1. 網路互連的觀念:網路相關硬體的功能及作用(例如Hub , Switch , Router , Gateway..)網路通訊協定的作用,什麼是廣域網路,什麼是區域網路等等網路基本觀念

(一)     區域網路(Local Area Network 簡稱LAN):距離在數哩內單一建築物或校園內私人所擁有的網路。廣泛的使用於連結辦公室和工廠內個人電腦以及工作站,使上網者能夠共享資源及交換資訊。

(二)     廣域網路(Wide Area Network 簡稱WAN):跨越較大的地理區域,通常是一個城市或國家。

(三)     集線器(Hub):用來連接兩個以上網路裝置的設備,集線器能將信號再生並重新傳送給連接的裝置。

(四)     交換式集線器(Switch Hub):交換式集線器一般通常用來將伺服器及集線器連結至骨幹網路上,交換式集線器最大的好處就是與它通訊過的設備它都會紀錄該設備的MAC位址,並存放在內部的查詢表當中,待下次再次通訊時,封包便會依目的地位址和位址表進行比對,直接送到單一之埠上,能夠避免在一般Hub上以廣播方式傳送所造成的碰撞。

(五)     路由器(Router):路由器是將多個網路連在一起的裝置,一般是用來連接區域網路與廣域網路。

   

2. IP 定址:

     IP Address 為四個八位元組的數字組成,中間以.作分隔,其結構如下:

     XXXXXXXX.XXXXXXXX.XXXXXXXX.XXXXXXXX

IP系統中,網路可分為三個等級:

(一)     A級:第一個位元為0 à 0XXXXXXX.XXXXXXXX.XXXXXXXX.XXXXXXXX

第一個位元組為 1~126

第一個位元組為網路位址,其餘為主機位址

EX : 100.10.10.10

(二)      B級:前兩個位元為10 à 10XXXXXX.XXXXXXXX.XXXXXXXX.XXXXXXXX

第一個位元組為 128 ~191

前兩個位元組為網路位址,其餘為主機位址

EX : 171.31.0.166

() C級:前三個位元組為110à 110XXXXX.XXXXXXXX.XXXXXXXX.XXXXXXXX

第一個位元組為 192 ~223

前三個位元組為網路位址,其餘為主機位址

EX : 192.168.23.23

3. 子網路切割:子網路切割是將A,B,C級網路分割成更多可利用的區段,以因應網路的規模和結構,例如將B級網路切割成C及網路。

4. 子網路遮罩:主要用途是用來辨別出IP ADDRESS哪些部分屬於網路,哪些部分屬於主機,進而判斷目的IP位址是否屬於同一個區段的網路。

5.其他特別的IP位址:

()繞回(loopback)位址:RFCs保留整個127.0.0.0/8 A級網路不得使用,並以127.0.0.1用來測試localhost的測試。

() 0.0.0.0 :某些路由設定將此位址當成預設路由之位址。

() 255.255.255.255:區域網路之廣播位址。

5. OSI七層架構及TCP/IP四層架構:

 

 

1. 路由器的記憶體裝置包含四個部分:

l         ROM  存放開機自我測試POST所需的程式碼,以確定重要的系統硬體是否能正常運作

l         Flash  快閃記憶體是一種可覆寫的記憶體,可以重複寫入資料,路由器用它來存放IOS映像檔,IOS映像檔即是路由器的作業系統程式碼,當路由器關機後,快閃記憶體的內容依然保持不變。

l         RAM  PCRAM一樣,路由器每次關機或重新開機後,RAM中的資料就會全部清除就 邏輯上來區分,RAM可以分為兩個區段:主要記憶體及共享記憶體。主要記憶體含有CISCO IOS的執行碼,這是在啟動時從快閃記憶體載入的;它同時包含組態檔的資料,也是在啟動時從NVRAM中載入的,此外還存有Routing TableARP Table共享記憶體是用來當作緩衝區的,暫時存放等待處理的封包。RAM儲存裝置比其他的儲存裝置都還要快。

l         NVRAM  NVRAMRAM的一種,當路由器關機或重新開機後,內容依然保持不變,路由器用NVRAM來存放組態檔。

 

2. 路由器的存取方式:

l           Local Access  利用Console Port (Windows 的超級終端機)

l           Remote Access 利用AUX Port

   

l           Network Access 利用Telnet 方式

 

 

 

 

 

3. 路由器的啟動程序:

 

 

 

4. 各類存取模式:

l   使用者模式 (User Exec Mode)

路由器登入密碼後,即進入使用者Exec模式,這個模式提供一定權限的存取,例如Telnet 連接遠端設備,ping的測試等..大部分是檢視和測試之功能,命令列是以(“ > “)結尾。

User Access Verification

 

Password:

rhq-A>

l   特權模式 (Privilege Exec Mode)

特權模式可以監視設備,檢視介面狀態,執行除錯,有時亦稱為Enable Mode,要進入特權模式必須要有enable 的密碼, 命令列是以(“ # “)結尾,在這個模式下所有的IOS命令皆可使用。

rhq-A>enable

Password:

rhq-A#

l   整體設定模式 (Global Configuration Mode)

想要改變路由器的設定狀態必須進入設定之模式(Configuration Mode),使用configure terminal 命令進入設定模式。這個模式下所作的設定將作用在整個系統上。

rhq-A#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

rhq-A(config)# ^Z(or exit)

rhq-A#

l   介面設定模式 (Interface Configuration Mode)

因為很多的功能必須在每個單一的介面上作個別設定而非在整個系統上,所以當設定只適用於某介面時必須進入介面設定模式,例如某一介面IP 位址之設定;可以鍵入exit 回到整體設定模式,Ctrl + Z 完全離開設定模式,回到特權模式。

rhq-A(config)# rhq-A(config)#interface fastEthernet 0/0

rhq-A(config-if)#exit

rhq-A(config)#

 

5. 各類密碼:

l           Console  password

直接由Console Port進入路由器可設定 Console Port Password,設定方法如下:

rhq-A(config)#line con 0

rhq-A(config)#login

rhq-A(config-line)#password XXXXX

 

l           AUX  password

    透過AUX Port (通常經由數據機連接) 可設定 AUX  Port Password,設定方法如下:

rhq-Ar#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

rhq-A (config)#line aux 0

rhq-A(config-line)#modem InOut

rhq-A(config-line)#transport input all

rhq-A(config-line)#autohangup

rhq-A(config-line)#login

rhq-A(config-line)#password XXXXX

l           vty(Telnet)  password

       使用telnet 連接路由器需設定虛擬終端機密碼,每台路由器可同時提供0~4共五個connect,如果沒有設定虛擬終端機密碼,就無法透過telnet來連接路由器,設定方法如下:

rhq-A(config)#line vty 0 4

rhq-A(config-line)#login

rhq-A(config-line)#password XXXXX

l           enable secret

    進入特權模式需要enable secret,這個密碼只有在IOS 10.3 或以上的版本才有,而且比enable password 擁有更高之優先權,enable secret enable password 使用更好的加密演算法。設定方法:

rhq-A(config)#enable secret XXXXX

l           enable password

    enable password enable secret 的目的是一樣的,但他使用於未提供enable secret 之老舊版本IOS上之路由器, 設定方法:

rhq-A(config)#enable password XXXXX

 

 

 

 

 

 

 

 

 

 

 

 

1. IOS 介面使用:

所謂的IOS(Inetrnetwork Operating System)即是Cisco 的專屬作業系統。前面的章節已經知道如何登入一台路由器,接下來我們將學習如何利用IOS來控制一台路由器:

進入使用者模式後,要知道有哪些指令可以使用,可以下「?」來檢視。接下來要進入特權模式請輸入enable 再輸入password ,在特權模式下,一樣可以使用「?」來檢視有哪些指令可以使用。大部分的命令都需額外的關鍵字及參數,所以可以一直使用「?」一層一層往下探索可能需要的關鍵字或參數;如果選項中包含<cr>,表示命令列不需要再加入任何參數或關鍵字,直接按Enter 即可執行該命令。如果選項中只有<cr>,表示命令已經完成, 直接按Enter 即可執行。例如:

*仍需輸入參數或關鍵字

rhq-A(config)#router ?

  bgp                  Border Gateway Protocol (BGP)

  egp                  Exterior Gateway Protocol (EGP)

  eigrp                Enhanced Interior Gateway Routing Protocol (EIGRP)

  igrp                 Interior Gateway Routing Protocol (IGRP)

  isis                 ISO IS-IS

  iso-igrp             IGRP for OSI networks

  mobile               Mobile routes

*不需輸入參數或關鍵字(命令已完整)

rhq-A(config)#router eigrp 100 ?

  <cr>

使用「?」時的輔助功能要特別注意:有沒有空白是非常重要的,看看下例:

*有空格

rhq-A#conf  ?

  memory          Configure from NV memory

  network          Configure from a TFTP network host

  overwrite-network  Overwrite NV memory from TFTP network host

  terminal          Configure from the terminal

  <cr>

*沒有空格

rhq-A#conf?

configure

rhq-A#con?

configure  connect

rhq-A#c?

cd    clear  clock  configure  connect

copy

如果問號之前沒有空格,IOS會顯示該命令的完整字串,或者列出以該字串開頭的所有命令。

輸入命令時,只要輸入得字串長到足以辨識就可以了。例如 conf configure 是一樣的,但是  con 就不行了,因為以con開頭的命令不只一個。我們也可以用Tab 鍵讓IOS自動完成命令,只要輸入的字串足夠辨識唯一的命令。

 

編輯功能介紹:有一組命令可方便在命令列間移動,很多IOS命令列很長,這時能快速在命令列間移動將非常方便。

Ctrl+B (or左鍵)

往前移動一個字元

Ctrl+F (or右鍵)

往後移動一個字元

Ctrl+A

移動到命令列的開頭

Ctrl+E

移動到命令列的結尾

Esc+F

往後移動一整個字

Esc+B

往前移動一整個字

 

Ctrl+P(or上鍵)

重叫上一個命令

Ctrl+N(or下鍵)

叫下一個命令

Router>show history

叫出歷史命令

Router>terminal history size <lines>

設定歷史命令大小(Default 10)

 

2. setup命令:

CISCO 提供一套路由器組裝命令的工具,稱為系統組態對話工具(System Configuration Dialog)來協助設定初始的組態。透過這個程式,系統會判斷有哪些介面,並引導使用者進行每一個組態的設定,路由器第一次啟動時這個命令工具會自動出現。直接在命令列下setup也可以進入對話設定。

3. show 命令:

show 命令是顯示關於路由器狀態資料及組態的資訊。這個命令無法進行任何改變,只提供顯示資訊之用。

   常用的幾個檢查命令:

  show version (關於路由器版本資訊及一些相關資訊)

TestRouter#show version

Cisco Internetwork Operating System Software

IOS (tm) 2500 Software (C2500-I-L), Version 11.2(5)P, SHARED PLATFORM, RELEASE S

OFTWARE (fc1)

Copyright (c) 1986-1997 by cisco Systems, Inc.

Compiled Mon 07-Apr-97 11:52 by tej

Image text-base: 0x030229F8, data-base: 0x00001000

 

ROM: System Bootstrap, Version 11.0(10c), SOFTWARE

ROM: 3000 Bootstrap Software (IGS-BOOT-R), Version 11.0(10c), RELEASE SOFTWARE (

fc1)

 

TestRouter uptime is 7 hours, 5 minutes

System restarted by power-on

System image file is "flash:80135405.bin", booted via flash

 

cisco 2500 (68030) processor (revision N) with 2048K/2048K bytes of memory.

Processor board ID 06248036, with hardware revision 00000001

Bridging software.

X.25 software, Version 2.0, NET2, BFE and GOSIP compliant.

Basic Rate ISDN software, Version 1.0.

1 Ethernet/IEEE 802.3 interface(s)

2 Serial network interface(s)

1 ISDN Basic Rate interface(s)

32K bytes of non-volatile configuration memory.

8192K bytes of processor board System flash (Read ONLY)

 

Configuration register is 0x210

 

show configuration(關於路由器之組態)

rhq-A#show configuration

Using 9752 out of 129016 bytes

!

version 12.0

service timestamps debug datetime localtime

service timestamps log datetime localtime

service password-encryption

!

hostname rhq-A

!

boot system flash

boot system flash c3660-i-mz_120-7_XK.bin

logging buffered 10000 debugging

enable secret 5 $1$GtXv$C8VYNvsnEoakBuY.JNa2./

!

ip subnet-zero

ip cef

no ip domain-lookup

!

isdn switch-type basic-net3

interface FastEthernet0/0

 ip address 132.32.160.10 255.255.255.0

 no ip directed-broadcast

 no ip mroute-cache

 no keepalive

 speed 100

 full-duplex

!

interface FastEthernet0/0.1

 no ip directed-broadcast

--more—

line vty 0 4

 

 

 

 

show interface [介面名稱]  (秀出介面之狀態)

FastEthernet0/0 is up, line protocol is up

  Hardware is AmdFE, address is 0030.9433.ea80 (bia 0030.9433.ea80)

  Internet address is 132.32.160.10/24

  MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,

     reliability 255/255, txload 1/255, rxload 1/255

  Encapsulation ARPA, loopback not set

  Keepalive not set

  Full-duplex, 100Mb/s, 100BaseTX/FX

  ARP type: ARPA, ARP Timeout 04:00:00

  Last input 00:00:00, output 00:00:00, output hang never

  Last clearing of "show interface" counters never

  Queueing strategy: fifo

  Output queue 0/40, 0 drops; input queue 0/75, 0 drops

  5 minute input rate 58000 bits/sec, 47 packets/sec

  5 minute output rate 73000 bits/sec, 60 packets/sec

     80470537 packets input, 4001244452 bytes

     Received 14444917 broadcasts, 0 runts, 0 giants, 0 throttles

     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored

     0 watchdog, 0 multicast

     0 input packets with dribble condition detected

     88313153 packets output, 1563066721 bytes, 0 underruns

     0 output errors, 0 collisions, 5 interface resets

     0 babbles, 0 late collision, 0 deferred

     0 lost carrier, 0 no carrier

     0 output buffer failures, 0 output buffers swapped out

--more--

 

show ip route (檢視路由資訊) ※後面章節會詳加介紹

ADSL#sh ip route

Gateway of last resort is 132.32.160.3 to network 0.0.0.0

     192.168.106.0/24 is variably subnetted, 3 subnets, 2 masks

D       192.168.106.2/32 [90/83607040] via 132.32.160.1, 4w0d, FastEthernet0/0

                         [90/83607040] via 192.168.200.1, 4w0d, FastEthernet0/1

D       192.168.106.0/24 [90/83607040] via 132.32.160.1, 2w0d, FastEthernet0/0

                         [90/83607040] via 192.168.200.1, 2w0d, FastEthernet0/1

 

4. 關於組態的命令:

辨別show startup-config show running-config

startup config (啟動組態)

  啟動組態儲存於NVRAM,開機時載入,之後所作的任何設定,路由器都不會儲存至此。

running config (運行組態)

  運行組態包含設備當時用來作完整的路徑繞送決定所需要的所有資訊。這些資訊目前正處於運行的狀態,只要設備處於開機狀態,這個資訊就一直留在RAM,要看目前的運行組態就用 show running-config;如果開機後都沒有變更過任何的設定,那麼此時running-configstartup-config是一樣的,一旦做了組態的修改,只要按下Enter鍵的那一剎那,修改的設定馬上開始作用,但這些修改只有在目前的運作中生效,一旦關機或重開過後,這些設定就會消失。所以當確定更改設定無誤後要將running-config 儲存至 startup config

儲存組態的異動

  當我們做了修改 running-config 馬上發生作用,IOS會根據這些異動來運作。但如果希望這些異動在關機之後還有效,就必須要作儲存的動作:

*第一種方法

ADSL#copy running-config startup-config

Destination filename [startup-config]?

Building configuration...

[OK]

*第二種方法

ADSL#write memory

Building configuration...

[OK]

 組態檔的備份

   我們可將config儲存至TFTP Server上作備份,亦可由TFTP Server上將config load至路由器上,方法如下:

*將config儲存至TFTP Server

ADSL#copy running-config tftp

Address or name of remote host []? 132.32.160.66

Destination filename [adsl-confg]?

!!

1624 bytes copied in 0.580 secs

*從TFTP Serverconfig load Router

ADSL#copy tftp running-config

Address or name of remote host []? 132.32.160.66

Source filename []? adsl-confg

Destination filename [running-config]? y

1. Configuration LAN PORT

進入privililedge mode

進入該介面

設定IP Address

設定(速率及全/半雙工)

檢查您的設定(show running-config or show interface)

TestRouter#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

TestRouter(config)#int e0

TestRouter(config-if)#ip address 132.32.160.86 255.255.255.0

TestRouter(config-if)#duplex (half/full)

TestRouter(config-if)#speed (10/100)

 

2. WAN的封裝協定:

每一種廣域連線的形式,都有一種將資料整合進入某種傳輸訊框(frame)的方式,這些方法就稱為封裝協定(encapsulation protocols),他用來定義資料如何被組合進入OSI 參考模型資料連結層的訊框。資料連結層接受了來自上一層的封包後,會在封包前後加上標頭和註解,以建立資料訊框,這個過程稱為封裝,封裝協定有時亦稱為「Layer 2協定」。

每一種廣域連線的形式,必須使用正確的封裝方式,才能正常通訊,如下表:

 

  

實體WAN連結及對應的封裝型態

連結型態

封裝型態

實體連結

點對點

HDLC , PPP

路由器對路由器

電路交換

LDAP,PPP

路由器對交換機

分封交換

Cisco,IETF,LAPB

路由器對分封交換機

 

高階資料連結控制(High-Level Data Link Control,HDLC)

HDLC協定是一種同步的資料連結層協定,也是Cisco路由器預設的點對點封裝協定,像其他所有的Layer2協定一樣,HDLC定義了資料如何組成訊框,和錯誤檢查的方法。此外HDLC協定還支援流量控制服務來監控資料串,HDLC沒有提供任何認證的方式;其訊框格式如下:

 

8

旗標

16

位址

16

控制

資料

32

FCS

8

旗標

 

TestRouter#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

TestRouter(config)#int s0

TestRouter(config-if)#encapsulation hdlc

TestRouter(config-if)#ip address 132.33.160.87 255.255.255.0

 

點對點協定(PPP)

PPP是一種以HDLC為基礎的封裝協定,可以用於同步或非同步的點對點連結,其實PPP是另一種HDLC的變形,他對HDLC的訊框結構做了少許的修改,PPPHDLC的主要差異在於PPPInternet協會的標準,HDLCIBM根據SDLC所修訂的ISO標準,所以PPP比較容易與各種廠牌的路由器溝通,除此之外HDLC並不接受任何認證方式,PPP則可以接受兩種認證協定PAPCHAPPPP使用LCP(Link Control Protocol)來控制與管理WAN,如連線的建立、設定、測試和中斷;使用NCP(Network Control Protocol)來封裝網路層的協定;其訊框格式如下:

 

8

旗標

16

位址11111111

16

控制

協定

< 1500

資料

16 or 32

FCS

 

PAP (Password Authentication Protocol) 認證:當PPP連結建立後,要求端會以明文的方式傳送使用者名稱和密碼給接收端,接收端如果驗證通過後WAN的連線就會建立,一直維持到要求端或接收端發出中斷之要求。

CHAP (Challenge Handshake Authentication Protocol) 認證:當PPP連結建立後,接收端會送出一個盤問(Challenge)的封包給撥出的用戶端,而要求端則回送一個以MD5加密過的使用者名稱和密碼,接收端解密並通過認證後,完整的WAN連線就會被建立並維持住,CHAP在會談期間客戶端仍然會週期性的接受伺服端的盤問,驗證,因為伺服端要確認通信對象沒有改變,直到中斷連線。

 

*設定S0介面封裝成PPP

TestRouter#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

TestRouter(config)#int s0

TestRouter(config-if)#encapsulation ppp

*設定PPP驗證方式

TestRouter(config-if)#ppp authentication ?

  chap  Challenge Handshake Access Protocol (CHAP)

  pap   Password Authentication Protocol (PAP)

*加入使用者名稱及密碼

TestRouter(config)#username XXXX password XXXX

 

Frame-Relay 的網路拓樸:

 

Frame-Relay 相關用語解釋

1. Frame-Relay的訊框格式:

 

8

旗標

10

DLCI

1

CR

1

EA

1

FECN

1

BECN

1

DE

1

EA

資料

16

FCS

8

旗標

2. CIR(Committed information rate)約定資訊速率,電信業者提供之最小保證頻寬,bps為單位

3. PSE(Packet Switch Exchange)分封交換機

4. DLCI(Data-Link Connection Identifer)數據鏈路連接識別碼,用來識別PVC

5. FECN(Forward Explicit Congestion Notification)前向擁塞通知,發送出去的資訊框在Frame-Relay 雲團中任何地方遭遇擁塞時FECN位元的值會被設成1

6. BECN(Backward Explicit Congestion Notification)逆向擁塞通知,如果路由器收到的訊框中有FECN1,路由器就回應一個訊框,並將該訊框上的BECN設為1

7. DE(Discard Eligibility)丟棄資格,如果網路發生壅塞,Frame-Relay網路會先把DE位元為1的資料訊框丟棄。

8. LMI(Local Management Interface)局端管理介面,用於管理連結與維護彼此之間設備的狀態,亦是一組強化Frame-Relay讓他更適合更大型戶連網路的工具,LMI指定了狀態訊息的規格,它能讓相連的路由器判斷出Frame-Relay雲團裡的虛擬連線(VC)狀態。目前有三種標準的LMI規格:cisco , ansi . q933a ;必須和電信提供業者使用相同之型態。路由器每10秒便會和Frame-Relay Switch 交換LMI 的訊息。

9. Inverse ARP(Inverse Address Resolution Protocol)反向位址解析協定,一種動態將第三層網路層IPDLCI連結在一起的協定,CISCO ROUTERInverse ARP預設是開啟的。

 

Frame-Relay 的位址對應:

Frame-Relay 的虛擬電路(PVC)允許一個位置對應到多個遠端位置,因此為了讓路由器知道如何正確到達遠端位置,我們必須提供路由器DLCIIP互相對應的資訊

有兩種方式能讓路由器知道DLCIIP互相對應的資訊,第一種是透過Inverse ARP動態取得互相對應的資訊,第二種是透過手動設定告訴路由器互相對應的資訊。

 

Frame-Relay Map之初始建立:

1. 路由器經由CSU/DSU連接上Frame-Relay Switch

2. 路由器的介面封裝成Frame-Relay,路由器便會送出詢問訊息到Frame-Relay Switch,這個詢問會告知Frame-Relay Switch路由器的狀態並且要求Switch告知PVC的連結狀態。

3. Frame-Relay Switch 接受到要求後會回應包含PVC Local DLCI的狀態訊息

4. 當路由器收到一個Inverse ARP 的訊息,就會建立一個包含Local 端的DLCI和遠端IP的表格

如果Inverse ARP無法作用,則必須手動設定Local 端的DLCI和遠端IP的表格

5. 60,路由器會送出Inverse ARP的訊息給所有作用中的DLCIs

6. 10Router便會和Frame-Relay Switch 交換LMI的資訊。

 

***********************************NOTE*******************************************

Frame Relay 具有NBMA(nonbroadcast multiaccess)非廣播多重存取的特性,所謂非廣播性是指Frame Relay Switch 不會將來自單一DLCI的廣播封包送往其他的DLCI,多重存取則是指用單一個介面連接到一個Frame Relay 網路,可以對應到許多個節點。Frame Relay 之所以具有NBMA之特性是因為它採用了split horizon 的機制, split horizon 不允許一個介面在收到路由更新資料後,再從同一介面轉送同一資料,以避免發生routing  loop ,因為Frame Relay 的此種特性,所以在不同需求下,必須進行不同的設定方式。

假設有如下圖的網路架構

Configureing Frame Relay

(1)一般基本型(IP ADDRESS直接指定於實體介面上):

*設定S0介面封裝成Frame-Relay(可封裝成兩種型態CISOC IETF, Default CISCO 當連接對象是CISCO時才可使用)

TestRouter(config)#int s0

TestRouter(config-if)#encapsulation frame-relay ietf

*設定局端管理介面型態(有三種型態:ANSI,q933a,Cisco Default CISCO)

TestRouter(config-if)#frame-relay lmi-type ?

  cisco

  ansi

  q933a

TestRouter(config-if)#frame-relay lmi-type ansi

*指定IP ADDRESS

TestRouter(config-if)#ip address 10.0.0.1 255.255.255.0

*手動設定IP ADDRESS DLCI Mapping

TestRouter(config-if)#frame-relay map ip 10.0.0.2 200 broadcast

TestRouter(config-if)#frame-relay map ip 10.0.0.3 300 broadcast

TestRouter(config-if)#frame-relay map ip 10.0.0.4 400 broadcast

※上述的設定方式衍生出兩個問題:第一、因為Frame Relay 採用Splite horizon的機制,Frame Relay Switch 不會將來自單一DLCI的廣播封包送往其他的DLCI,所以造成了B,C,D 三台路由器中任意其中一台無法學習到其餘兩台之路由;第二、A會將他的路由廣播至所有連接的DLCI,一但所連接DLCI數目過多時,這類資訊的傳送將造成網路頻寬的過分負載,甚至消耗掉過多路由器上的緩衝記憶區,出現明顯的延遲狀況。要解決上述問題,最簡單的方式便是將Splite horizon的機制關閉,但如此便無法避免routing loop 的問題產生;如果你的網路需要遠端的各點能夠互相溝通,且你的遠端數目在一定規模以上,我們則宜採用切割子介面的方式來解決。

 

Point-to-point (指定Subinterface):

在一個實體介面上切割數個子介面,每一個子介面猶如一個獨立的實體介面,且每一個子介面僅用來建立一條PVC的連結到遠方,兩端的介面必須再同一個子網路內,每個介面擁有自己的DLCI號碼,如此路由更新的廣播封包就不存在了。

A Router 上的組態】

*設定S0介面封裝成Frame-Relay(可封裝成兩種型態CISOC IETF, Default CISCO 當連接對象是CISCO時才可使用)

A(config)#int s0

A(config-if)#encapsulation frame-relay ietf

*設定局端管理介面型態(有三種型態:ANSI,q933a,Cisco Default CISCO)

A(config-if)#frame-relay lmi-type ansi

*不指定IP ADDRESS

A(config-if)#no ip address

A(config-if)#exit

*切割子介面

*對應到B

A(config)#int s0.1 point-to-point

A(config-subif)#ip address 10.0.1.1 255.255.255.0

A(config-subif)#frame-relay interface-dlci 200

*對應到C

A(config)#int s0.2 point-to-point

A(config-subif)#ip address 10.0.2.1 255.255.255.0

A(config-subif)#frame-relay interface-dlci 300

*對應到D

A(config)#int s0.3 point-to-point

A(config-subif)#ip address 10.0.3.1 255.255.255.0

A(config-subif)#frame-relay interface-dlci 400

 

 

B Router 上的組態】

*設定S0介面封裝成Frame-Relay(可封裝成兩種型態CISOC IETF, Default CISCO 當連接對象是CISCO時才可使用)

B(config)#int s0

B(config-if)#encapsulation frame-relay ietf

*設定局端管理介面型態(有三種型態:ANSI,q933a,Cisco Default CISCO)

B(config-if)#frame-relay lmi-type ansi

*不指定IP ADDRESS

B(config-if)#no ip address

B(config-if)#exit

*切割子介面(對應到A)

B(config)#int s0.1 point-to-point

B(config-subif)#ip address 10.0.1.2 255.255.255.0

B(config-subif)#frame-relay interface-dlci 100

 

※點對點設定的方式:將A連接至B,C,D的實體介面S0,切割成S0.1S0.2S0.3 三個子介面,每個子介面猶如一實體介面,如此路由的傳送便避開了NBMA的限制

 

Multipoint (指定Subinterface):

 

Multipoint point-to-point 的好處是他節省了子網路的用量,但是對於NBMA的問題依然存在,一般在大型網路不建議使用

 

 

 

為了將封包送到網路上,我們就必須告訴封包應該如何傳送,路徑的資料我們稱之為Routing Table,路由最重要的觀念就是一站接著一站”,意即路由器不會知道目的地的整個路徑資料,他只知道要到達目的地的下一站要如何走。

路徑繞送的流程:當目的地不在本地區段的封包抵達路由器時,路由器會進行兩個步驟的內部流程。首先,檢查路徑表,找尋關於目的網路的資訊,此步驟稱為路徑決定;找到以後,重新包裝資料封包,並透過連接下一站最近的路由器介面轉送出去,此步驟稱為分封交換

路徑決定  路徑決定必須依據路由表(Routing Table)來達成,路由表是一個網路的清單,和如何將封包送達的資訊,路由表示存放在路由器的RAM裡的。每部路由器都必須有其他網段的資訊,知道要送給這些網段封包的下一站要如何走,每一部路由器都擁有自己的路由表,紀錄所有可到達的網路的路由資訊。如下例:

 

路由表的建立:路由資訊可分成三種【1】靜態路由(Static Routes)2】動態路由(Dynamic Routes)3】預設路由(Default Routes)

【1】           靜態路由(Static Routes):靜態路由必須由網路管理者手動建立,靜態路由能讓網路保持在一個高效率的狀態,因為路由器已經知道戶連網路中的路由資訊,不必再浪費路由器的CPU來發現新的路徑,此外路由器之間也不必交換路由資訊,整個網路頻寬完全留給終端機傳送資料用。但是也有缺點,當某條線路發生斷線的情況時,路由器就不會發現新的路徑來避開斷線問題。在一個大型網路中,如果使用靜態路由來建立路由表,對網管人員是一個吃力的工作。

【2】           動態路由(Dynamic Routes):動態路由則是由路由器之間透過繞送協定(Routing Protocol)來分享路由資訊進而建立自己的路由表,Cisco 包含的Routing protocol RIP(Routing Information Protocol),IGRP(Interior Gateway Routing Protocol),EIGRP(Enhance Interior Gateway Routing Protocol ),OSPF(Open Shortest Path First);與靜態路由比較起來,動態路由減少許多管理上的負擔,因為它能夠在線路發生斷線時,快速的學習到新的路由,但是網路的頻寬必須多一些負擔。

【3】           預設路由(Default Routes):預設路由必須由管理者手動設定,CICSOIOS,預設的路徑稱為Gateway of last resort,其觀念類似於PCDefault Gateway

分封交換  下例說明整個分封交換的流程,假設從A主機要傳送資料到Z主機:

第一步:資料由A主機送出

來源IP

10.10.10.100

目的IP

10.10.99.100

 來源實體位址

HHHHAAAA

目的實體位址

RRRRAAAA

 

A主機檢查到封包的目的IP位址,知道此位址不是屬於本地的網段,所以並需將封包轉送到預設閘道去,A主機檢查ARP(Address Resolution Protocol)的快取記憶區,找尋預設閘道器的實體位址,如果找不到,主機會發出ARP的詢問封包,找尋閘道IP所對應的實體位址。如果找到了,此時主機會將封包的目的實體位址設成閘道器的實體位址,然後傳送出去。

 

 

第二步:封包到達路由器之後,路由器會進行路徑決定與分封交換兩個步驟

路由器檢視該封包的目的IP位址是遠端的網段,接著他會檢查自己的路由表資訊,並找到遠端網段的資訊,並得知下一個節點。路由器將封包的實體位址設成下一個節點的實體位址,然後傳送出去。

來源IP

10.10.10.100

目的IP

10.10.99.100

 來源實體位址

HHHHAAAA

目的實體位址

RRRRZZZZ

 

第三步:封包到達直接與目的網段相連的路由器後,路由器檢視他的目的地IP位址,發現封包的目的地是在相同的網段上,所以路由器會檢查他的ARP表格或發出ARP的詢問要求,以取得目的主機的實體位址, 此時路由器會將封包的目的實體位址設成Z主機實體位址,然後傳送出去,完成整個通訊。

來源IP

10.10.10.100

目的IP

10.10.99.100

來源實體位址

HHHHAAAA

目的實體位址

HHHHZZZZ

 

 

 

 

管理距離(Administrative Distance)就是俗稱的AD,一個網路中的某一節點到另一節點間有時因為備援的關係會設計成不只一條的路徑,路由器應該選擇哪一條路徑便由AD值來管理,較低的AD值得路由優先被採用

預設的AD

 路由來源

預設值

直接相連的介面

0

靜態路由

1

EIGRP

90

IGRP

100

OSPF

110

RIP

120

External EIGRP

170

Unknown

255(不會傳遞)

動態路由演算法

=Distance vector 這種演算法決定了網路間任一連線的方向與距離,例如RIP IGRP

=Link-state又可稱為shortest path first ,此種演算法是針對整個網路拓樸狀況加以了解,以便進行路徑的演算,例如OSPF

=Balanced hybrid此種演算法是將上列兩種算法結合為一,例如EIGRP

Configuration Routing Protocal

Static Routes

TestRoute (config)#ip route 100.100.100.0 255.255.255.0 172.31.0.1

Default Routes

(1) TestRoute (config)#ip default-gateway 172.31.0.1

(2) TestRoute (config)#ip route 0.0.0.0 0.0.0.0 172.31.0.

(3) TestRoute (config)#1ip route 0.0.0.0 0.0.0.0 s0

Dynamic Routes(RIP)

TestRouter(config)#router rip

TestRouter(config-router)#network 132.32.160.0

TestRouter(config-router)#network 10.0.0.0

Dynamic Routes(IGRP)

TestRouter(config)#router igrp 200

TestRouter(config-router)#network 132.32.160.0

TestRouter(config-router)#network 10.0.0.0

檢視路由資訊:

Show ip route

rhq-C#sh ip route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP

       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP

       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area

       * - candidate default, U - per-user static route, o - ODR

       P - periodic downloaded static route

Gateway of last resort is 132.32.160.3 to network 0.0.0.0

     192.168.106.0/24 is variably subnetted, 3 subnets, 2 masks

D       192.168.106.2/32 [90/83604480] via 10.3.7.2, 2d04h, Serial1/0.7

D       192.168.106.0/24 [90/83604480] via 10.3.7.2, 2d04h, Serial1/0.7

S       172.21.30.0 [1/0] via 132.32.160.8

~more~

show ip protocol

TestRouter#sh ip protocol

Routing Protocol is "eigrp 100"

  Outgoing update filter list for all interfaces is not set

  Incoming update filter list for all interfaces is not set

  Default networks flagged in outgoing updates

  Default networks accepted from incoming updates

  EIGRP metric weight K1=1, K2=0, K3=1, K4=0, K5=0

  EIGRP maximum hopcount 100

  EIGRP maximum metric variance 1

  Redistributing: eigrp 100

  Automatic network summarization is in effect

  Routing for Networks:

    132.32.0.0

  Routing Information Sources:

    Gateway         Distance      Last Update

    132.32.160.1          90      00:19:43

    132.32.160.10         90      00:19:42

  Distance: internal 90 external 170

 

存取控制清單ACL(Access Control List)控制封包進出路由器的一組規則,不同的規則可以用來決定哪些封包可以轉送,哪些封包要拒絕接受,這些規則可以根據封包的來源位址、目的地位址、或是利用OSI中更高層的協定。

存取控制清單可以說是類似防火牆過濾封包的一個機制,某些狀況下我們需要對某些網段或主機作一些保護,但這些保護工作似乎又不需要用到像防火牆功能強大又昂貴的設備,此時存取控制清單便派上了用場;存取控制清單的設計可以說是為了因應最小安全需求所提出的解決工具,可以設定為對所有被繞送協定進行封包過濾。

存取控制清單的整個概念相當簡單:當我們建立好一組控制清單後,只要有封包進入此介面,就會和清單進行比對工作,通過檢查的封包就進行轉送的工作,不符合清單規則者則拒絕並丟棄。

訂立存取控制清單,有一些基本觀念必須要清楚:

1. 封包跟清單比對的順序是由上而下來比對。

2. 一旦清單中有任何的規則相符之後,此規則以下的其他規則都會被忽略而不再進行比對。

3. 說在每個存取控制清單的最後都預設有一個deny all (全部禁止)命令,也就是說假若在比對整個清單之後找不到任何一比匹配的規則,封包會在整個存取控制清單的尾端被丟棄,deny all 不會出現在設定中,但是他仍會被執行。

4. 在任何一個介面,都可以設定兩份存取規則:一個管制進入的封包,另一個管制離開的封包。介面的任何一個方向都不可設定一份以上的清單。

5. 存取清單的編號:標準式IP存取規則使用1~99,所謂標準式IP的規則是僅能使用來源位址為過濾封包的準則;延伸式IP存取規則使用100~199,可藉由來源位址、目的位址、IP協定、通訊埠資訊來過濾封包。

設定存取清單 分為兩個步驟1.訂定存取規則2.在網路介面上啟用此存取規則

 

標準式IP存取控制清單 標準式IP存取控制清單允許你依據來源IP位址進行封包過濾,當你想要阻擋來自某個子網路或主機的所有資料流量時,這個方法特別有用。

 

語法:access-list 編號(1~99) {permit/deny} {來源位址}

套用到介面上:ip access-group編號{in/out}

 

TestRouter#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

*拒絕來自132.32.160.16的所有封包

TestRouter(config)#access-list 99 deny 132.32.160.16 0.0.0.0

*拒絕來自172.21.1.0的所有封包

TestRouter(config)#access-list 99 deny 172.21.1.0 0.0.0.255

*除了上述的拒絕外其餘皆接受

TestRouter(config)#access-list 99 permit any

*套用在介面上

TestRouter(config)#int e0

TestRouter(config-if)#ip access-group 99 in

※辨別Wildcard Masks Subnet Masks

 

延伸式IP存取控制清單 延伸式IP存取控制清單可藉由下列四種準則來過濾封包,

*來源IP位址(source address)

*目的IP位址(distination address)

IP協定(IP Protocol):例如TCP,UDP,ICMP…..

*埠號(Port Number):封包連接的通訊埠編號。

語法:access-list 編號(100~199) {permit/deny} 協定 {來源位址} {目的位址} eq {埠號}

套用到介面上:ip access-group編號{in/out}

 

*拒絕來自172.21.1.151目的地為132.32.160.86telnet封包

TestRouter(config)#access-list 101 deny tcp 172.21.1.151 0.0.0.0 132.32.160.86 0.0.0.0 eq telnet

*拒絕來自172.21.2.0的所有ping封包

TestRouter(config)#access-list 101 deny icmp172.21.2.0 0.0.0.255 132.32.160.86 0.0.0.0

*除了上述的拒絕外其餘皆接受

TestRouter(config)#access-list 101 permit ip any any

*套用在介面上

TestRouter(config)#int e0

TestRouter(config-if)#ip access-group 101 in

 

確認您的存取控制清單設定:

TestRouter#sh ip int e0

Ethernet0 is up, line protocol is up

  Internet address is 132.32.160.86/24

  Broadcast address is 255.255.255.255

  Address determined by non-volatile memory

  MTU is 1500 bytes

  Helper address is not set

  Directed broadcast forwarding is enabled

  Multicast reserved groups joined: 224.0.0.10

  Outgoing access list is not set

  Inbound  access list is 101

  Proxy ARP is enabled

  Security level is default

  Split horizon is enabled

  ICMP redirects are always sent

  ICMP unreachables are always sent

  ICMP mask replies are never sent

  IP fast switching is enabled

  IP fast switching on the same interface is disabled

  IP multicast fast switching is enabled

  Router Discovery is disabled

  IP output packet accounting is disabled

  IP access violation accounting is disabled

檢視存取控制清單:

TestRouter#sh access-lists

Standard IP access list 99

    deny   132.32.160.16

    deny   172.21.1.0, wildcard bits 0.0.0.255

    permit any

Extended IP access list 101

    deny   icmp 172.21.2.0 0.0.0.255 host 132.32.160.86 (6 matches)

    permit ip any any (596425 matches)

 

資料來源:http://www.網頁設計網站架設.tw

http://www.kweb.com.tw 網頁設計大王