Professional Documents
Culture Documents
M3 102-2router
M3 102-2router
路由器簡介及管理 - 教育訓練
講師 : 廖文山
課程綱要
路由器簡介及管理
認識 IP 位址及等級( Class )
CISCO IOS 簡介
認識 IOS 指令
IP 路由器 1921/2921
IP Security ( ACL )介紹
Policy-Based Routing Using Route Maps
M3 網路環境架構說明
2
認識 IP 位址及等級 (Class)
IP 位址
等級( Class )
IP 的 Net_ID 和 Host_ID
Net Mask
簡易子網路切割
不分等級的 IP
公共 IP 與私有 IP
3
認識 IP 位址及等級 (Class)
IP 位址
IP 位址是四組用“ .” 分開的十進位數字
每一組都是一個 8-bit 的二進位數字,合起來一個 32-bit 的 IP 位
址,亦即是 IP v4
十進位是為了日常使用習慣方便判讀
4
認識 IP 位址及等級 (Class)
IP 位址
在 8 位元的二進位數字中,下列表各位置分別代表以下十進位數值
十進位數值換成二進位數值表示
00101011
對照上列表格,依序填入,再將 1 的數值加總,即可得到
十進位的值 43
5
認識 IP 位址及等級 (Class)
IP 位址
將二進位 IP ,轉換成十進位表示
10101100 . 00010001 . 11111110 . 11111100
對照下列表格,依序填入,再將 1 的數值加總,即可得到
十進位的 IP 172.17.254.252
6
認識 IP 位址及等級 (Class)
等級( Class )
IP 位址全部用二進位來表示
第一組 8-bit 二進位數字
如果是以“ 0” 開頭的,這是一個 A Class 的 IP
如果是以“ 10” 開頭的,這是一個 B Class 的 IP
如果是以“ 110” 為開頭的,則屬於 C Class 的 IP
其它記法
由 1 到 126 開頭的 IP 是 A Class 的 IP
由 128 到 191 開頭的 IP 是 B Class 的 IP
由 192 到 223 開頭的則為 C Class 的 IP
7
認識 IP 位址及等級 (Class)
IP 的 Net_ID 和 Host_ID
A Class 的 IP 使用最前面一組數字來做 Net ID ,剩下三組做 Host
ID
B Class 的 IP 使用前面兩組數字來做 Net ID ,剩下的二組做 Host
ID
C Class 的 IP 使用前面三組數字來做 Net ID ,剩下的一組做 Host
ID
您家的電話號碼,如果是 1234567 ( Host ID ) 的話,那麼在相同
區號 ( Net ID )裡,其他人將不會再使用這個號碼( HostID 是唯一
的)
整個 IP 位址( Net ID + Host ID )在 Internet 上也必須是唯一的
8
認識 IP 位址及等級 (Class)
IP 的 Net_ID 和 Host_ID
指定 Host ID 的時候,換成二進位的話,不可以是全部為 0 ,也不
可以是全部為 1
當 Host ID 全部為 0 的時候,指的是網路本身識別碼;而全部為 1
的時候,則為該網路的廣播位址,代表的是該網路上的所有主機
9
認識 IP 位址及等級 (Class)
IP 的 Net_ID 和 Host_ID
A Class 第一個 bit 必須為 0 ,第一組的 8 - bit 就只有 7 個 bit 是
可變化的。那麼 27 = 128 ,再減去 127 這個 Net ID 不能使用,那
麼我們實際上最多只能劃分 127 的 A Class 的網路
每個 A Class 的網路之下 Host ID 之 bit 數目 2 的 24 次方,亦即
16,777,216 個 Host ID ,不可以全部為 0 或 1 ,扣掉兩個,分配給
主機使用的位址有 16,777,214 個
10
認識 IP 位址及等級 (Class)
Net Mask
使用分等級的 IP 位址的時候,我們也可以使用預設的 mask
A Class 的 mask 是 255.0.0.0
B Class 的 mask 是 255.255.0.0
C Class 的則是 255.255.255.0
Net Mask 和各等級 IP 對應,把 255 換算為二進位 11111111
被 1 所對應的 IP 部份就是 Net ID ,被 0 所對應部份就是 Host ID
11
認識 IP 位址及等級 (Class)
簡易子網路切割
透過 IP 子網路切割,可以將一個 IP 位址區塊切割成多個 IP 區塊,每
個區塊分配一個獨立的網段使用。
切割子網路具體做法是從主機位元來借若干位元,達到增加子網路數
量方式
12
認識 IP 位址及等級 (Class)
簡易子網路切割
下列以常見 class C 網段 192.168.1.0 ( /24 )切為兩個子網路網段說
明子網路切割
要切為兩個子網段,所以會先向 Host ID 借一個位元( /25 ),則會
得到新的子網段為 192.168.1.0/25 、 192.168.1.128/25
13
認識 IP 位址及等級 (Class)
簡易子網路切割
以得到的新子網段為 192.168.1.0/25 為例
將剩下 Host ID 填為 0 ,得到該網段啟始 IP 為 192.168.1.0/25
將剩下 Host ID 填為 1 ,得到該網段最末 IP 為 192.168.1.127/25
上述啟始 IP ,一般情況下代表的是網段本身的位置,所以不會拿來
做設備 IP 使用;而最末 IP 代表是該網段的廣播位置,同樣也不會拿
來做設備 IP 使用
14
認識 IP 位址及等級 (Class)
簡易子網路切割
所以新子網段可以使用的 IP 位置,實際為 192.168.1.1/25
Host ID 為 0000001 ,到 192.168.1.126/25 , Host ID 為 1111110
請參考上述例子,計算 192.168.1.128/25 的實際可使用 IP 位置範圍
15
認識 IP 位址及等級 (Class)
不分等級的 IP
使用的是 CIDR ( Classless Inter-Domain Routing )技術
不必理會 IP 的開首字元,可以任意設定 Net Mask 長度
例如原本屬於 C Class 的網路也可以使用 255.255.0.0 這樣的 mask
CIDR 引入之後, IP 表現方法
139.175.152.254/255.255.0.0 =>139.175.152.254/16
192.168.1.1/255.255.255.0 =>192.168.1.1/24
16
認識 IP 位址及等級 (Class)
公共 IP 與私有 IP
經過 InterNIC ( Network Information Center )合法授權使用,由
ISP 分配下來的 IP 稱之為 公共 IP ( Public IP )
無需註冊就能自由使用的 IP ,稱之為 私有 IP ( Private IP )
在 A 、 B 、 C 三個層級裡面,各劃出一些位址範圍保留給私有位址
所用
10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255
17
認識 IP 位址及等級 (Class)
私有 IP
使用私有 IP 限制
私有位址的路由資訊不能對外散播
使用私有位址作為來源或目的位址的封包,不能透過 Internet 來轉送
關於私有位址的參考紀錄,只能限於內部網路使用
使用私有位址來設定網路的時候,就無需擔心會和其它也使用相同位
址的網路衝突
私有 IP 要連上 intetnet 的時候,可以使用代理伺服器( proxy )或
IP 轉換( NAT --- Network Addresss Translation )等技術
18
CISCO IOS 簡介
CISCO IOS
CISCO IOS 功能
CISCO 設備的設定方式
CISCO IOS 種類
CISCO IOS 類別
CISCO IOS 版本功能支援
CISCO IOS 新版本種類
CISCO IOS 新舊版本功能對照
CISCO IOS 新版 IOS 舉例
19
CISCO IOS 簡介
CISCO IOS
指的是 Cisco 設備上的軟體,透過這軟體可以下達指令給大部分的
Cisco 設備
可以看成 Cisco 設備上的作業系統一樣,所有的操作與設定都是在
Cisco IOS 上面完成
20
CISCO IOS 簡介
CISCO IOS 功能
運載網路通訊協定和功能 IP 路由器
對產生高速流量的設備進行連接
增加網路安全性
提供網路的可擴展性
可靠的連接網路資源
21
CISCO IOS 簡介
CISCO 設備的設定方式
Cisco IOS 是以 CLI ( Command Line Interface )的方式來操作,也
就是透過命令列的方式來操作
Cisco IOS 提供許多功能與指令來操作 Cisco 設備,也允許多種不同的
連線方式來設定
透過 Cisco 網路設備的 console 埠
透過 modem 連接 auxiliary ( Aux )埠
透過 VTY 線路來 telnet/SSH 登入
22
CISCO IOS 簡介
CISCO IOS 種類
Base 類別
特色: Entry level package
版本: IP Base, Enterprise Base
Services 類別
特色: Addition of MPLS, NetFlow, VoIP, VoFR, and ATM
版本: SP Services, Enterprise Services
23
CISCO IOS 簡介
CISCO IOS 種類
Advanced 類別
特色: Addition of VPN, Cisco IOS IPsec, 3DES encryption, Cisco
IOS Firewall, Encryption, Intrusion Detection Systems (IDS)
版本: Advanced Security, Advanced IP Services
Enterprise 類別
特色: Addition of Layer 3 and Enterprise protocols
版本: Enterprise Base, Enterprise Services
24
CISCO IOS 簡介
CISCO IOS 類別
Advanced
Advanced Enterprise
Enterprise Services
Services
Full
FullCisco
Cisco IOS
IOS Software
Software Feature
Feature Set
Set
Advanced
Advanced IP
IP Services
Services Enterprise
Enterprise Services
Services
IPv6,
IPv6, Advanced
Advanced Security
Security and
and Enterprise
Enterprise Base,
Base, full
full IBM
IBM support
support
Service
Service Provider
Provider Services
Services and
and Service
Service Provider
Provider Services
Services
Advanced
Advanced Security
Security SP
SP Services
Services Enterprise
Enterprise Base
Base
Cisco
Cisco IOS
IOS Firewall,
Firewall, VPN,
VPN, IPSec
IPSec MPLS,
MPLS, Netflow,
Netflow, SSH,
SSH,ATM,
ATM, Enterprise
Enterprise Layer
Layer33 routed
routed protocols
protocolsand
and
3DES
3DES IDS,
IDS, SSH
SSH VoATM
VoATM IBM support
IBM support
IP
IP Voice
Voice
VoIP,
VoIP, VoFR
VoFR &
& IP
IP Telephony
Telephony
IP
IP Base
Base
Entry
Entry level
level Cisco
Cisco IOS
IOS
Software image
Software image
25
CISCO IOS 簡介
CISCO IOS 版本功能支援
ATM, AppleTalk,
Data VoIP and Firewall,
VoATM, IPX, IBM
Connectivity VoFR IDS, VPN
MPLS protocols
IP Base
x
IP Voice x x
Advanced Security x x
Enterprise Base x x
SP Services x x x
Advanced IP
Services x x x x
Enterprise Services x x x x
Advanced
Enterprise Services x x x x x
26
CISCO IOS 簡介
CISCO IOS 新版本種類
簡化 IOS 版本種類為 IP Base/ Universal 兩種
網路設備初始配置為 IP Base 版本
Universal image 版本 Security/ U.C./ Data 功能,依照購買的網路設
備 License Key 去啟動
27
CISCO IOS 簡介
CISCO IOS 新舊版本功能對照
如要沿用舊版本 IOS 功能時,可以依照下列列表對照相對映的新版 IOS 需啟動
的功能
28
CISCO IOS 簡介
CISCO IOS 新版 IOS 舉例
新版 IOS Universal image 版本,檔案名稱如下圖
npe = No Payload Encryption (某些特殊國家會使用)
c2900-universalk9-mz
C2901 & C2911 &
C2921
c2900-universalk9_npe-mz
29
認識 IOS 指令
CISCO IOS 指令
CISCO IOS 操作模式
CISCO IOS 常用設定指令 – 網路設備基本設定
CISCO IOS 常用設定指令 – 網路設備路由設定
CISCO IOS 常用設定指令 – 網路設備介面的設定
CISCO IOS 常用設定指令 – 網路設備組態設定儲存 / 刪除
CISCO IOS 常用設定指令 – 網路設備介面組態設定恢復
CISCO IOS 常用 show 指令
CISCO IOS 常用設定指令 – 測試網路設備連線狀態
CISCO IOS 常用設定指令 – 不存組態設定恢復上次儲存設定值
30
認識 IOS 指令
CISCO IOS 指令
Cisco CLI 使用階層式結構,每層結構需要進入不同的模式以完成設定
每個組態模式都可以特殊提示符號識別,且只允許輸入執行適合那個
模式的指令
例如要設定路由器的介面,使用者就必須進入到介面組態模式,而進
入介面組態模式的所有組態設定都只會套用在那個介面上
另外在每個模式透過輸入問號( ? ),可以顯示在目前該模式下,可
以輸入使用的指令選項清單
31
認識 IOS 指令
CISCO IOS 操作模式
CLI 的操作模式
User EXEC Mode (使用者執行模式 > )-只能觀看設備的基本狀態
與資訊,無法對設備的設定做任何修改
Privileged EXEC Mode (特權執行模式 # )-可以使用所有的指令,
進入特權執行模式通常需要輸入密碼(為了安全理由, Cisco 網路設
備將不顯示鍵入的密碼)
Global Configuration Mode (整體組態模式 # )-對整體做設定
實機操作指令流程如下
Hostname> → user mode
Hostname> enable → 進到 privileged mode
Hostname# configure terminal → 進入 global config mode
32
認識 IOS 指令
CISCO IOS 常用設定指令 – 網路設備基本設定
設定設備 Hostname
Hostname(config)# hostname Hostname
設定設備特權模式密碼
Hostname(config)# enable password PASSWORD
密碼大小寫有分
33
認識 IOS 指令
CISCO IOS 常用設定指令 – 網路設備基本設定
設定特權模式加密式密碼
Hostname(config)# enable secret PASSWORD
密碼大小寫有分
將設備密碼加密
Hostname(config)# service password-encryption
加密過後,設備組態檔內密碼顯示如下
34
認識 IOS 指令
CISCO IOS 常用設定指令 – 網路設備基本設定
設定設備 syslog buffer 大小
Hostname(config)# logging buffered size
size 預設為 4096bytes
35
認識 IOS 指令
CISCO IOS 常用設定指令 – 網路設備路由設定
設定網路設備靜態路由
Hostname(config)# ip route DestinationPrefix Mask Next-hop
設定網路設備預設路由
Hostname(config)# ip route 0.0.0.0 0.0.0.0 Next-hop
36
認識 IOS 指令
CISCO IOS 常用設定指令 – 網路設備基本設定
設定網路設備可以 telnet 遠端管理
Hostname(config)# line vty 0 4 --- 依實際連線需求設定
Hostname(config-line)# password PASSWORD --- 設定密碼
Hostname(config-line)# login --- 啟動登入密碼驗證
密碼大小寫有分
37
認識 IOS 指令
CISCO IOS 常用設定指令 – 網路設備介面的設定
進入介面設定模式
Hostname(config)# interface fa0/1( 依實際介面編號輸入 )
在 interface 下設 IP address
Hostname(config-if)# ip address 192.168.1.1 255.255.255.0
在 interface 下註解
Hostname(config-if)# description [ 描述 ]
設定 interface 的速度
Hostname(config-if)# speed {10/100/1000/auto}
設定全雙工 / 半雙工 /auto
Hostname(config-if)# duplex {full/half}
啟動介面
Hostname(config-if)# no shutdown
38
認識 IOS 指令
CISCO IOS 常用設定指令 – 網路設備組態設定儲存 / 刪除
將運行組態設定( DRAM ),儲存至啟動組態設定( NVRAM )
Hostname# copy running-config stratup-config
刪除啟動組態設定
Hostname# erase stratup-config 或
Hostname# write erase
39
認識 IOS 指令
CISCO IOS 常用設定指令 – 網路設備介面組態設定恢復
將介面上組態設定恢復為原廠預設值
Hostname(config)# default interface fa0/1 (依實際介面編號輸
入)
將介面上網路屬性欄位數值清空
Hostname# clear counters fa0/1 (依實際介面編號輸入)
40
認識 IOS 指令
CISCO IOS 常用 show 指令
show version
檢視設備 IOS 版本資訊
=> c2800nm-advipservicesk9-mz.124-15.T1.bin
最近一次設備重開方式
=> power-on
41
認識 IOS 指令
CISCO IOS 常用 show 指令
show version
檢視設備上線運作總計時間
=> 1 week, 1 day, 38 minutes
檢視設備實際配置 Memory 大小
=> 60416K/5120K => 64Mbytes
42
認識 IOS 指令
CISCO IOS 常用 show 指令
show version
檢視設備上全部介面數量 / 種類資訊
=> 2 Ethernet 、 97 serial 、 4 T1
43
認識 IOS 指令
CISCO IOS 常用 show 指令
show session
檢視路由器與遠端裝置正在進行的連線,可用 disconnect 終止連線
其中 * 代表是目前的終端機連線
44
認識 IOS 指令
CISCO IOS 常用 show 指令
show protocols
檢視路由器上每個介面第一層( L1 )與第二層( L2 )狀態,也可以
知道介面上 IP 資訊
45
認識 IOS 指令
CISCO IOS 常用 show 指令
show users
檢視路由器上所有登入連線中的控制台( console )與 VTY 的使用者
其中 * 代表是目前的本身連線資訊
要清除登入連線 Router # clear line 67
46
認識 IOS 指令
CISCO IOS 常用 show 指令
show ip arp
檢視路由器上 arp 快取表上的 arp 資訊
47
認識 IOS 指令
CISCO IOS 常用 show 指令
show ip route
檢視路由器上路由表的現在使用的路由資訊
48
認識 IOS 指令
CISCO IOS 常用 show 指令
show cdp neighbors
檢視路由器上介面所直接介接的網路設備資訊(須 support CDP )
49
認識 IOS 指令
CISCO IOS 常用 show 指令
show cdp neighbors detail
檢視路由器上介面所直接介接的網路設備詳細資訊(設備 IP 、 IOS 版
本等)
50
認識 IOS 指令
CISCO IOS 常用 show 指令
Show interface fa0/0 (依實際介面編號輸入)
檢視路由器上介面運作狀態
51
認識 IOS 指令
CISCO IOS 常用 show 指令
Show ip interface brief
檢視路由器上所有介面運作狀態(含介面 IP 設定)
52
認識 IOS 指令
CISCO IOS 常用 show 指令
Show inventory
檢視路由器設備本身及所有裝載卡板模組資訊
53
認識 IOS 指令
CISCO IOS 常用 show 指令
Show diag
檢視路由器設備本身及所有裝載卡板模組詳細資訊
54
認識 IOS 指令
CISCO IOS 常用 show 指令
Show environment all
檢視路由器設備上電源、風扇、溫度、主機板上電池等狀態
55
認識 IOS 指令
CISCO IOS 常用 show 指令
Show log
檢視路由器上 log 紀錄 (log 儲存數量依 log buffered size 而定 )
56
認識 IOS 指令
CISCO IOS 常用 show 指令
Show ntp status
檢視路由器與 NTP server 間連線校時狀態
57
認識 IOS 指令
CISCO IOS 常用 show 指令
show running-config
檢視路由器現在運行中的網路設備組態設定(下略)
58
認識 IOS 指令
CISCO IOS 常用 show 指令
show startup-config
檢視路由器儲存在 NVRAM 的網路設備組態設定
路由器開機時,都會從 NVRAM 自動載入組態設定檔
59
認識 IOS 指令
CISCO IOS 常用設定指令 – 測試網路設備連線狀態
在網路設備 CLI 的使用者執行模式( > )下,執行指令測試連線狀態
測試到某一 IP 位置連線是否有通
Hostname>ping IP address
追蹤封包到某一 IP 連線全部經過的路徑
Hostname>traceroute IP address
測試到某一 IP 位置連線是否有通,帶 source IP (同網段 IP )去 ping
Hostname>ping IP address source IP address
60
認識 IOS 指令
CISCO IOS 常用設定指令 – 不存組態設定恢復上次儲存設定值
在網路設備開機後,如果有進行操作改變組態設定,想恢復上次儲存
的設定值,可以在 CLI 的特權執行模式( # )下,執行指令重新啟動
設備(重開機),同時選擇不存檔。重開機後,設備恢復為上次組態
設定值
Hostname# reload
61
IP 路由器
思科整合路由器系列 (第一代)
思科整合路由器系列 (第二代)
路由器 CISCO 1921 網路硬體設備介紹
路由器 CISCO 2921 網路硬體設備介紹
CISCO 1921 & 2921 硬體規格
CISCO 1921 硬體 FAN
CISCO 2921 硬體 FAN
62
IP 路由器
思科整合路由器系列(第一代)
63
IP 路由器
思科整合路由器系列(第二代)
64
IP 路由器
思科整合路由器系列(第二代)特點
2900/1941 性能超過市面上其它產品
性能大幅提升, 2900/1941 可以滿足以前使用 3800/2800 的環境
第二代整合路由器價位與第一代整合路由器接近
全系列設備皆備有 GE 介面,符合新一代網路環境使用需求
內建介面全部是 GE ,最多 3 個,適合用戶端對介接 GE 介面的需求
65
IP 路由器
第二代整合路由器支援服務模組和介面卡
66
IP 路由器
第二代整合路由器支援服務模組和介面卡
67
IP 路由器
第二代整合路由器支援服務模組和介面卡
68
IP 路由器
第二代整合路由器支援服務模組和介面卡
69
IP 路由器
第二代整合路由器支援服務模組和介面卡
70
IP 路由器
路由器 CISCO 1921 網路硬體設備介紹
Cisco 1921 是 ISR G2 ( Integrated Services Routers Generation
2 )路由器
C isco 1921 提供模組化平台( modular platform )
提供支援廣域網路 WAN 和區域網路 LAN 的傳輸介面
下圖是 Cisco 1921 硬體外觀示意圖
71
IP 路由器
路由器 CISCO 2921 網路硬體設備介紹
Cisco 2921 是 ISR G2 ( Integrated Services Routers Generation
2 )路由器
C isco 2921 提供模組化平台( modular platform )
提供支援廣域網路 WAN 和區域網路 LAN 的傳輸介面
下圖是 Cisco 2921 硬體外觀示意圖
72
IP 路由器
CISCO 1921 & 2921 硬體規格
Cisco1921 硬體規格表
73
IP 路由器
CISCO 1921 & 2921 硬體規格
Cisco2921 硬體規格表
74
IP 路由器
CISCO 1921 & 2921 硬體規格
Cisco1921 & 2921 硬體規格對照表
1921 2921
ISM Slots 0 1
EHWIC Slots 2 4
3GE
Onboard WAN Ports 2GE
(1 SFP)
75
IP 路由器
CISCO 1921 硬體 FAN
下圖是 Cisco 1921 硬體 FAN 位置示意圖
76
IP 路由器
CISCO 2921 硬體 FAN
下圖是 Cisco 2921 硬體 FAN 位置示意圖
77
IP Security(ACL) 介紹
CISCO ACL 介紹
ACL 三種的設定模式
ACL 設定範例
ACL 套用後測試是否生效
78
IP Security(ACL) 介紹
CISCO ACL 介紹
針對來往傳輸的資料進行過濾的動作,這個過濾稱作為存取控制
( Access Control List )
使用 ACL 有兩個步驟
建立 ACL 的條件限制( Creating Access Lists )
將限制套用到某些介面( Applying Access Lists to Interfaces )
在 Cisco ACL 條件式中,最後自動都會有一條預設為 deny (隱
性) any 的條件式
在 Cisco ACL 條件式中,都應該至少要有一條 permit (允許)的條件,
不然這 ACL 套用到的介面實際上不會有任何資料通過
79
IP Security(ACL) 介紹
ACL 三種的設定模式
標準 ACL ( Standard ACLs )
可對 segment 及 Host 作為設定對象
編號範圍: 1 ~ 99
延伸 ACL ( Extended ACLs )
可對 segment 及 Host 作為設定對象
增加可針對 port number 設限
編號範圍: 100 ~ 199
命名 ACL ( IP Named ACLs )
可對 segment 及 Host 作為設定對象
增加可針對 port number 設限
細分為 Standard 跟 extended ,其編號使用同上
增加可「編輯」的 ACL Pools
80
IP Security(ACL) 介紹
ACL 三種的設定模式 – 標準 ACL ( Standard ACLs )
檢查封包的來源( source )位址,以決定允許或拒絕該封包經由網路
協定傳送出去
在網路設備組態設定模式 (config)# 下,進行 ACL 定義設定
Hostname(config)# access-list Access-List-number
{permit/deny} source-address wildcard-mask
上述 Access-List-number ,標準 ACL 通常會使用編號 1-99 ;而在
source-address 部份,則可透過之後的 wildcard mask 而限定為單一
來源 IP 或來源網段
81
IP Security(ACL) 介紹
ACL 三種的設定模式 – 延伸 ACL ( Extended ACLs )
檢查封包的來源( source )與目的端( destination )的位址,並須
指明檢查網路協定與通信埠號碼,以決定允許或拒絕該封包經由網路
協定傳送到目的端
在網路設備組態設定模式 (config)# 下,進行 ACL 定義設定
Hostname(config)# access-list Access-List-number {permit/deny}
protocol source-address wildcard-mask 〔 operator
port 〕 destination-address destination-wildcard 〔 operator
port 〕
上述 Access-List-number ,延伸 ACL 通常會使用編號 100-199 ;而
在 source-address 和 destination-address 部份,則可透過之後的
wildcard mask 而限定為單一來源 / 目的 IP 或來源 / 目的網段
82
IP Security(ACL) 介紹
ACL 三種的設定模式 – 命名 ACL ( IP Named ACLs )
檢查封包的來源( source )與目的端( destination )的位址,並須
指明檢查網路協定與通信埠號碼,以決定允許或拒絕該封包經由網路
協定傳送到目的端
在網路設備組態設定模式 (config)# 下,進行 ACL 定義設定
Hostname(config)# ip access-list {standard | extended} NAME
標準命名 ACL
Hostname(config-std-nacl)# {permit | deny} source-address
wildcard-mask
延伸命名 ACL
Hostname(config-ext-nacl)# {permit/deny} protocol source-
address wildcard-mask 〔 operator port 〕 destination-address
destination-wildcard 〔 operator port 〕
83
IP Security(ACL) 介紹
ACL 設定範例
依需求建立 ACL 的條件限制
deny tcp telnet service
permit ip any any (允許全部 IP service )
將限制套用到介面
interface Serial0/0/0
ip access-group 100 in
84
IP Security(ACL) 介紹
ACL 套用後測試是否生效
將 ACL 套用到網路設備介面後,可以用下列方式確認 ACL 是否生效
Hostname # show access-list Access-List-number
下列是以測試 access-list 101 確認是否有生效。若不指定 Access-list-
number ,則可以顯示設備上全部套用的 ACL
85
Policy-Based Routing Using Route
Policy-Based Routing 簡介
Maps
Route-Map 運作
Policy-Based Routing 應用
Pbr 設定範例
Pbr 驗證是否生效
86
Policy-Based Routing Using Route
Policy-Based Routing 簡介
Maps
Policy-Based Routing ( PBR )是一種靈活的資料封包經路由轉發機
制
使路由器根據路由映射( Route-Map )決定經過路由器的資料封包如
何進行處理
一個路由映射( Route-Map )由很多條策略( Policy )組成,每個
策略都定義了一個或多個匹配規則和對應操作
設備上每個介面只允许套用執行一個 Route-Map
87
Policy-Based Routing Using Route
Policy-Based Routing 簡介
Maps
將策略路由套用到設備介面後,將會對該介面所收到的所有資料封包
進行檢查
符合路由映射( Route-Map )策略的資料封包,就會按照策略中定義
的操作( Set… )進行處理
不符合路由映射( Route-Map )所定義的資料封包,將會依照正常路
由轉發方式( Routing table )處理
88
Policy-Based Routing Using Route
Route-Map 運作
Maps
依 Route-Map 定義編號,依序進行策略條件式比對
Route-map Name permit 10
Match …
Set …
Route-map Name Permit 20
Match …
Set …
不符合任何策略條件式所定義的路由策略,則依設備路由表遶送
89
Policy-Based Routing Using Route
Route-Map 運作
Maps
不輸入符合的條件,只設定動作,則代表控制該套用介面全部的資料
封包
Route-map Name permit 10
Match …
Set …
Route-map Name Permit 20
Set …
90
Policy-Based Routing Using Route
Route-Map 運作
Maps
Route-Map 選項是用 deny 不是 permit 時,則表示符合 Match 策略
條件式的資料封包,不會執行 Set 所指定的操作
Route-map Name permit 10
Match …
Set …
Route-map Name Deny 20
Match …
Set …
91
Policy-Based Routing Using Route
Policy-Based Routing 應用
Maps
主要應用在網路環境路由表複雜或者需要對路由進行控制的情況
例如網路環境中有兩條出口,需要對內部不同服務和應用或者不同用
戶的路由遶送方式進行控制
92
Policy-Based Routing Using Route
Policy-Based Routing 應用
Maps
網路環境中有兩條出口,需要對內部不同服務和應用或者不同用戶的
路由遶送方式進行控制
93
Policy-Based Routing Using Route
Policy-Based Routing 應用
Maps
指定內部網路中一些特定的用戶使用高頻寬線路,而一般用戶使用較
低速線路
94
Policy-Based Routing Using Route
Policy-Based Routing 應用
Maps
對於所提供服務不同的要求(如:轉送速率、頻寬需求、線路可靠性
等),根據實際網路狀況,分配使用不同的網路線路
95
Policy-Based Routing Using Route
Pbr 設定範例
Maps
先依需求設定 ACL 清單
access-list 1, 2
定義設定 Pbr
route-map Texas
依序設定 Route-Map 比對順序
permit 10
設定符合條件式,路由下一站位置
match ip address 1
set ip next-hop 3.3.3.3
重覆上述兩步驟設定 Pbr
permit 20
match ip address 2
set ip next-hop 3.3.3.5
96
Policy-Based Routing Using Route
Pbr 驗證是否生效
Maps
將 Route-Map 套用到網路設備介面後,可以用下列方式確認 Policy-
Base Routing 是否生效
Hostname # debug ip policy
Hostname # show access-list
Hostname # show route-map
Hostname # show ip policy
97
M3 網路環境架構說明
M3 網路建置範圍
M3 全案網路架構圖
M3 公路監理對外網路規劃
M3 公路監理 VPN 網路規劃
網路架構圖示型號對照表
98
M3 網路環境架構說明
M3 網路建置範圍
全國中心 ( 台北東七機房 )
異地備援中心 ( 台中文心機房 )
七區監理所 => 臺北市區監理所、高雄市區監理所、臺北區監理所、
新竹區監理所、臺中區監理所、嘉義區監理所、高雄區監理所
各地監理站 => 各地監理站、分站
公路人員訓練所、中訓 / 南訓中心
99
M3 網路環境架構說明
M3 全案網路架構圖
100
M3 網路環境架構說明
M3 公路監理對外網路規劃
全國中心
使用數據專線 (GSN) 2 路 100Mbps 頻寬連線與網際網路連結
異地備援中心
使用數據專線 (GSN) 2 路 100Mbps 頻寬連線與網際網路連結
101
M3 網路環境架構說明
M3 公路監理 VPN 網路規劃
全國中心
使用國內數據 ( 乙太介面 ) GSN VPN 採 2 條 FTTB 50Mbps 線路,與
公路監理 VPN 網路連結,建構後頻寬為 100Mbps
資料同步線路使用 2 條 50Mpbs 線路,與異地備援中心連結
異地備援中心
使用國內數據 ( 乙太介面 ) GSN VPN 採 2 條 FTTB 50Mbps 線路,與
公路監理 VPN 網路連結,建構後頻寬為 100Mbps
資料同步線路使用 2 條 50Mpbs 線路,與全國中心連結
102
M3 網路環境架構說明
M3 公路監理 VPN 網路規劃
七區監理所
使用 2 條 FTTB 線路建構 2 路 20Mbps ,連結公路監理 VPN 網路,
建構後頻寬為 40Mbps
103
M3 網路環境架構說明
網路架構圖示型號對照表
104
M3 網路環境架構說明
七區監理所整體網路架構
105
M3 網路環境架構說明
M3 公路監理 VPN 網路規劃
各地監理站
採 2 條 FTTB 或 ADSL 線路建構 2 路 4Mbps 頻寬連線,連結公路監理
VPN 網路,建構後頻寬為 8Mbps
若該監理站所在地區無 FTTB 線路,則使用 2 條 ADSL 線路 4Mbps/76
8Kbps 頻寬,與 GSN VPN 廣域網路連結
106
M3 網路環境架構說明
各地監理站整體網路架構
107
M3 網路環境架構說明
M3 公路監理 VPN 網路規劃
公路人員訓練所及中 / 南訓中心
採 2 條 FTTB 或 ADSL 線路建構 2 路 4Mbps 頻寬連線,建構後頻寬為
8Mbps ,連結公路監理 VPN 網路
若該據點所在地區無 FTTB 線路,則使用 2 條 ADSL 線路 4Mbps/768
Kbps 頻寬,與 GSN VPN 廣域網路連結
108
M3 網路環境架構說明
公路人員訓練所整體網路架構
109
M3 網路環境架構說明
中訓 / 南訓中心整體網路架構
110
M3 網路環境架構說明
全國中心整體網路架構
111
感謝聆聽
敬請指導