,請在網路層協 定組態階段開始之前先執行認證。 認證選項會要求鏈結的呼叫端輸入認證資訊,以協助確定使用者 擁有網路管理員的同意可進行此呼叫。對等式路由器交換認證訊息。 當設定 PPP 認證時,您可以選擇密碼認證協定 (PAP) 或查問式 握手驗證協定 (CHAP)。一般而言,CHAP 是較常使用的協定。 如圖所示,PAP 提供一種簡單的方法,可以讓遠端節點使用雙向 的握手式交談來建立其身份。當 PPP 鏈結建立階段完成後,遠端節 點會透過鏈結重複傳送使用者名稱/密碼對,直到認證完成確認或連

(41)

PAP 並不是很強的認證協定。透過鏈結的密碼為純文字,並且無 法防護播放 (playback) 或重複的嘗試錯誤型的攻擊。遠端節點能控 制登入嘗試的頻率和時間。 圖 2-13 PAP 認證 CHAP 是用來定期檢驗和識別使用三步驟式握手交談的遠端節 點,如圖所示。CHAP 在啟始鏈結建立時便已完成,且鏈結完成建立 後隨時可以重複執行。CHAP 會提供如定期檢驗以改善安全性等功 能;這使得 CHAP 比 PAP 更有效率。PAP 僅會檢驗一次,這使得它 很容易受駭客和數據機回放的影響。此外,PAP 允許發話者根據所需 進行認證 (不需先接收挑戰習作),這也使得它容易受駭客攻擊的影 響,因此 CHAP 並不允許發話者在未接收挑戰習作的情況下嘗試認 證。 在 PPP 鏈結建立階段完成後,主機會傳送挑戰習作訊息給遠端 節點。遠端節點會產生一個回應值。主機會根據它本身的值來檢查回 應。如果該值有符合,則認證便通過確認。否則,連接便會終止。

(42)

CHAP 會使用唯一和無法預期的變動挑戰值,來抵擋回放的攻 擊。使用重覆挑戰習作的目的,是為了限制暴露在任何訊息攻擊下的 時 間 。 區 域 路 由 器 ( 或 協 定 廠 商 的 認 證 伺 服 器 , 如 Netscape Commerce Server) 能控制挑戰習作的頻率和時間。 圖 2-14 CHAP 認證

2.3.2 訊框中繼

訊框中繼(Frame-Relay)是一種將資料分割成封包並透過廣域網 路來傳送資訊的方式。每個封包則經過訊框中繼網路中的一連串交換 器而到達目的地。訊框中繼本身沒有控制傳輸錯誤的機制,需依賴 TCP 等上層協定來進行錯誤更正。訊框中繼的原始構想是作為 ISDN 介面所使用的協定,使用虛擬電路,透過連接導向服務來進行連接。 今天訊框中繼已經成為租用專線上使用最多的通訊協定。 網路所提供的訊框中繼介面可能是電信業者所提供的公共網

(43)

路,或是僅供單一企業使用的私有設備網路。訊框中繼網路可由使用 者端的電腦與伺服器,以及交換器、路由器、CSU/DSU 或多工器等訊 框中繼網路設備所構成。

DLCI

訊框中繼 PVC 是由 DLCI (Data-Link Connection Identifier) 來識別,訊框中繼 DLCI 的意義限於本地。也就是說,該數值本身在 訊框中繼 WAN 裡並不是獨一無二的。經由虛擬電路相連接的兩個 DTE 設備可能使用不同的 DLCI 值來代表相同的連接。 訊框中繼提供了多工處理大量邏輯資料交談的方式。服務提供者 的交換設備則含有一張 DLCI 值與外部連接埠的對應表。接收到訊框 時,交換設備便會分析連接識別碼並將訊框傳送到相關的外部連接 埠。而在傳送第一個訊框之前,到達目的地的完整路徑即已建立。 圖 2-15 DLCI LMI 1990 年是訊框中繼發展史上的一個重要里程碑,此時由 Cisco

(44)

Systems 、 StrataCom 、 Northern Telecom 與 Digital Equipment Corporation 組成一個致力於發展訊框中繼技術的團體,並加速了可 相互運作之訊框中繼產品的誕生。這個團體發展出一種規格,此規格 遵循基本的訊框中繼協定並擴充其功能,使其具備可處理複雜之互連 網路環境的額外能力。這些訊框中繼延伸稱為 LMI (區域管理介 面)。 LMI 處理程序的主要功能為: (1) 決定路由器可辨識之 PVC 的運作狀態 (2) 傳送持活封包以確保 PVC 持續運作,且不會因為閒置而關閉 (3) 將可用的 PVC 告訴路由器

路由器可呼叫的 LMI 類型有三種:ansi、cisco 與 q933a。 LMI 延伸 訊框中繼規格中除了有用來傳輸資料的訊框中繼協定基本功能 以外,還包含 LMI 延伸使得複雜大型網路的互連更加容易。某些 LMI 延伸屬於通用的規格,採用此規格的任何廠商皆可實作。其他的 LMI 功能則屬於選用的功能。以下是 LMI 延伸的摘要: (1) 虛擬電路狀態訊息 (通用) -- 提供網路及使用者設備間的 通訊與同步,定期報告新 PVC 的存在以及現有 PVC 的刪

(45)

除,並提供 PVC 完整性的一般資訊。虛擬電路狀態訊息可防 止經由不復存在的 PVC 來傳送資料。 (2) 多點廣播 (選用) -- 允許傳送端將單一訊框經由網路傳送 給多個接收端。因此,對於通常需同時傳送到多個目的地的 路由協定訊息與位址解析協定而言,多點廣播得以有效的傳 送它們。 (3) 全域定址 (選用) -- 使連接識別碼的意義涵蓋全域而非僅 限於區域,使其得以用來識別訊框中繼網路的特定介面。以 定址的概念而言,全域定址使得訊框中繼網路就像是一個區 域網路 (LAN);如此一來,位址解析協定在訊框中繼網路和 LAN 中的執行方式便完全相同。 (4) 簡易資料流控制 (選用) -- 提供應用於整個訊框中繼介面 的 XON/XOFF 資料流控制機制。當某裝置的上層無法使用壅 塞指示位元,或是需要某種程度的資料流控制時,此延伸即 適用於該裝置。 訊框中繼子介面 若要在訊框中繼網路中傳送完整的路由更新資訊,您可以使用邏 輯指定的介面 (稱為子介面) 來設定路由器。子介面是實體介面的邏

(46)

輯子分割。在子介面組態中,每個 PVC 皆可設定為點對點連接,因 而可將子介面視為一條專線,如圖 所示。訊框中繼實作中的路由器 (亦即 DTE 設備) 原本必須分別提供一個 WAN 序列介面給每個 PVC。藉由將單一實體 WAN 序列介面邏輯分割成多個虛擬子介面,訊 框中繼網路的整體實作成本便可降低。一個路由器介面可以分別透過 多個唯一的子介面來服務許多遠端位置。 圖 2-16 訊框中繼子介面 我們可以設定子介面來支援下列連接類型: (1) 點對點 -- 使用單一子介面來建立到達遠端路由器上的另一 個實體介面或子介面的單一 PVC 連接。在這種情況下,這些 介面可能位於相同的子網路,且每個介面各有一個 DLCI。每 個點對點連接都是自己的子網路。在此環境中,因為路由器 是點對點連接且運作方式類似專線,所以廣播不成問題。 (2) 多點 -- 使用單一子介面來建立到達遠端路由器上的多個實 體介面或子介面的多重 PVC 連接。在這種情況下,所有參與

(47)

的介面可能位於相同的子網路,且每個介面具有自己的區域 DLCI。在此環境中,由於子介面的運作方式類似一般的訊框 中繼網路,因此路由更新資訊依照 Split Horizon (分割區 域法) 的方式進行。

2.4 虛擬區域網路

VLAN 是設備或使用者的一個邏輯群組化,可以依照功能、部門 或是應用程式來分組,而不管它們實體的區段位置在哪裡。VLAN 組 態在交換器上透過軟體來完成。VLAN 尚未標準化,需要使用交換器 廠商的專屬軟體。 典型的 LAN 會依照連接的實體結構來設定。使用者依照連接集 線器插入的位置以及纜線如何連接分線箱來群組化。與每個分享式集 線器互相連接的路由器通常會提供區段並且扮演廣播防火牆的角 色。由交換器所建立的區段並不具備此功能。傳統的 LAN 區段並不 是依照使用者相關的工作群組或頻寬的需求來群組化使用者。因此, 儘管工作群組或部門的頻寬需求可能有相當的差異,它們還是分享相 同的區段並且競爭同一個頻寬。

(48)

圖 2-17 VLAN 概覽 VLAN 的概念 在 VLAN 應用之前,唯一能用於控制廣播資訊流動的方法,便是 以路由器劃分網路-因此 VLAN 可視為交換式網路的延伸。由於它能 將各網段劃分為獨立的廣播網域,因此可以控制廣播訊息的傳遞範 圍。基本上在同 一個網路中,每部交換器都是獨立的,但經由 VLAN 的概念,卻又可以在它們之間建立起相依的關係。典型的 VLAN 設定 往往具有下列的特性: (1) 每個邏輯性的 VLAN 猶如實體上一部獨立的橋接器。 (2) VLAN 可以跨越多個交換器。 (3) 主幹(trunk)上流通的是來自多個 VLAN 的資料。

(49)

現在每部交換器可以藉著不同的廣播網域,來區分各種資料-每 個是否將資料往前傳送的決定,將取決於這個封包是來自哪個 VLAN, 每個 VLAN 的運作猶如交換器下連接的一個獨立橋接器。為了交換器 間的聯繫,就必須採一條線路連往一個 VLAN 的方式,或以另外的方 法將 VLAN 的資訊保存在封包中以利傳送。 圖 2-18 LAN 與 VLAN 區段之間的差異 VLAN 的運作方式 在網路當中,一部 Catalyst 交換器運作相當類似傳統的橋接器 -交換器上設定每個 VLAN 都具有位址學習、傳送和過濾與避免迴圈 的機制。而一個 VLAN 上可能有多個連接埠。 就內部而言,Catalyst 交換器是以限制資料僅傳送到與發送端同 個 VLAN 的目的地端這種作法,來達到 VLAN 區隔。換言之,當交換器

(50)

的特地埠。也就是在 Catalyst 交換器上的 VLAN 會對單點和多點傳送 與廣播訊息加以限制。 一般而言,一個連接埠也僅會傳送屬於自己 VLAN 的資料流。而 為了使 VLAN 能藉單一連線跨越多部交換器,交換器間就需以主幹相 連。 VLAN 成員的模式 在網路中交換器上的 VLAN,是第二層的應用。由於它屬於資料鏈 結,因此會以通訊協定的不同而相異。為了將一個連接埠(或網段) 加入某個 VLAN,必須在交換器上設定”成員”。在完成之後,來自 一個特定網段的單點傳送和廣播資訊,僅會被交換器送給同屬於一個 VLAN 的連接埠。若想讓 VLAN 之間能夠溝通,就需在網路中加入一部 路由器與第三層的通訊協定。 Catalyst 1900 交換器上的連接埠是在 VLAN 成員模式下,被設定 為某個 VLAN 的成員,此一”成員”模式又可分為下列兩種: (1) 靜態(Static)的:將連接埠設定予某個 VLAN 的動作是由管 理者來執行。 (2) 動態(Dynamic)的:Catalyst 1900 交換器在 VLAN 成員政 策伺服器(VMPS)的支援下,能提供動態的 VLAN,VMPS 可以 是一部 Catalyst 5000 交換器,或是其他的伺服器;但不能

(51)

由 Catalyst 1900 充任。在 VMPS 中有一個記錄著 MAC 位址與 VLAN 對應的資料庫。每當 Catalyst 1900 上設為動態的連接 埠收到一個資料框時,便以其來源 MAC 位址往 VMPS 去做查 詢,以確定它該送往哪個 VLAN。 在同一個時間內,一個設為動態的連接埠也僅能隸屬於一個 VLAN,若有多部主機想在一個動態的接埠上保持連線,則它們必須隸 屬於同一個 VLAN。 圖 2-19 靜態 VLAN

(52)

圖 2-20 動態 VLAN 交換器間的連線 交換器是 VLAN 通訊核心元件的其中一個。根據網路管理員所定 義的 VLAN 權值,每個交換器都有智慧去製作過濾與傳送訊框的決 策。交換器也可以將這個訊息與網路中其他交換器與路由器做通訊。 將使用者邏輯群組化到別的 VLAN 最普遍的方式是訊框過濾與 訊框識別 (訊框標籤)。這二個技術在交換器接收與轉送時會尋找訊 框。根據由管理員定義的規則設定,這些技術會決定訊框要傳送、過 濾或廣播到哪裡。這些控制機制可以被集中管理 (利用網路管理軟體) 並且可以輕易的在網路中完成。

(53)

訊框過濾會測試關於每個訊框的特殊資訊。過濾表根據每個交換 器發展,這會提供高階的管理控制,因為它可以測試每個訊框的許多 屬性。依照 LAN 交換器的複雜性,您可以根據工作站的媒體存取控 制 (MAC) 位址或網路階層協定類型來群組化使用者。交換器會比較 由表格項目過濾的訊框,並且會根據項目做出適當的動作。 在早期,VLAN 是以過濾為基礎,並且根據過濾表來群組化使用 者。這個模型的調適能力並不好,因為每個訊框都必須參考過濾表。 另一方面,訊框標籤會指定唯一的 VLAN ID 給每個訊框。交換器管 理員會指定 VLAN ID 到交換器組態中的每個 VLAN。這個技術由電 機、電子工程協會 (IEEE) 標準群組根據它的調適性所選取。訊框標 籤正在取得認可以便成為標準的主體機制;與訊框過濾相較之下,它 可以提供更能擴充 VLAN 部署之解決方案,並可運作在全校園內。 IEEE 802.1q 說明訊框標籤是執行 VLAN 的方法。 VLAN 訊框標籤是一個特別開發來指定發展交換式通訊的方式。 在推送到整個網路主幹時,訊框標籤會在每個訊框的表頭中放置一個 唯一識別碼。識別碼在廣播或傳送到其他交換器、路由器或終端站設 備之前,會被交換器解析與測試。當訊框存在於網路主幹中,在訊框

(54)

傳送至目標終端站之前,交換器會先移除識別碼。訊框識別在第 2 層 發生作用,而且只需要少量的處理或管理負擔。

VLAN 的主幹用通訊協定

為了提供 VLAN 在跨交換器時的連接,必須在每個交換器上加以 設定。Cisco 公司的 VLAN 主幹通訊協定(Trunking Protocol)在交 換式網路中,為維護連續的 VLAN 設定,提供較為簡單的方式。 VTP 通訊協定在交換式網路中傳遞每個 VLAN 的既設的辨識用資 訊,並使其得以同步化。在單一 VTP 伺服器上的設定將會將經由主幹 傳送到所有網路的交換器。它以減少網路中手動設定的方式,讓交換 式網路更易於擴充規模。 VTP 可說是第二層的通訊協定-它在一般的管理網域中以掌握 VLAN 的增加、減少與更名來維持設定的一致性。因此它減少了設定 上的錯誤和不一致性,例如重複的名稱與錯誤的資料框種類,並避免 了可能隨之而來的問題。 一個 VTP 網域中可能僅有一部交換器,或是由多部交換共享一個 VTP 網域。當在交換式網路中加入一個新的 VLAN 時,步驟概述如下: (1) 一個新的 VLAN 加入,在這個時候,VTP 將會使工作更容易。 (2) VTP 的資訊廣播被推送往 VTP 網域中的其他交換器。 (3) 新的 VLAN 已被加入其它交換器的設定當中,結果確保了所有

(55)

交換器中 VLAN 設定的一致性。在預設中一部 Catalyst 交換 器是在無管理網域的狀態,直到收到經過主幹的網域廣播, 或在交換器上設定出一個管理網域為止。

VTP 的模式

VTP 在三種模式下運作:sever 模式、client 模式與 transparent 模式。其中的預設為 sever 模式。但 VLAN 的資訊要取得和註明管理 網域的名稱後才會開始往外傳播。當 Catalyst 交換器在 sever 模式 下運作時,即具有增加、修改與刪除 VLAN 的能力,並能以參數設定 整個 VTP 網域,此時 VLAN 的設定都存在交換器上的 NVRAM 中。當在 VTP 伺服器上改變 VLAN 的設定後,便會經由所有的主幹傳播給 VTP 網域中所有的交換器。 在一個 VTP client 模式下的設備將無法增加、改變或刪除 VLAN, 有關 VLAN 的設定也不會存在 NVRAM 中。但在 sever 和 client 模式中 相同的是,在兩種狀態下交換器均會將其 VLAN 設定同步化,也就是 與同個 VTP 網域中有最新版 VLAN 設定的交換器保持一致。 當一個交換器在 transparent 模式下運作時,它既不會主動發出 VTP 的資訊,也不會與相同管理網域中其他交換器保持 VLAN 設定上 的同步。它會轉送來自其他交換器的 VTP 資訊給同個管理網域的成 員。一部在 transparent 模式下的交換器可以增加、修改或刪除

(56)

VLAN,但不會把這些改變傳送給同網域中的其他交換器,也就是說, 它僅會影響位於本端的交換器。

當在交換器上設定 VTP 時,選擇正確的模式是相當重要的。由於 VTP 是相當強的工具,它可以覆蓋掉某些交換上 VLAN 設定,進而導 致其他的問題發生。在想要建立、改變或刪除 VLAN 的交換器上,應 採用 sever 模式,以便它把資訊傳給其他為 sever 或 client 模式的 交換器;client 模式則可以設定在加入 VTP 網域的交換器上,以避 免可能的 VLAN 設定覆蓋。而 transparent 模式則應用於那些一方面 要轉送來自其他交換器的 VTP 傳播,一方面要保留獨自管理內部 VLAN 設定的交換器。

2.5 存取控制清單

存取控制清單(Access Control List, ACL)是使用在路由器介面 的指令清單用來告訴路由器哪些種類的封包可以接受,哪些種類的封 包要拒絕。接受或拒絕是基於某種特定的條件而定,像是來源位址、 目的地位址、與連接埠編號。借由將 ACL 指定到路由器介面上,我們 可以掃描資料交通,過濾出特殊的封包,以管理流量。任何經過介面 的流量都會由 ACL 所包含的特定條件來測試。 所有可被繞送的協定,例如網際網路協定(IP)和互聯網路封包交

(57)

換(IPX)都可以建立 ACL 來過濾經過路由器的封包,以控制網路或子 網路的存取作業,路由器會基於 ACL 所指定的條件來檢查每個封包, 以決定是否要推送或丟棄。ACL 增加了過濾進出路由器介面封包的彈 性,因此可以當作是一種網路控制的工具。 ACL 必須為不同的可被繞送協定分別定義。換句話說,如果想要 控制某個介面上的流量,就必須為該介面上所啟動的每個可被繞送協 定定義一個 ACL。舉例來說,如果路由器介面上有 IP、AppleTalk、 與 IPX 三種可被繞送協定,為其中一種所定的 ACL 無法使用在另外兩 種協定身上。在不同的介面上,也須分別指定 ACL,只定義 ACL 控制 條件而沒偶指派給連接見面使用是無效的。 要設定 ACL 的理由有很多。舉例來說,ACL 可以用來: (1)決定在路由器介面中,哪些類型的流量要推送或阻止。 (2)限制網路流量並提昇網路效能 (3)提供流量控制 (4)提供網路存取基本層次的安全 敘述 ACL 條件的順序是很重要的。當路由器在決定是要推送或 阻止封包時,互連網路作業系統(IOS)會依敘述建立的順序,對封 包依序進行條件敘述的測試,當找到相符的條件時,就不會再去檢 查其他的條件敘述了。不過,若是所有的 ACL 敘述都不相符,就是

(58)

暗示要採用 deny any 的敘述,這表示雖然在 ACL 的最後一行沒有 寫明 deny any,但是路由器會把它補上去。其流程如圖 2-21 所示。 圖 2-21 ACL 敘述控制流程 雖然每個協定都有自己要過濾流量時所需的一套特定的工作規 則,但一般而言,多數的協定都需要兩個基本的步驟。第一個步驟 是定義 ACL 條件敘述,第二個步驟則是將 ACL 放置於要執行的介面 上。實際上,ACL 指令可以是很長的字元字串。建立 ACL 包含下列 幾項的關鍵工作: (1)在全域組態模式下建立 ACL 條件敘述。 要小心地選擇檢查條件且要有邏輯地排列條件敘述 ACL:先指 出被允許的條件,而拒絕其他所有的條件;或者先指出被拒絕的項

(59)

目,而允許其他所有的情況;在實用上會有很大的不同結果。撇開 ACL 正確性的問題不談,假設先講拒絕敘述或先寫允許敘述都是正 確的,但是處理 ACL 的先後順序會影響到路由器的延遲時間,應該 把最有可能發生的情況放在最前面,而把最不常遇到的條件敘述放 在最後面,尤其在敘述的前後次序攸關整個 ACL 的正確與否,更是 不可不慎! 除了正確性之外,一般常飯的毛病是在前面的敘述當中 已經包含在內的條件,又寫成後面敘述的條件,造成後面的這個敘 述永遠不可能被執行,是多餘的敘述。 (2)為每一組 ACL 敘述指定一個唯一的號碼。

ACL 號碼為數字 1 到 99 時,代表 IP 協定的標準式 ACL 敘述;ACL 數 字為數字 100 到 199 時,代表 IP 協定的延伸式 ACL 敘述。對於各種 類型,請參考表 2-1。

(60)

種類 號碼 標準式 IP 1-99 延伸式 IP 100-199 Apple Talk 600-699 標準式 IPX 800-899 延伸式 IPX 900-999 IPX 廣告服務協定(SAP) 1000-1099 表 2-1 ACL 種類與號碼對應表 (3)在介面組態模式下放置 ACL 條件敘述。 建立完成一個編號的 ACL 之後,必須將它指定給要使用它的介 面,可以將 ACL 指派給一個或一個以上的介面,並且選擇過濾由外 向內(in)的交通流量,或是由內向外(out)的交通流量。由內向外 的 ACL 一般會比由外向內的 ACL 有效率,因此較常被使用。 如果想要變更一個編號的 ACL 敘述,需要先利用下面的指令刪 除這個 ACL 的所有敘述: no access-list 號碼 再重新寫過。假如要修改的只是 ACL 敘述中的某一行,建議先 在一般電腦上改好了,再用 tftp 傳到路由器,或利用主控台或終

(61)

端機連線的方式貼入到路由器的組態當中。

圖 2-22 ACL 步驟與指令語法 萬用遮罩

在還沒開始寫 ACL 敘述之前,有必要先介紹萬用遮罩(Wildcard Mask),因為在寫 ACL 敘述句的時候需要使用到它。這個詞是 ACL 遮 罩位元比對程序的暱稱,觀念來自於類似撲克牌遊戲中可與任何牌 比對的丑角牌。是 ACL 位元敘述中用來比對 IP 位元,以決定單一 IP 位址適用於該行允許或拒絕的流量控制指令。萬用字元和子網路 遮罩有異曲同工之妙,它們都是定義網段的大小範圍,不過,它們 的運作方式差異很大。

(62)

每個位元組含有 8 個位元。在子網路遮罩中的位元值 1 與 0 決定相 對應 IP 位址的網路、子網路與主機的部分。和子網路遮罩一樣,萬 用遮罩與 IP 位址也是成對使用的,而萬用遮罩中的位元值 1 和 0 是 用來決定如何處理相對應的 IP 位址位元。其中,位元 0 表示”要檢 查相對應的位元值”,而 1 代表”不要檢查(忽略)相對應的位元 值”。以圖 2-23 為範例來說明: 圖 2-23 萬用遮罩範例 利用十進位來表示二進位的萬用遮罩位元是件麻煩的事。對於 最常用到的萬用遮罩,可以使用縮寫來代替。這些縮寫能減少設定 位址檢查條件時的輸入工作。舉例來說,比如想要指定任何目的地 位址,在 ACL 敘述中都將被允許,則為了要表示是任何 IP 位址, 我們用 0.0.0.0 代表(就像是預設網路位址一樣);接著,為了要表

(63)

的萬用遮罩位元全都要為 1,也就是十進位的 255.255.255.255。我 們 可 以 在 ACL 敘 述 中 使 用 ”any” 這 個 字 來 代 替 ”0.0.0.0 255.255.255.255”,不但少寫很多字,看起來也比較清楚。

舉例來說,

Router(config)# access-list 1 permit 0.0.0.0 255.255.255.255

可以使用下面指令代替:

Router(config)# access-list 1 permit any

第二種在萬用遮罩中使用縮寫常見的情況,是當要比對整個 IP 位址的每個位元時,可以用”host”這個關鍵字來代替萬用遮 罩”0.0.0.0”。舉例來說,想要在 ACL 敘述中要拒絕某特定 IP 主 機位址 140.134.100.200 時,下列兩種寫法效果是一樣的: Router(config)#access-list 1 deny 140.134.100.200 0.0.0.0

Router(config)#access-list 1 deny host 140.134.100.200 標準式 ACL

標準式 ACL 會檢查可被繞送封包的來源位址,使用標準 ACL 可 以檔掉或允許來自某些網路的所有流量。舉例來說,標準 ACL,會 對於進入 Ethernet 0 的封包進行來源位址與協定的檢查。如果封

(64)

包被允許,就會被轉送出去;如果被拒絕,封包就會被丟棄。因為 是使用來源位址來檢查,所以標準是 ACL 必須盡量放置在靠近目的 端的路由器上。 如同之前所提過的,access-list 這個指令用於全域組態模 式,只要選用號碼為 1 到 99 之間,就可以定義標準式的 ACL。指令 的完整語法為:

access-list 號碼 {deny|permit}來源位址 萬用遮罩 [log] 其中,最後面的 log 是選用參數,可以不寫。如果寫了,系統 在有第一個與 ACL 條件敘述相符的封包出現時開始產生訊息,然後 每五分鐘產生一次,訊息內容包括每個五分鐘間隔時間內允許與拒 絕的封包數目。 設定好 ACL 之後,則到某個介面使用 ip access-group 這個指 令將寫好的 ACL 敘述放置於介面之中。每個連接埠的某個方向上, 只能有一個 ACL。意思是說,在某個介面上(比方說是 Ethernet 0), 流向某個方向(比方是由內向外)最多可以放置一個 ACL。完整的指 令格式為: ip access-group 號碼 {in|out} 如果要從介面中移除 ACL,指令的語法如下: no ip access-group 編號 {in|out}

(65)

延伸式 ACL 延伸式 ACL 是較進階的控制形式,利用較具彈性的方式控制封 包。延伸式 ACL 可以根據封包的來源或目的地位址以及流量類型(例 如 FTP、Telnet、HTTP 等)來過濾封包,允許或拒絕通行,因此延 伸式 ACL 可以放在接近來源的路由器上,可以有助於減少網路的流 量。

延伸式 ACL 是最常用的 ACL,因為比起標準式的 ACL,它提供了 更方便的控制處理。當我們想許可網頁流量,但拒絕檔案傳輸協定 (FTP)或來自非公司網路的 telnet 流量時,可以使用延伸式 ACL 來 控制。延伸式 ACL 會同時檢查來源與目的地的封包位址,也會針對 特定的協定、連接埠編號和其他參數進行檢查。舉例來說,延伸式 ACL 可以允許電子郵件流量(服務埠編號為 25),同時拒絕遠端的登 入(服務埠編號為 23)或檔案傳輸(服務埠編號為 21)。 TCP/IP 服務埠編號 0~255 是眾所皆知的(well-known)服務埠編 號:256~1023 保留給企業註冊的服務使用,1024~65535 可以任意使 用。

(66)

表 2-2 常見的保留埠編號表 根據延伸式 ACL 的檢查條件,被允許的封包將繼續傳遞下去, 被拒絕的封包會被丟棄。如果 ACL 的執行結果是拒絕通行的話,那 麼路由器的 ACL 就像提供了防火牆,控制介面上的交通狀況。當封 包被丟棄之後,有些協定會回傳一個訊息給封包發送者,告知目的 地無法到達。 延伸式 ACL 使用 100 到 199 之間的數字作為控制敘述的號碼, 其完整的格式為: access-list 號碼{permit|deny} 協定種類 來源位址 來源遮 罩目的地位址 目的地遮罩 邏輯運算子 服務埠編號

(67)

指令參數 說明 號碼 100 到 199 之間的數字,用來識別 ACL 敘 述 permit | deny 允許或阻擋流通 協定種類 如 IP、TCP、UDP、ICMP、IGRP、OSPF... 來源位址 封包發源地 來源遮罩 配合來源位址的萬用遮罩,決定其範圍 目的地位址 允許或阻擋的標的網路或標的主機位址 目的地遮罩 配合目的地位址的萬用遮罩,決定其範圍 邏輯運算子 大於(gt)、等於(eq)、小於(lt)、不等於 (neq) 服務埠編號 0~65535 表 2-3 延伸式 ACL 參數說明表 最後一樣是使用 ip access-group 指令將寫好的 ACL 敘述放置 於介面之中。如前面標準式 ACL 所提到的,每個介面的每個方向最 多只能有一個同類型的 ACL。

(68)

第三章 路由器簡介與基本設定

路由器設置在主機房,一般的場合不易與它接觸,因此許多人總 以為路由器是很難的東西,總覺得設定路由器是一件遙不可及的工 作。事實上,路由器的設定不難,這項經驗對於網路的學習能達到倍 增的效果。

3.1 簡介

首先針對路由器的硬體外觀、介面與記憶體架構進行了解,再逐 步對整個路由器系統進行連線、設定與統合的工作。

3.1.1 外部介面

在對路由器執行設定前,首先對路由器的硬體架構進行了解。以 cisco2501 路由器為例作說明,圖 3-1 與圖 3-2 分別是路由器正面與 背面的外觀,正面有 Cisco 的商標與機器標號;背板部分,除了 Power、ON/OFF Switch 之外,還包含許多主要的連接埠,這些連接 埠包含用來與廣域網路連接的 WAN Port(Serial 0、Serial 1)、用 來與區域網路接的 LAN Port(Ethernet 0、Ethernet 1 或 AUI 0、 AUI 1)、用來直接控制連線的 Console 埠,以及用來進行端控制的 AUX 埠。

(69)

圖 3-1 路由器正面

(70)

(1)WAN Port(Serial 0、Serial 1): 由與廣域連線訊號以序列方式進行傳輸,因此用來連接廣域網 路的連接埠稱為 Serial 埠。連接頭型式各廠商的規格不同,Cisco 的 WAN 埠的連接面採用 60 個接腳的 DB-60 連接頭,由此連接頭進行 跳線成 V.35 介面與廣域網路數據機或其他路由器相連接。連接纜線 如圖 3-3、圖 3-4 所示,纜線因路由器提供的功能不同有所區別,一 般而言,路由器提供執行 DTE(Data terminal equipment)數據終 端設備工作,採用圖 3-3 具有公連接頭的纜線進行連線,如果路由器 執行 DCE(Data communication equipment)數據通訊設備功能時, 纜線採用圖 3-4 具有母連接頭的纜線進行連線。

(71)

圖 3-4 路由器 WAN Port 連接纜線(母連接頭) (2)LAN Port(Ethernet 0、Ethernet 1):

此連接埠為路由器與區域網路連線的部分,連線的區域網路以 乙太網路居多,因此連接的連接頭介面可以直接以 RJ-45 接頭型式呈 現,有時採用早期乙太網路的 AUI 標準接頭,此接頭有 15 個接頭, 也是 DB-15 的標準介面。如果路由器採用 AUI 連接頭,而區域網路介 面採用 RJ-45 接頭,那必須透過圖 3-5 的收發器(Transceiver)將 DB-15 接頭型式轉換成 RJ-45 接頭型式,方便區域網路進行連線。

(72)

圖 3-5 RJ-45 與 AUI 轉換的收發器 (3)Console Port: 連接頭型式為 RJ-45,主要在路由器與設定工作者的電腦間建 立連線,讓使用者可以登入到路由器中,進行各項的設定工作,這是 設定路由器時最常被採用的方式之一。 (4)輔助埠(Auxiliary Port): 連接頭型式與 Console Port 相同,接為 RJ-45 連接埠,提供另 一種登入路由器進行設定的方式。使用者在遠端透過數據機登入到路 由器進行設定。

(73)

3.1.2 作業系統

路由器的運作除了有中央處理器之外,也必須有記憶體及周邊元 件的搭配,而整個系統的運作也必須有作業系統做為配備間的溝通橋 樑,Cisco 路由設備所使用的作業系統稱之為 IOS(Internetwork Operating system),系統依發展的先後次序,有各種不同的版本。 近年來以 10.3、11.x 與 12.0 等作業系統版本較為常見,不同的版本 其指令名稱、可用指令數量或可提供的功能等均有些微的差異,新型 的路由器作業系統都以 12.0 以上版本為主。IOS 可存放在路由器記 憶體的快閃唯讀記憶體(Flash Rom)內,也可直接燒錄在唯讀記憶 體(ROM)晶片上。 任何作業系統的運作都需要有其組態設定方式,IOS 當然也不例 外,這些的組態設定儲存在一個檔案內,紀錄 IOS 版本、路由器識別 資料、啟動檔位置、通訊協定資訊與介面組態等等。路由器的組態設 定 檔 有 兩 個 , 一 個 是 隨 時 可 更 動 的 運 行 組 態 設 定 ( Running Configuration),另一個則是不可隨意更動的啟動組態設定(Startup Configuration)。 運行組態設定放置在路由器的動態隨機存取記憶體(DRAM, Dynamic Random Access Memory)中,紀錄路由器目前正在執行的組 態設定資料,可隨時修改並加以執行,臨時性或測試性組態可運用這

(74)

個設定架構來運作。至於啟動組態則紀錄路由器開機時的組態情形, 除非有特殊情況,啟動組態設定不隨意更改;這項紀錄資料儲存在路 由器 NVRAM(Non-Volatile Random Access Memory,非揮發式隨機 存取記體)中。

3.1.3 記憶體架構

路由器的運作需要有許多的記憶體元件進行配合,依功能與設定 狀況的不同,路由器記憶體大致區分為以下四類:ROM(Read only memory , 唯 讀 記 憶 體 )、 Flash ROM ( 快 閃 唯 讀 記 憶 體 )、 NVRAM (Non-Volatile Random Access Memory,非揮發式隨機存取記憶體) 以及 DRAM(Dynamic Random Access Memory,動態隨機存取記憶體)。 各項記憶體各有其用途,敘述如下:

(1)ROM(唯讀記憶體):

ROM 中 存 放 的 資 料 有 路 由 器 啟 動 診 斷 程 式 ( Power on Diagnostics)、Bootstrap 程式以及 IOS 作業系統等資料。路由器啟 動時,會先進入自我測試程序(Power Up Self Test),檢查 CPU、 記憶體以及介面連接埠的運作是否正常。待一切運作正常後,路由器 會從 ROM 中載入 Bootstrap Loader,Bootstrap 是一段小程式,用以 將指令載入記憶體中,最後才是載入 IOS 作業系統。

(75)

(2)Flash ROM(快閃唯讀記憶體):

ROM 是唯讀的,資料一但被燒錄到 ROM 之後,變無法更改。也 就是 ROM 內部的資料只可以被規劃一次,Flash ROM 則沒有這一項的 缺點,可以重新燒錄新的資料到 ROM 中,即使電源關閉時依然可以保 存更新的資料,通常用來存放路由器 IOS 作業系統。 (3)NVRAM(非揮發式隨機存取記憶體): NVRAM 主要用來儲存路由器啟動組態設定的地方,除非經過修 改儲存,NVRAM 內部的資料再路由器電源關閉或重新啟動時不會遺 失,因此 NVRAM 儲存的啟動組態設定資料常會被當成路由器組態設定 的備份。至於運行組態設定資料則儲存在一般性的 DRAM 中。 (4)DRAM(動態隨機存取記憶體): DRAM 除了用來儲存運行組態設定資料之外,也用在路由器執行 命令時的暫存區,路由尋找路徑時路由表(Routing Table)也是用 這區域的記憶體進行儲存。DRAM 必須隨時有電力提供才能儲存其內 部資料,因此當路由器關機或是重新啟動時,保留在 DRAM 記憶體內 部的資料會隨著電源的關閉而消失,這種形式的記憶體由於資料無法 永久保存,所以一般成為揮發性記憶體。

(76)

3.2 設定連線

連線以一般的個人電腦運用既有的 hyper term 連線軟體以 Com1 埠或 Com2 埠進行連線溝通,在電腦這一端必須有一個 Com 埠與 RJ-45 的轉接頭,以切換連線介面。至於連接纜線的製作,與 Cisco 路由器 設定埠相連接的纜線配線必須採用 Rollover 傳輸線,這種連線配置 將所有接腳反向進行連線。以下針對連線操作步驟,進行詳細的說明: (1) 以雙絞線連接電腦的 Com port 與路由器 Console port 間的纜

線,連接線採用 Rollover 方式配置。

(2)執行 Hyper term.exe 程式。執行後出現圖 3-6 的開啟畫面。

數據

圖 2-4 可被繞送與路由協定之比較  路由協定類別共有三種:距離向量(Distance Vector),鏈結狀態 (Link State),以及平衡混合式(Hybrid)。  距離向量(Distance Vector)  以距離向量為主的路徑選擇演算法會在路由器之間定期的傳送 路由表,各路由器由鄰近路由器接收路由表。這種處理不斷在接相鄰 的路由器之間進行,最後演算法取得累積的網路距離來維護網路拓樸 資訊的資料庫。但距離向量演算法無法讓路由器確實得知整個網路的 拓樸型態。屬於距離向量路由協定有 RIP、RI
圖 2-5 距離向量網路探索  鏈結狀態(Link State)
圖 2-8 路由迴圈問題
圖 2-20 動態 VLAN  交換器間的連線  交換器是 VLAN 通訊核心元件的其中一個。根據網路管理員所定 義的 VLAN 權值,每個交換器都有智慧去製作過濾與傳送訊框的決 策。交換器也可以將這個訊息與網路中其他交換器與路由器做通訊。  將使用者邏輯群組化到別的 VLAN 最普遍的方式是訊框過濾與 訊框識別 (訊框標籤)。這二個技術在交換器接收與轉送時會尋找訊 框。根據由管理員定義的規則設定,這些技術會決定訊框要傳送、過 濾或廣播到哪裡。這些控制機制可以被集中管理 (利用網路管理軟體)  並且可以輕易
+7

參考文獻

相關文件

Z 指令 ping 為重要的使用 ICMP 封包的指令. Z 若設定防火牆,並非所有的 ICMP

單晶片電路接受到 A/D 轉換器的信號後,即將此數位信號由顥示器 顯示。此時單晶片 IC 並將此一 A/D 轉換器與指撥設定開關做比較,A/D 轉換器的信號高於設定值時,即由 OUT CONTROL

而使影像設計工具在操作時呈現非預設的結果。為此操作者可以利用重設 Photoshop 軟體

7S 強化並且複習英國國定數學能力指標 level 4 的內容、主要學習 level 5 的內 容、先備一些 level 6 的延伸內容。. 8S 完成並且深化 level

若我們能知道有 k 個 row 的矩陣一 定能利用 elementary row operations 化為 echelon form 這個事實且利用這個事實證得有 k + 1 個 row 的矩陣一定能利用 elementary row

™ 經由 PPP 取得網路IP、Gateway與DNS 等 設定後,並更動 Routing Table,將Default Gateway 設為由 PPP取得的 Gateway

由是觀之,我認為兩篇的抒情 手法並不相似。首先〈蒹葭〉用了 借景抒情的手法,情景交融。作者

 for…迴圈自初值開始判斷 <條件判斷> 是否為 true,若為 true 則執行 for 迴圈內的敘述,並依 <增量值>,每次增 加 (或減少) 指定的增量值,直至 <條件判斷>