Transcript Document
第 14 章 廣域網路協定 本著作含書附光碟之內容 (不含 GPL 軟體), 僅授權合法持有本書之讀者(包含個人及法 人)非商業用途之使用,切勿置放在網路上 播放或供人下載,除此之外,未經授權不得 將全部或局部內容以任何形式重製、轉載、 散佈或以其他任何形式、基於任何目的加以 利用。 著作權所有 © 旗標出版股份有限公司 廣域網路簡介 到底是什麼構成WAN, 而使它不再是LAN呢? 距離? 頻寬? 通常您會擁有區域網路的基礎建設, 但卻會從服 務供應商租用廣域網路的基礎建設 2 定義廣域網路術語 用戶端設備 (CPE) 由用戶擁有且位於用戶場所的設備 責任分界點 (Demarcation Point) 服務供應商責任終 了、而 CPE 的責任開始的分野, 它通常是一個放在由 電信公司所擁有與安裝的通訊箱中的一個裝置。用戶 要負責從這個箱子接線到 CPE, 它通常是一條連到 CSU / DSU 或 ISDN 界面的連線 區域迴路 (Local Loop) 連接責任分界點到最近的一個 稱為中央機房的交換機房 中央機房 (Central Office, CO) 連結用戶網路與供應 商的交換網路, 中央機房有時又稱為 POP 長途網路 (Toll Network) WAN 供應商網路內部的主 幹鏈路 3 廣域網路連線類型 4 租用專線 (leased line) 通常這些稱為點對點連線或專線 租用專線是從 CPE 經過 DCE 交換機到遠端的 CPE、且事先建置好的 WAN 通訊線路 CPE 讓 DTE 網路隨時都可以通訊, 傳送資料之 前並不需要準備累贅的程序 使用同步的序列線路, 速率最高可達 45 Mbps 最常使用的封裝是 HDLC 與 PPP 5 電路交換 (circuit switching) 想想電話的運作就對了 最大優勢是成本 - 我們只要為實際使用的時間 量來付費即可 在建好端點對端點的連線之前, 不能傳送任何資 料, 電路交換利用撥接數據機或 ISDN, 供低頻 寬需求的資料傳輸使用 6 分封交換 (packet switching) 一種廣域網路的交換方式, 讓您能與其他公司分 享頻寬, 以節省金錢 分封交換可以想成一種類似租用專線的設計, 但 付費的方式 (與成本) 比較像電路交換 成本低的代價:如果需要持續地傳送資料, 那麼 這時您要的是租用專線。分封交換只有在資料 傳輸的特性是爆發式 (bursty), 也就是不連續時, 才運作得很好 訊框中繼與 X.25 都是分封交換的技術, 他們的 速度從 56 Kbps 到 T3 (45 Mbps) 7 廣域網路支援 Cisco 的序列界面基本上只支援 HDLC、PPP、 與訊框中繼: 8 廣域網路協定(1) Frame Relay 1990 年代早期發展出來的分封交換技術, 是資料鏈結與 實體層的規格, 提供較高的效能 接替 X.25 的任務, 但大部分 X.25 用來補救實體層錯誤 的 技術都移除了 比點對點鏈路更有經濟效益, 運行的速度是 64 Kbps 到 45 Mbps (T3) 另一個優點是它提供動態頻寬配置與壅塞控制的功能 ISDN 一組可以在現存的電話線路上傳送語音與資料的數位服務 為那些需要較類比式撥接鏈路提供更高速連線的遠端使用 者, 提供更有經濟效益的解決方案 很適合用來作為訊框中繼或 T-1 專線等其他種鏈路的備援 鏈路 9 廣域網路協定(2) LAPB LAPD 供 X.25 之資料鏈路層使用的連線導向協定, 也可用來進行簡易的資 料鏈路傳輸 會因為嚴格的逾時與視窗技術而可能產生大量的額外負擔 供 ISDN 在資料鏈結層 (第 2 層) 使用, 當作 D (信號) 通道的協定 從 LAPB 協定演進來的, 其設計主要是為了滿足 ISDN 基本存取的 signaling需求 HDLC 從SDLC衍生來的, SDLC 是 IBM 產生的一種資料鏈結連線協定 資料鏈結層的協定, 與 LAPB 比較起來, HDLC的額外負擔非常少 HDLC 沒有意圖要在相同的鏈路上封裝多個網路層協定, HDLC 的標 頭並沒有記載 HDLC 封裝內部所承載的協定類型的識別資訊。因此 每個使用 HDLC 的廠商都有他們自己識別網路層協定的方式, 這表示 每個廠商的 HDLC 都專屬於他們自己的設備 10 廣域網路協定(3) PPP 業界標準, 因為所有多重協定版的 HDLC 都是專屬的, 所以可利用 PPP 在不同廠商的設備之間產生點對點的 鏈路 使用資料鏈結標頭中的網路層控制協定欄來識別網路層 協定, 允許認證與多重鏈路的連線, 而且可以在同步與非 同步的鏈路上運作 PPPoE 將 PPP 訊框封裝在乙太網路訊框中, 通常是與 ADSL 服 務搭配使用 提供驗證、加密、和壓縮等PPP 功能, 但有個缺點 - MTU比標準乙太網路的 MTU 小 加入對乙太網路界面的直接連線, 同時提供 DSL 支援 通常是由許多台主機在共用的乙太網路界面上使用, 透 過至少一台橋接數據機開啟對各種目的地之 PPP 會談 11 廣域網路協定(4) Cable 在HFC網路中, 通常會有 500 到 2, 000 名資料用戶連到特定的纜線 網段, 一同共享上行和下行的頻寬(HFC 是電信產業用來稱呼同時使 用光纖和同軸電纜而建立的寬頻網路) 網際網路服務在有線電視 (CATV) 上的真實頻寬最高可達約 27 Mbps 的下載速率, 而上傳則是約 2.5 Mbps 的頻寬 典型的使用者可以取得 256 Kbps 到 6 Mbps 的存取速度 DSL 傳統電話公司在雙絞式電話線上提供進階服務 時所使用的技術 資料傳輸能力通常較 HFC 網路低, 而且資料速度的範圍可能受限於 線路長度和品質 DSL 並不是完整的端點對端點解決方案, 而是像撥接、cable、或無 線之類的實體層傳輸技術 DSL 連線是建置在區域電話網路的最後一哩 - 區域迴路。連線是建 立在一對數據機之間, 而數據機則位於 CPE和DSLAM間的銅線兩端; DSLAM 是位於CO的裝置, 並且匯集來自多個 DSL 用戶的連線 12 廣域網路協定(5) MPLS 在分封交換網路上模擬電路交換網路某些特性的資料傳輸機制 MPLS 是一種交換機制, 能為封包加上標籤 (編號), 然後使用這些標籤來 轉送封包。這些標籤是在 MPLS 網路的邊緣指定, 而封包在 MPLS 網路 中的轉送完全是根據這些標籤。標籤通常對應到第 3 層目地位址的路徑 (相當於以目的 IP 為基礎的遶送) MPLS 的目的是要支援非 TCP / IP 之其他協定的轉送。因此, 不論第 3 層的協定為何, 網路內的標籤交換方式都相同。 在較大的網路中, 加上 MPLS 標籤的結果是只有邊緣路由器會去檢視遶 送。所有核心路由器都是根據標籤來轉送封包, 這使得封包在服務供應 商的網路中能有更快的轉送速度 (許多公司現在都開始使用 MPLS 來取 代他們的訊框中繼網路) ATM 本設計是為了對易受時間影響的交通, 同時提供語音、視訊、與資料的 傳輸 ATM 使用cell來取代封包, 細胞長度是固定的 53 個位元組, 也可利用 isochronous時脈 (外部時脈) 來幫助資料移動得更快 今日的時代, 如果您採用訊框中繼, 通常就會執行 Frame Relay over ATM 13 cable 與 DSL的基本差異 速度大多數人表示 cable 比 DSL 快, 但實際上未 必一定如此 安全性 DSL 和 cable 是以不同的網路安全模型 為基礎, cable 一直被認為是這方面的輸家。但 現在可是五五波了, 而且兩者都提供了足以滿足 大多數使用者要求的適當安全性。所謂的 「適 當」是指不論您的 ISP 怎麼說, 兩者都確實還有 一些安全性問題 普及性 cable 目前在美國的確居於上風, 但 DSL 正在迎頭趕上 客戶滿意度這方面的情勢剛好相反 - 在美國, DSL 居於上風 14 cable 與 DSL 15 Cable網路 cable 是小型辦公室或SOHO 族最具成本效益 的連線方式。即使是較大型的組織, cable (或 DSL) 也都很適合當作備援鏈路 16 cable的術語 頭端 (headend) 接收、處理、和格式化所有 cable 信 號的地方。信號接著會從頭端傳輸到分送網路上 分送網路 (distribution network) 相當小型的服務區 域, 範圍通常是 100 到 2, 000 名客戶。它們通常是 HFC 的結構, 加上以光纖代替分送網路的主幹部分 光纖會形成頭端與光學節點間的連線, 由光學節點將光 線轉變成RF信號, 再透過同軸電纜在服務的特定區域 中分送 Data Over Cable Service Interface Specification, DOCSIS 所有纜線數據機和類似裝置都必須符合這個 標準 17 DSL 使用普通的電話銅線來提供高速資料傳輸的一種技術 DSL元件 DSL可根據上行或下行速度而分為兩大類 電話線路、DSL 數據機 、乙太網卡或是有乙太網路連線的路由器、 服務供應商 對稱式 DSL 上行和下行連線的速度相同 非對稱式 DSL 網路兩個端點間有不同的傳輸速度 - 下行速度通常 較快 ADSL、 VDSL 沒有使用語音頻帶,線路可以同時傳送資料和 語音信號 SDSL、IDSL 會佔用整個頻率範圍, 就只能傳送資料 DSL 連線提供的資料服務隨時都是開啟的 DSL 服務所能提供的速率取決於您跟中央機房間的距離 - 越 近越好 18 DSL網路架構 ADSL、HDSL、RADSL、 SDSL、IDSL、VDSL 19 ADSL ADSL 同時支援語音和資料, 但是配置給下行的頻寬比上行多- 最適合一般的住家用戶。ADSL 的下行速率大約是從 256 Kbps 到 8 Mbps, 但上行則只能到大約 1 Mbps POTS 提供一個通道給類比式語音傳輸, 並且可以跟 ADSL 在 同一條雙絞式電話線上傳輸而不會發生問題 從 CPE 開始的 DSL 第一層連線之上所使用的資料鏈結層協定 通常是 ATM。 CPE 會終止在所謂的 DSLAM - 包含 DSL 界 面卡或 ATU-C 的 ATM 交換機 ADSL 連線的端點會匯集在 DSLAM 中, 由它將 ATM 網路中的 資料交換到aggregation router - 用戶的 IP 連線就終止在這裡 20 ADSL的封裝 PPPoE 與 ADSL 服務搭配使用, 將 PPP 訊框封裝在 乙太網路訊框中, 並且使用一般的 PPP 功能, 如驗證、 加密、和壓縮 RFC1483 遶送 兩種在 ATM 網路上傳送無連線式網路 交通的方法:routed protocol和bridged protocol PPPoA ATM 上的點對點協定 (PPP over ATM), 用來 封裝在 ATM AAL5 的 PPP 訊框。通常與纜線數據機、 DSL、和 ADSL 服務一同使用, 並且提供一般的 PPP 功能, 如驗證、加密、和壓縮。若與 PPPoE 相比, PPPoA 具有較少的額外負擔 21 PPPoE架構 22 Cisco 長程乙太網路 (LRE) 使用VDSL技術來大幅擴展乙太網路的服務能力: 在現有雙絞線上提供速度由 5 到 15 Mbps (全 雙工)、最遠距離 5, 000 英呎的傳輸 基本上 Cisco LRE 技術可以在 POTS、數位電 話、ISDN 交通線路上提供寬頻服務, 並且可以 使用與 ADSL 技術相容的模式運作。這讓服務 供應商能夠在已有寬頻服務、但須要加強的建 築物或大樓中提供 LRE 23 序列廣域網路的佈線 典型的WAN專線HDLC、PPP、與Frame Relay可以使用相同 的實體層規格 WAN序列接頭使用序列傳輸, 這種傳輸是在單一的通道上, 一次 放置 1 個位元 Cisco 路由器使用專屬的 60 個接腳的序列接頭, Cisco 也有一 些較小的專屬序列連線, 大約是 60 個接腳之基本序列接線的 1 / 10 大小, 稱為"smart-serial“ 纜線另一端的接頭種類取決於服務供應商或終端裝置的需求。 可用的種類如下: EIA / TIA-232 EIA / TIA-449 V.35 (用來連接 CSU / DSU) EIA-530 我們通常會以頻率或每秒幾次 (赫玆, hertz) 來形容序列鏈路, 而 在這些頻率內能傳送的資料量稱為頻寬 (bandwidth)。頻寬是序 列通道每秒所能傳送的資料量, 單位是每秒的位元數 24 DTE-DCE-DTE 連線 如果您有非營運的網路, 正在使用 WAN 交叉式纜線, 而且沒有 CSU / DSU, 那麼就 需要利用 clock rate 命令, 在 DCE 的纜線尾端提供時脈 25 HDLC協定 是一種很普及的 ISO 標準, 位元導向的資料鏈 結層協定,利用訊框字元與檢查碼來為同步序 列資料鏈路上的資料設定封裝方法 是一種用於租用專線上的點對點協定 HDLC 不能進行認證 Cisco 路由器在同步序列鏈路上的預設封裝是 HDLC, Cisco 的 HDLC 是專屬的協定 - 無法 與其他廠牌的 HDLC 實作互通。要互通,就只 能使用PPP 26 Cisco 的 HDLC 格式 27 PPP堆疊 建立與設定不同網路層協定的方法。 NCP 的設計是要能同時使用多種網 路層協定,如IPCP、IPXCP 建立、設定、維護、與結束點對點連 線的方法 在序列鏈路上封裝資料包的方法 序列通訊的實體層國際標準 28 LCP 的設定選項 認證 (Authentication) 這個選項告訴鏈結的呼叫端要傳送可用以識 別用戶的資訊。認證的方法有 2 種:PAP 與 CHAP 壓縮 (Compression) 資料或負載在傳送之前先加以壓縮, 以增加 PPP 連線的throughput, 然後接收端的 PPP 會對資料訊框進行解壓 縮 多重鏈路 (Multilink) Cisco 路由器從 11.1 版的 IOS 開始在 PPP 鏈 結支援多重鏈路。這個選項允許多個個別的實體線路出現在一個第 3 層的邏輯線路上。例如, 2 條執行多重鏈路 PPP 的 T1 看起來像是 1 條第 3 層遶送協定的 3 Mbps 線路 PPP 回呼 (PPP callback) PPP 可以設定為成功認證之後就回頭呼叫, 這樣就可以根據存取費用來記錄使用量, 作為帳務的記錄, 或許多其 他的用途。若啟用回呼的功能, 呼叫端路由器 (客戶端) 聯繫遠端路由 器 (伺服器), 並進行認證, 就如同之前所說的那樣, 而且這 2 部路由器 都必須設定回呼選項才行。一旦完成認證, 遠端路由器就會結束連線, 然後重新啟始一條連線到當初的呼叫端路由器 29 建立 PPP 會談 鏈路建立階段每個 PPP 裝置會傳送 LCP 封包來設定並測試鏈路, 這些封包包含一個稱為設定選項的欄位, 允許每部裝置檢視資料的 大小、壓縮、與認證。如果沒有設定選項欄位出現, 就使用預設的 設定 認證階段如果需要認證, 就使用 CHAP 或 PAP 來認證鏈路。認證 發生在讀取網路層協定資訊之前, 有可能同時發生鏈路品質的測定 網路層協定階段 PPP利用NCP來封裝多個網路層協定, 並透過一 條 PPP 資料鏈結來傳送。每個網路層協定 (例如 IP、IPX、 AppleTalk 等被遶送協定) 會與 NCP 建立一個服務 30 PPP 認證方法 PAP 這種方法較不安全, 密碼以明文傳送, 而且只能在 建立初始的鏈路時進行。當建立 PPP 鏈路時, 遠端節 點會傳回使用者名稱與密碼給發起的路由器, 直到認證 被確認為止 CHAP用在鏈路剛開始啟動時, 也可用於定時查核鏈路, 以確認路由器是否仍然與相同的主機進行通訊。PPP 完成剛開始建立鏈路的階段後, 本地路由器就會傳送盤 問的請求給遠端裝置, 遠端裝置則傳回它利用 MD5 單 向雜湊函數計算出來的值, 而本地裝置再檢查這個雜湊 值看是否匹配。如果該值不符, 鏈路就立即結束 31 在 Cisco 路由器上設定 PPP 兩端路由器都要設定PPP封裝 兩端路由器要設一樣的密碼 另一端路由器的主機名稱,是有大小寫分別的 先試CHAP認證,再試PAP認證 32 確認 PPP 封裝(成功) 這表示已經協商了會談的建立 這裡的NCP支援了IP與CDP 33 確認 PPP 封裝(失敗) 這表示沒有收到從遠端路由器來的 keepalives 訊息 LCP 是關閉的, 因為認證失敗的緣故 34 debug ppp authentication(正確設定的輸出) 35 debug ppp authentication(錯誤設定的輸出) 36 不匹配的 WAN 封裝 37 不匹配的 IP 位址 如果您在序列界面上設定了 HDLC 或 PPP, 但 IP 位址卻不正確, 這是很難發現的問題, 因為輸 出畫面會顯示鏈路是啟動的。 檢視一下圖 14.13, 您能找到問題嗎? 這 2 部路由器以不同的子網路相連, Pod1R1 路 由器是 10.0.1.1 / 24, 而 Pod1R2 路由器是 10.2.1.2 / 24。 38 不匹配的 IP 位址 這兩部路由器之間的 IP 位址是錯的, 但鏈路看起來卻好像運作得很正常。因為 PPP 是第 2 層的 WAN 封裝, 並不在乎 IP 位址為何 39 設定 PPPoE 40 設定 PPPoE(續) 在實體界面上的兩個設定 撥接界面;這是個邏輯界面 以接收與設定DHCP位址 將邏輯界面和實體界面連結起來 41 訊框中繼技術簡介 42 CIR 訊框中繼將交換機的成本分攤給許多用戶, 其基本假設是所有用 戶不會有需要一直傳送固定量的資料 訊框中繼的運作是藉由提供部份的專用頻寬給每個用戶, 而且如 果電信網路上有資源可用時, 又能讓用戶的使用量超過他們的保 證頻寬。因此, 基本上訊框中繼用戶所付費的頻寬比他們真正使 用到的還少。訊框中繼有 2 種個別的頻寬設定: 存取速率 (access rate) 訊框中繼界面可以傳輸的最大速度 CIR 保證可傳送資料的最大頻寬。不過實際上這是服務供應商允許您 傳輸的平均量。當您傳送超過 CIR 時, 就會以best effort來傳送, 或可 能沒有(如果當時沒有可用的容量來傳送, 則您的訊框就會被丟棄, 而 且會通知 DTE) 43 訊框中繼的封裝類型 訊框中繼的封裝不能使用 HDLC 或 PPP,要設 定訊框中繼的封裝 訊框中繼有 2 種封裝類型:Cisco 與 IETF 預設值 異質環境要使用IETF封裝 兩端的封裝方式要一致 44 虛擬電路 相對於租用專線的真實電路而言,訊框中繼利 用虛擬電路在運作:固接式 (permanent) 與交 換式 (switched) 固接式虛擬電路 (Permanent Virtual Circuit, PVC) 是目前最常用的一種, 固接式表示電信公 司在他們的設備內產生這些對應, 只要您有付費, 他們就會一直保留在那兒 交換式虛擬電路 (Switched Virtual Circuit, SVC) 比較像電話, 這種虛擬電路是當有資料需要傳送 時才建立, 然後當資料傳輸完成時就拆掉 45 資料鏈結連線識別碼 (DLCI) DTE使用DLCI來辨別訊框中繼的 PVC 訊框中繼服務供應商通常會指定DLCI 值, 供訊框中繼 界面用來辨別不同的虛擬電路 因為一個多點的訊框中繼界面上可以終結許多虛擬電 路, 所以往往會有許多 DLCI 都隸屬於它 IARP:將 DLCI 對應到 IP 位址 您不能設定 IARP, 不過可以關閉它 IARP在訊框中繼路由器上執行, 並且為訊框中繼對應 DLCI到 IP 位址, 所以它知道如何抵達訊框中繼交換機 show frame-relay map 命令可用來檢視 IP 與 DLCI 的 對應 如果網路上有非 Cisco 路由器, 而且那些路由器不支援 IARP, 那麼就必須利用 frame-relay map 命令靜態地提 供 IP 與 DLCI 的對應 46 DLCI它的運作方式 當 A 路由器想要傳送訊框給 B 路由器時, 就查詢 IARP, 或手動地對應 DLCI 與所要抵達之 IP 位址 將 DLCI 值放在 FR 標頭中的 DLCI 欄位裡, 並送出訊框 供應商的ingress switch取得這個訊框, 並查詢它所看到的 DLCI / 實體埠組 合,根據這個組合, 就可找出 1 個新的而且含局部意義 (在它與下個節點交 換機之間) 的 DLCI, 並用於標頭中, 而且在表格的同一個項目中, 找到離開的 實體埠 以這種運作方式, 一路到抵達 B 路由器為止 圖中 DLCI 100 只對 RouterA 有意義, 用來識別 RouterA 與其訊框中繼的入 境交換機之間的電路 DLCI 200 則用來識別 RouterB 與其訊框中繼的入境交換機之間的電路 47 設定 DLCI 給界面 用來辨別 PVC 的 DLCI 號碼通常是由供應商指 定的, 從 16 開始: 48 區域管理界面 (LMI) LMI是您路由器與它所連結之第一個訊框中繼交換機 之間所用的信號標準。可傳送有關供應商網路與 DTE 之間虛擬電路的運作與狀態: 保持存活 (keepalive) 確認資料仍然暢通 多點傳播 (multicasting) 這是 LMI 規格的擴充選項, 例 如它讓我們能在訊框中繼網路上有效率地分送路徑資訊 與 ARP 請求。多點傳播使用保留的 DLCI, 從 1019 到 1022 全域位址 (global addressing) 提供全域的意義給 DLCI, 讓訊框中繼網路的運作就像 LAN 一樣 虛擬電路的狀態提供 DLCI 狀態, 當沒有正常的 LMI 交 通要傳送時, 這些狀態查詢與狀態訊息就用來充當保持 存活的資訊 49 LMI訊息格式 預設 取決於電信公司交換機設備的類型與設定 Cisco 由英國四人幫 (Gang of Four) 所定義的 LMI (預設) ANSI 包含於 ANSI 標準 T1.617 的附錄 D ITU-T (Q.933A) 包含在 ITU-T 標準的附錄 A, 並 且由 Q.933a 命令關鍵字所定義 50 LMI 資訊的虛擬電路狀態 作用狀態 (active state) 每件事都在運作, 而路 由器可以交換資訊 無作用狀態 (inactive state) 路由器的界面是啟 動的, 而且與交換機房有連線的運作, 但遠端路 由器並沒有在運作 刪除狀態 (deleted state) 界面上沒有從交換機 收到任何 LMI 資訊, 可能是因為有對應上的問 題或線路故障 51 訊框中繼的壅塞控制 有任何方法可以得知電信公司之共享基礎建設何時很空、何時 很塞嗎?訊框中繼交換機利用以下 3 個壅塞位元通知 DTE 有 壅塞的情況: 丟棄資格 (Discard Eligibility, DE) 當您傳送的封包量超過 PVC 的 CIR 時, 超過部份的訊框中繼標頭中就會標示一個 DE 位元, 如 果供應商網路是壅塞的, 則訊框中繼交換機就優先丟棄有 DE 位元 的訊框 向前的明確壅塞通知 (Forward Explicit Congestion Notification, FECN) 當訊框中繼網路發現網路中有壅塞出現時, 交換機就會設定訊框中繼封包標頭中的 FECN 位元。這是要告訴 目的 DTE, 該訊框所經過的路線有壅塞的情況發生 向後的明確壅塞通知 (Backward Explicit Congestion Notification, BECN) 當交換機偵測到訊框中繼網路中有壅塞發生 時, 就會對於要前往來源路由器的訊框中繼封包設定 BECN 位元, 這是要告知路由器前面發生壅塞的情況。Cisco 路由器不會對於 這種壅塞資訊採取任何動作, 除非您要它們有所回應 52 利用訊框中繼的壅塞控制進行檢修 這是在跟本地路由器說, 要傳給公司的交通正在壅塞 53 單一界面的Frame Relay設定 假設我們只想要以一道 PVC 連結 2 部路由器, 以下是這樣的設定範例: ISP給的 54 子界面的Frame Relay設定 單一個序列界面上可以有多條虛擬電路, 每條電路就像 個別的界面一樣;這種功能需要產生子界面才能達成, 幾個子界面可共享一片實體界面 若要設定訊框中繼網路中的路由器, 藉由制止路徑更新 來避免split horizon的議題, 請為每條含有唯一性 DLCI 的 PVC 設定個別的子界面, 並指定子網路給子界面: int s0. 子界面編號命令 55 子界面的種類 點對點 (point-to-point) 以一條虛擬電路連結 2 部路由器時使用, 每個點 對點子界面必須要有它自己的子網路 多點 (multipoint) 當路由器是星狀虛擬電路的中心時使用, 所有連 結到訊框交換機的路由器序列界面共用一個子網 路。最常見的實作是在輻射狀拓樸中, 中心路由 器會設為這種模式, 而周圍的路由器則處於實體 界面 (總是點對點) 或點對點的子界面模式 56 子界面設定範例 我們會為每個界面會定義成個別的子網 路, 而且點對點子界面也會解決split horizon的議題 57 監視訊框中繼 58 show frame relay lmi 命令 提供本地路由器與訊框中繼交換機之間所交換 的 LMI 交通統計,包括所有 LMI 錯誤, 以及 LMI 類型 59 show frame pvc 命令 列出所有設定的 PVC 與 DLCI 號碼, 並提供每條 PVC 連線的狀態與交通統計, 也會告訴我們每個 PVC 在路 由器上收到的 BECN 與 FECN 封包的數目: 60 show frame pvc 命令(續) 若只要檢視 PVC 16 的相關資訊, 可以輸入 show frame-relay pvc 16 命令 61 show interface 命令 顯示的資訊包括封裝、第 2 層與第 3 層資訊, 也會顯示線路、 協定、DLCI、以及 LMI 資訊: 如果LMI DLCI是 1023, 表示是預設的 LMI 類型 - Cisco。如果 LMI DLCI 是 0, 就是 ANSI LMI 類型 (Q.933A 也是用 0)。如果 LMI DLCI 是異於 0 或 1023 的值, 請找您的供應商 - 他們肯定有問題! 62 show frame map 命令 顯示網路層到 DLCI 的對應, 例如: 序列界面有 2 個對應, 一個是針對 IP, 另一個是針對 IPX。 這種網路層位址的解析是靠動態的協定 - IARP 63 debug frame lmi 命令 供我們確認與檢修訊框中繼的連線, 幫助我們找出路由 器與交換機是否交換正確的 LMI 資訊。例如: 64 檢修訊框中繼網路 首先確認兩端的序列封裝是否一致 接著檢查訊框中繼的對應 應該是100才對 65 檢修訊框中繼網路(續) 接下來研究訊框中繼網路中典型的遶送協定問題 預設上訊框中繼是一種 NBMA 網路, 這表示它不會在 PVC 上傳送任何廣播。因為對應敘述的結尾並沒有 broadcast 參數, 所以不會有任何廣播 (例如 RIP 的路 徑更新) 在 PVC 上傳送 66 使用 SDM 設定有驗證的 PPP(1) 使用有驗證的 PPP 來設定 Corp 路由器和 R3 路由器間的序列 WAN 鏈路 從 Interfaces and Connections 任務中刪除界面, 然後點選 Edit Interface Connection 頁籤, 然後點選 Delete。刪除界面組態之後, 點選 Create Connection 頁籤上的 Create New Connection 67 使用 SDM 設定有驗證的 PPP(2) 點選 Create New Connection 之後, 會進入序 列 WAN 設定精靈的第一個畫面 68 使用 SDM 設定有驗證的 PPP(3) 然後, 只要點選 Next, 就會出現已經點選 HDLC 的下個畫面。這時只要再點選 Next, 就可以設 定為 HDLC 69 使用 SDM 設定有驗證的 PPP(4) 我們改選 Point-to-Point Protocol, 然後按下 Next, 進入 IP 位址畫面 70 使用 SDM 設定有驗證的 PPP(5) 加入靜態 IP 位址, 然後點選 Next 進入驗證畫 面 遠端路由器或ISP提供的 名稱與密碼 71 使用 SDM 設定有驗證的 PPP(6) 接著點選 Next, 會出現顯示組態摘要的畫面。 按下 Finish 72 使用 SDM 設定有驗證的 PPP(7) 從 Interfaces and Connections 任務的 Edit Interface / Connection 頁籤中可以看到 Corp 路由器 上的 Serial0 / 2 / 0 現在已經設了 PPP 和 CHAP 驗證 73 使用 SDM 設定有驗證的 PPP(8) 接著在 R3 路由器上實作與 Corp 路由器上相同的組態。 要使用 Corp 當作使用者名稱, 並指定相同的密碼 下面是在這兩台路由器設定完成之後, 在 Corp 路由器 上的 CLI 輸出: 74 使用 SDM 設定有驗證的 PPP(9) 現在這兩台路由器並沒有照預期運作。這可從 以下的輸出發現: 實體層有收到媒介偵測信號, 但資料鏈結層卻沒有從 R3 路 由器取得 keepalive 訊息 75 使用 SDM 設定有驗證的 PPP(10) 讓我們來看看驗證的情形如何: 驗證命令看起來好像有嘗試要作用, 但最後失敗了 這是因為我們沒有實際連線到ISP,沒有ISP提供驗證的使用者名稱和密碼。 所以我們得到路由器加入使用者名稱與密碼,但SDM並沒有提示我們要輸入。 SDM 其實是假設您會連到 ISP, 而 ISP 會提供您驗證的使用者名稱和密碼 76 使用 SDM 設定有驗證的 PPP(11) 最後的驗證 77 使用 SDM 設定PPPoE(1) 首先將路由器連到 DSL 數據機,將界面設定為客戶端 使用 SDM 連到路由器之後, 刪除 FastEthernet 界面。然後在 Tasks 功能選 單的 Interfaces and Connections 中選擇 Create Connection 78 使用 SDM 設定 PPPoE(2) 點選 Ethernet (PPPoE or Unencapsulated Routing), 然後點選 Create New Connection, 進入乙太網路 WAN 組態設定精靈的歡迎畫面 79 使用 SDM 設定 PPPoE(3) 點選 Next。在封裝畫面中勾選 Enable PPPoE Encapsulation, 然後點選 Next 80 使用 SDM 設定 PPPoE(4) 選擇 Easy IP (IP Negotiated) (這代表 DHCP), 點選 Next 81 使用 SDM 設定 PPPoE(5) 下個畫面會詢問我們的驗證資訊。通常這些資訊是從 ISP 那裡取得的 82 使用 SDM 設定 PPPoE(6) 下個畫面會詢問我們的遶送資訊。我們勾選 Default Static Route, 並且選擇 Use this Interface as Forwarding Interface, 將這個當作閘道 83 使用 SDM 設定 PPPoE(7) 點選 Next 後, 就會收到組態設定的摘要 點選 Next 將組態設定上傳到路由器中 84 使用 SDM 來設定訊框中繼(1) 透過 SDM 刪除界面組態之後,開啟界面精靈, 並且為 Corp 路 由器上的 Serial0 / 2 / 0 界面選擇 Frame Relay 85 使用 SDM 來設定訊框中繼(2) 進入與設定 PPP 界面的相同畫面。設定靜態 IP 位址, 然後點選 Next 86 使用 SDM 來設定訊框中繼(3) 真實世界中得在這裡加入供應商所提供之 LMI 和 DLCI 資訊。 左下角詢問您是否想使用 IETF 封裝?這表示您在訊框中繼那 朵雲的另一端並沒有 Cisco 路由器 87 使用 SDM 來設定訊框中繼(4) 在點選 Next 之後, 就可得到摘要畫面 這會顯示組態設定的摘要。點選 Finish 上傳到 路由器 88 使用 SDM 來設定訊框中繼(5) 透過 CLI 來檢視究竟有哪些設定上傳到路由器 89 VPN VPN可以在網際網路上建立私密網路, 提供私密性和非 TCP / IP 協定的隧道 VPN 是日常用來提供遠端使用者或分離的網路, 能透 過網際網路之類的公共媒介來連結, 而不需要使用更昂 貴的永久性措施 根據VPN在企業中所扮演的角色, 共有 3 種 遠端存取 VPN (remote access VPN) 網點對網點 VPN (site-to-site VPN) 企業間網路 VPN (extranet VPN) 建立 VPN 的方法 使用 IPSec 在 IP 網路端點間建立驗證和加密服務 透過隧道協定, 讓您在網路端點間建立隧道。隧道本身 就是將資料或協定封裝在另一種協定之中的一種方法 90 隧道協定 第二層轉送 (L2F, Layer 2 Forwarding) L2F 是 Cisco 專屬的 隧道協定, 也是它們為虛擬私密撥接網路 (virtual Private Dialup Network, VPDN) 所建立的第一種隧道協定。VPDN 允許裝 置使用撥接連線來建立連到企業網路的安全連線。L2F 後來被 L2TP 所取代, 但 L2TP 仍然對 L2F 有向後的相容性 點對點隧道協定 (PPTP, Point-to-Point Tunneling Protocol) PPTP 是微軟所建立的協定, 可以讓遠端網路安全地傳送資料到 企業網路 第二層隧道協定 (L2TP, Layer 2 Tunneling Protocol) 由 Cisco 和微軟所建立的 L2TP 是要用來取代 L2F 與 PPTP。 L2TP 將 L2F 和 PPTP 的能力合併在單一的隧道協定中 通用遶送封裝 (Generic Routing Encapsulation, GRE) 這是 另一個 Cisco 專屬的隧道協定。它會形成虛擬的點對點鏈結, 可以將多種協定封裝在 IP 隧道中 91 IPSec 簡介 IPSec 是一組產業標準的協定和演算法, 可以在 OSI 模型第三層的網路層運作, 在 IP 網路上進行安全的資 料傳輸。 IPSec 本身無法用來加密非 IP 的交通。對於非 IP 交 通, 則必須先為它建立 GRE 隧道, 然後使用 IPSec 來 加密隧道 IPSec 轉換會指定單一安全性協定和它對應的安全性 演算法;沒有這些轉換, IPSec 將無法運作 IPSec 使用的兩個主要安全性協定是驗證標頭 (Authentication Header, AH) 和封裝安全性有效負載 (Encapsulating Security Payload, ESP) 92 AH AH 協定使用單向雜湊 (one-way hash) 來提供 封包資料和 IP 標頭的驗證 運作方式:傳送端產生單向的雜湊;然後接收 端產生相同的單向雜湊。如果封包發生任何改 變, 就不能通過驗證, 而且會被丟棄 IPSec 依賴 AH 來鑑別來源端。AH 會檢查整個 封包, 但是並不提供任何加密服務。ESP 則只 提供封包資料的完整性查核 93 ESP 機密性使用諸如 DES 或 3DES 等對稱式加密演算法來提供機 密性。其他所有服務都可以個別選擇所要的機密性, 但 VPN 所 有端點所選擇的機密性都必須相同 資料來源驗證和無連線式完整性資料來源驗證和無連線式完整 性是共同的服務, 是搭配機密性服務的一個選項 防封包重送服務只有在已選擇資料來源驗證服務的情況下, 才能 使用防封包重送服務。防封包重送的選擇是以接收端為基礎, 也 就是說, 只有接收端檢查序號時, 這個服務才會有效 交通流若要進行交通流的保密, 則必須選擇隧道模式。如果是在 累積大量交通的安全性閘道中實作, 則最為有效 - 因為在這種 大量交通的情況下, 最容易遮蔽掉真正的來源 - 目的模式, 也就 是壞蛋嘗試要破壞網路安全性所要的東西 94 使用 SDM 設定 VPN / IPSec(1) 在 Corp 和 R3 路由器間直接加入 VPN 連線 在 Tasks 功能選單中點選 VPN 後, 點選 Site-to-Site VPN, 然後就會看到 Create Site-to-Site VPN 頁籤 95 使用 SDM 設定 VPN / IPSec(2) 選擇 Create Site-to-Site VPN, 然後點選 Launch the Selected Task 以進入網點對網點 VPN 的畫面 96 使用 SDM 設定 VPN / IPSec(3) 點選 View Defaults, 並檢視路由器設定了什麼: 97 使用 SDM 設定 VPN / IPSec(4) 在點選 Close 之後, 點選 Next 進入 VPN Connection Information 畫面: 98 使用 SDM 設定 VPN / IPSec(5) 在對等路由器 (R3) 中加入靜態 IP 位址、預先 共享金鑰、選擇 Corp 路由器的來源位址和目 的位址。接著點選 Next 99 使用 SDM 設定 VPN / IPSec(6) 這裡會看到執行 IPSec 之 VPN 的組態摘要。 只要點選 Finish, 接著就會出現以下的畫面: 它詢問我們是否要測試 VPN 連線, 點選 Yes 100 使用 SDM 設定 VPN / IPSec(7) SDM 接著傳回另一個畫面詢問我們來源和目的 位址, 以及我們是 否想要產生交通, 或是由 SDM 產 生。這時我們選 擇由 SDM 產生 101 使用 SDM 設定 VPN / IPSec(8) 接著收到 SDM 的回應表示鏈結有問題, 並詢問 是否可以讓 SDM 進行修正。好啊!然後, 我們 就收到下面的畫面: 所以它找到了問題, 並加以修正 102 使用 SDM 設定 VPN / IPSec(9) 讓我們來看看有哪些Corp 路由器的運行組態 被上傳到路由器的組態中: 103 使用 SDM 設定 VPN / IPSec(10) 104 設定 VPN 隧道的QoS (1) 從 R3 路由器開始。在連上 SDM 後, 點選 Configure 按鈕, 然 後點選 Tasks 功能表中的 Quality of Service 105 設定 VPN 隧道的QoS (2) 接著點選 Launch QoS Wizard 106 設定 VPN 隧道的QoS (3) 在點選 Next 之後, 選擇想要用來當作來源或離 開埠的界面, 然後點選 Next 107 設定 VPN 隧道的QoS (4) 從 QoS Policy Generation 畫面中, 建立不同類型資料的頻寬 分配。根據預設, SDM 會為典型的環境建立 3 種 QoS 等級。 您可以點選 View Details 以取得更多的資訊。這時我們點選 Next 108 設定 VPN 隧道的QoS (5) 如果 SDM 順利的話, 它會繼續並開啟這個界面 的「NBAR 協定發現」功能 網路式應用辨識 (Network Based Application Recognition, NBAR) 讓您能夠精確地識別並區 分關鍵和需要最佳化的應用 - 例如 ERP 109 設定 VPN 隧道的QoS (6) 在完成這些應用的分類之後, 就得以保證它們能 夠使用的最小頻寬 基本上它們是政策式遶送 (policy routed), 但如 果這些重要應用被分類後, 它們就可以保證有最 低數量的頻寬、使用政策式遶送、或被標示能 接受特別待遇 這時我們點選 Yes, 下個畫面會顯示 QoS 的等 級, 以及即時交通與業務關鍵交通的值 110 設定 VPN 隧道的QoS (7) 111 設定 VPN 隧道的QoS (8) 點選 Close - 然後 SDM 會顯示組態設定的。 這裡只在圖中 顯示頁面的最上端 點選 Finish 將組態設定上傳到路由器 112