M3 102-2router

102-2(1)
路由器簡介及管理 - 教育訓練
講師 : 廖文山
課程綱要
路由器簡介及管理
 認識 IP 位址及等級（ Class ）
 CISCO IOS 簡介
 認識 IOS 指令
 IP 路由器 1921/2921
 IP Security （ ACL ）介紹
 Policy-Based Routing Using Route Maps
 M3 網路環境架構說明
2
認識 IP 位址及等級 (Class)
IP 位址
等級（ Class ）
IP 的 Net_ID 和 Host_ID
Net Mask
簡易子網路切割
不分等級的 IP
公共 IP 與私有 IP
3
IP 位址
 IP 位址是四組用“ .” 分開的十進位數字
 每一組都是一個 8-bit 的二進位數字，合起來一個 32-bit 的 IP 位
址，亦即是 IP v4
 十進位是為了日常使用習慣方便判讀
4
IP 位址
 在 8 位元的二進位數字中，下列表各位置分別代表以下十進位數值
 十進位數值換成二進位數值表示
00101011
對照上列表格，依序填入，再將 1 的數值加總，即可得到
十進位的值 43
5
IP 位址
 將二進位 IP ，轉換成十進位表示
10101100 . 00010001 . 11111110 . 11111100
對照下列表格，依序填入，再將 1 的數值加總，即可得到
十進位的 IP 172.17.254.252
6
等級（ Class ）
 IP 位址全部用二進位來表示
 第一組 8-bit 二進位數字
如果是以“ 0” 開頭的，這是一個 A Class 的 IP
如果是以“ 10” 開頭的，這是一個 B Class 的 IP
如果是以“ 110” 為開頭的，則屬於 C Class 的 IP
 其它記法
由 1 到 126 開頭的 IP 是 A Class 的 IP
由 128 到 191 開頭的 IP 是 B Class 的 IP
由 192 到 223 開頭的則為 C Class 的 IP
7
 A Class 的 IP 使用最前面一組數字來做 Net ID ，剩下三組做 Host
ID
B Class 的 IP 使用前面兩組數字來做 Net ID ，剩下的二組做 Host
ID
C Class 的 IP 使用前面三組數字來做 Net ID ，剩下的一組做 Host
ID
 您家的電話號碼，如果是 1234567 （ Host ID ）的話，那麼在相同
區號（ Net ID ）裡，其他人將不會再使用這個號碼（ HostID 是唯一
的）
 整個 IP 位址（ Net ID + Host ID ）在 Internet 上也必須是唯一的
8
 指定 Host ID 的時候，換成二進位的話，不可以是全部為 0 ，也不
可以是全部為 1
 當 Host ID 全部為 0 的時候，指的是網路本身識別碼；而全部為 1
的時候，則為該網路的廣播位址，代表的是該網路上的所有主機
9
 A Class 第一個 bit 必須為 0 ，第一組的 8 - bit 就只有 7 個 bit 是
可變化的。那麼 27 = 128 ，再減去 127 這個 Net ID 不能使用，那
麼我們實際上最多只能劃分 127 的 A Class 的網路
 每個 A Class 的網路之下 Host ID 之 bit 數目 2 的 24 次方，亦即
16,777,216 個 Host ID ，不可以全部為 0 或 1 ，扣掉兩個，分配給
主機使用的位址有 16,777,214 個
10
Net Mask
 使用分等級的 IP 位址的時候，我們也可以使用預設的 mask
A Class 的 mask 是 255.0.0.0
B Class 的 mask 是 255.255.0.0
C Class 的則是 255.255.255.0
 Net Mask 和各等級 IP 對應，把 255 換算為二進位 11111111
被 1 所對應的 IP 部份就是 Net ID ，被 0 所對應部份就是 Host ID
11
 透過 IP 子網路切割，可以將一個 IP 位址區塊切割成多個 IP 區塊，每
個區塊分配一個獨立的網段使用。
 切割子網路具體做法是從主機位元來借若干位元，達到增加子網路數
量方式
12
 下列以常見 class C 網段 192.168.1.0 （ /24 ）切為兩個子網路網段說
明子網路切割
要切為兩個子網段，所以會先向 Host ID 借一個位元（ /25 ），則會
得到新的子網段為 192.168.1.0/25 、 192.168.1.128/25
13
 以得到的新子網段為 192.168.1.0/25 為例
將剩下 Host ID 填為 0 ，得到該網段啟始 IP 為 192.168.1.0/25
將剩下 Host ID 填為 1 ，得到該網段最末 IP 為 192.168.1.127/25
 上述啟始 IP ，一般情況下代表的是網段本身的位置，所以不會拿來
做設備 IP 使用；而最末 IP 代表是該網段的廣播位置，同樣也不會拿
來做設備 IP 使用
14
 所以新子網段可以使用的 IP 位置，實際為 192.168.1.1/25
Host ID 為 0000001 ，到 192.168.1.126/25 ， Host ID 為 1111110
 請參考上述例子，計算 192.168.1.128/25 的實際可使用 IP 位置範圍
15
 不分等級的 IP
 使用的是 CIDR （ Classless Inter-Domain Routing ）技術
 不必理會 IP 的開首字元，可以任意設定 Net Mask 長度
 例如原本屬於 C Class 的網路也可以使用 255.255.0.0 這樣的 mask
 CIDR 引入之後， IP 表現方法
139.175.152.254/255.255.0.0 =>139.175.152.254/16
192.168.1.1/255.255.255.0 =>192.168.1.1/24
16
 公共 IP 與私有 IP
 經過 InterNIC （ Network Information Center ）合法授權使用，由
ISP 分配下來的 IP 稱之為公共 IP （ Public IP ）
 無需註冊就能自由使用的 IP ，稱之為私有 IP （ Private IP ）
 在 A 、 B 、 C 三個層級裡面，各劃出一些位址範圍保留給私有位址
所用
10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255
17
 私有 IP
 使用私有 IP 限制
私有位址的路由資訊不能對外散播
使用私有位址作為來源或目的位址的封包，不能透過 Internet 來轉送
關於私有位址的參考紀錄，只能限於內部網路使用
 使用私有位址來設定網路的時候，就無需擔心會和其它也使用相同位
址的網路衝突
 私有 IP 要連上 intetnet 的時候，可以使用代理伺服器（ proxy ）或
IP 轉換（ NAT --- Network Addresss Translation ）等技術
18
CISCO IOS 簡介
CISCO IOS
CISCO IOS 功能
CISCO 設備的設定方式
CISCO IOS 種類
CISCO IOS 類別
CISCO IOS 版本功能支援
CISCO IOS 新版本種類
CISCO IOS 新舊版本功能對照
CISCO IOS 新版 IOS 舉例
19
CISCO IOS 簡介
CISCO IOS
 指的是 Cisco 設備上的軟體，透過這軟體可以下達指令給大部分的
Cisco 設備
 可以看成 Cisco 設備上的作業系統一樣，所有的操作與設定都是在
Cisco IOS 上面完成
20
CISCO IOS 簡介
CISCO IOS 功能
 運載網路通訊協定和功能 IP 路由器
 對產生高速流量的設備進行連接
 增加網路安全性
 提供網路的可擴展性
 可靠的連接網路資源
21
CISCO IOS 簡介
CISCO 設備的設定方式
 Cisco IOS 是以 CLI （ Command Line Interface ）的方式來操作，也
就是透過命令列的方式來操作
 Cisco IOS 提供許多功能與指令來操作 Cisco 設備，也允許多種不同的
連線方式來設定
透過 Cisco 網路設備的 console 埠
透過 modem 連接 auxiliary （ Aux ）埠
透過 VTY 線路來 telnet/SSH 登入
22
CISCO IOS 簡介
CISCO IOS 種類
 Base 類別
特色： Entry level package
版本： IP Base, Enterprise Base
 Services 類別
特色： Addition of MPLS, NetFlow, VoIP, VoFR, and ATM
版本： SP Services, Enterprise Services
23
CISCO IOS 簡介
CISCO IOS 種類
 Advanced 類別
特色： Addition of VPN, Cisco IOS IPsec, 3DES encryption, Cisco
IOS Firewall, Encryption, Intrusion Detection Systems (IDS)
版本： Advanced Security, Advanced IP Services
 Enterprise 類別
特色： Addition of Layer 3 and Enterprise protocols
版本： Enterprise Base, Enterprise Services
24
CISCO IOS 簡介
CISCO IOS 類別
Advanced
Advanced Enterprise
Enterprise Services
Services
Full
FullCisco
Cisco IOS
IOS Software
Software Feature
Feature Set
Set
Advanced
Advanced IP
IP Services
Services Enterprise
Enterprise Services
Services
IPv6,
IPv6, Advanced
Advanced Security
Security and
and Enterprise
Enterprise Base,
Base, full
full IBM
IBM support
support
Service
Service Provider
Provider Services
Services and
and Service
Service Provider
Provider Services
Services
Advanced
Advanced Security
Security SP
SP Services
Services Enterprise
Enterprise Base
Base
Cisco
Cisco IOS
IOS Firewall,
Firewall, VPN,
VPN, IPSec
IPSec MPLS,
MPLS, Netflow,
Netflow, SSH,
SSH,ATM,
ATM, Enterprise
Enterprise Layer
Layer33 routed
routed protocols
protocolsand
and
3DES
3DES IDS,
IDS, SSH
SSH VoATM
VoATM IBM support
IBM support
IP
IP Voice
Voice
VoIP,
VoIP, VoFR
VoFR &
& IP
IP Telephony
Telephony
IP
IP Base
Base
Entry
Entry level
level Cisco
Cisco IOS
IOS
Software image
Software image
25
CISCO IOS 簡介
CISCO IOS 版本功能支援
ATM, AppleTalk,
Data VoIP and Firewall,
VoATM, IPX, IBM
Connectivity VoFR IDS, VPN
MPLS protocols
IP Base
x
IP Voice x x
Advanced Security x x
Enterprise Base x x
SP Services x x x
Advanced IP
Services x x x x
Enterprise Services x x x x
Advanced
Enterprise Services x x x x x
26
CISCO IOS 簡介
CISCO IOS 新版本種類
 簡化 IOS 版本種類為 IP Base/ Universal 兩種
 網路設備初始配置為 IP Base 版本
 Universal image 版本 Security/ U.C./ Data 功能，依照購買的網路設
備 License Key 去啟動
27
CISCO IOS 簡介
CISCO IOS 新舊版本功能對照
 如要沿用舊版本 IOS 功能時，可以依照下列列表對照相對映的新版 IOS 需啟動
的功能
28
CISCO IOS 簡介
CISCO IOS 新版 IOS 舉例
 新版 IOS Universal image 版本，檔案名稱如下圖
 npe = No Payload Encryption （某些特殊國家會使用）
c2900-universalk9-mz
C2901 & C2911 &
C2921
c2900-universalk9_npe-mz
29
認識 IOS 指令
CISCO IOS 指令
CISCO IOS 操作模式
CISCO IOS 常用設定指令 – 網路設備基本設定
CISCO IOS 常用設定指令 – 網路設備路由設定
CISCO IOS 常用設定指令 – 網路設備介面的設定
CISCO IOS 常用設定指令 – 網路設備組態設定儲存 / 刪除
CISCO IOS 常用設定指令 – 網路設備介面組態設定恢復
CISCO IOS 常用 show 指令
CISCO IOS 常用設定指令 – 測試網路設備連線狀態
CISCO IOS 常用設定指令 – 不存組態設定恢復上次儲存設定值
30
認識 IOS 指令
CISCO IOS 指令
 Cisco CLI 使用階層式結構，每層結構需要進入不同的模式以完成設定
 每個組態模式都可以特殊提示符號識別，且只允許輸入執行適合那個
模式的指令
 例如要設定路由器的介面，使用者就必須進入到介面組態模式，而進
入介面組態模式的所有組態設定都只會套用在那個介面上
 另外在每個模式透過輸入問號（ ? ），可以顯示在目前該模式下，可
以輸入使用的指令選項清單
31
認識 IOS 指令
CISCO IOS 操作模式
 CLI 的操作模式
User EXEC Mode （使用者執行模式 > ）－只能觀看設備的基本狀態
與資訊，無法對設備的設定做任何修改
Privileged EXEC Mode （特權執行模式 # ）－可以使用所有的指令，
進入特權執行模式通常需要輸入密碼（為了安全理由， Cisco 網路設
備將不顯示鍵入的密碼）
Global Configuration Mode （整體組態模式 # ）－對整體做設定
 實機操作指令流程如下
Hostname> → user mode
Hostname> enable → 進到 privileged mode
Hostname# configure terminal → 進入 global config mode
32
認識 IOS 指令
 設定設備 Hostname
Hostname(config)# hostname Hostname
 設定設備特權模式密碼
Hostname(config)# enable password PASSWORD
密碼大小寫有分
33
認識 IOS 指令
 設定特權模式加密式密碼
Hostname(config)# enable secret PASSWORD
 將設備密碼加密
Hostname(config)# service password-encryption
加密過後，設備組態檔內密碼顯示如下
34
認識 IOS 指令
 設定設備 syslog buffer 大小
Hostname(config)# logging buffered size
size 預設為 4096bytes
 設定設備 default gateway

Hostname(config)# ip default-network IP --- 路由器設定方式
Hostname(config)# ip default-gateway IP --- 交換器設定方式
35
認識 IOS 指令
CISCO IOS 常用設定指令 – 網路設備路由設定
 設定網路設備靜態路由
Hostname(config)# ip route DestinationPrefix Mask Next-hop
 設定網路設備預設路由
Hostname(config)# ip route 0.0.0.0 0.0.0.0 Next-hop
36
認識 IOS 指令
 設定網路設備可以 telnet 遠端管理
Hostname(config)# line vty 0 4 --- 依實際連線需求設定
Hostname(config-line)# password PASSWORD --- 設定密碼
Hostname(config-line)# login --- 啟動登入密碼驗證
37
認識 IOS 指令
CISCO IOS 常用設定指令 – 網路設備介面的設定
 進入介面設定模式
Hostname(config)# interface fa0/1( 依實際介面編號輸入 )
在 interface 下設 IP address
Hostname(config-if)# ip address 192.168.1.1 255.255.255.0
在 interface 下註解
Hostname(config-if)# description [ 描述 ]
設定 interface 的速度
Hostname(config-if)# speed {10/100/1000/auto}
設定全雙工 / 半雙工 /auto
Hostname(config-if)# duplex {full/half}
啟動介面
Hostname(config-if)# no shutdown
38
認識 IOS 指令
CISCO IOS 常用設定指令 – 網路設備組態設定儲存 / 刪除
 將運行組態設定（ DRAM ），儲存至啟動組態設定（ NVRAM ）
Hostname# copy running-config stratup-config
 刪除啟動組態設定
Hostname# erase stratup-config 或
Hostname# write erase
39
認識 IOS 指令
CISCO IOS 常用設定指令 – 網路設備介面組態設定恢復
 將介面上組態設定恢復為原廠預設值
Hostname(config)# default interface fa0/1 （依實際介面編號輸
入）
 將介面上網路屬性欄位數值清空
Hostname# clear counters fa0/1 （依實際介面編號輸入）
40
認識 IOS 指令
 show version
檢視設備 IOS 版本資訊
=> c2800nm-advipservicesk9-mz.124-15.T1.bin
最近一次設備重開方式
=> power-on
41
認識 IOS 指令
 show version
檢視設備上線運作總計時間
=> 1 week, 1 day, 38 minutes
檢視設備實際配置 Memory 大小
=> 60416K/5120K => 64Mbytes
42
認識 IOS 指令
 show version
檢視設備上全部介面數量 / 種類資訊
=> 2 Ethernet 、 97 serial 、 4 T1
43
認識 IOS 指令
 show session
檢視路由器與遠端裝置正在進行的連線，可用 disconnect 終止連線
其中 * 代表是目前的終端機連線
44
認識 IOS 指令
 show protocols
檢視路由器上每個介面第一層（ L1 ）與第二層（ L2 ）狀態，也可以
知道介面上 IP 資訊
45
認識 IOS 指令
 show users
檢視路由器上所有登入連線中的控制台（ console ）與 VTY 的使用者
其中 * 代表是目前的本身連線資訊
要清除登入連線 Router # clear line 67
46
認識 IOS 指令
 show ip arp
檢視路由器上 arp 快取表上的 arp 資訊
47
認識 IOS 指令
 show ip route
檢視路由器上路由表的現在使用的路由資訊
48
認識 IOS 指令
 show cdp neighbors
檢視路由器上介面所直接介接的網路設備資訊（須 support CDP ）
49
認識 IOS 指令
 show cdp neighbors detail
檢視路由器上介面所直接介接的網路設備詳細資訊（設備 IP 、 IOS 版
本等）
50
認識 IOS 指令
 Show interface fa0/0 （依實際介面編號輸入）
檢視路由器上介面運作狀態
51
認識 IOS 指令
 Show ip interface brief
檢視路由器上所有介面運作狀態（含介面 IP 設定）
52
認識 IOS 指令
 Show inventory
檢視路由器設備本身及所有裝載卡板模組資訊
53
認識 IOS 指令
 Show diag
檢視路由器設備本身及所有裝載卡板模組詳細資訊
54
認識 IOS 指令
 Show environment all
檢視路由器設備上電源、風扇、溫度、主機板上電池等狀態
55
認識 IOS 指令
 Show log
檢視路由器上 log 紀錄 (log 儲存數量依 log buffered size 而定 )
56
認識 IOS 指令
 Show ntp status
檢視路由器與 NTP server 間連線校時狀態
57
認識 IOS 指令
 show running-config
檢視路由器現在運行中的網路設備組態設定（下略）
58
認識 IOS 指令
 show startup-config
檢視路由器儲存在 NVRAM 的網路設備組態設定
路由器開機時，都會從 NVRAM 自動載入組態設定檔
59
認識 IOS 指令
CISCO IOS 常用設定指令 – 測試網路設備連線狀態
 在網路設備 CLI 的使用者執行模式（ > ）下，執行指令測試連線狀態
測試到某一 IP 位置連線是否有通
Hostname>ping IP address
追蹤封包到某一 IP 連線全部經過的路徑
Hostname>traceroute IP address
 測試到某一 IP 位置連線是否有通，帶 source IP （同網段 IP ）去 ping
Hostname>ping IP address source IP address
60
認識 IOS 指令
CISCO IOS 常用設定指令 – 不存組態設定恢復上次儲存設定值
 在網路設備開機後，如果有進行操作改變組態設定，想恢復上次儲存
的設定值，可以在 CLI 的特權執行模式（ # ）下，執行指令重新啟動
設備（重開機），同時選擇不存檔。重開機後，設備恢復為上次組態
設定值
Hostname# reload
61
IP 路由器
思科整合路由器系列（第一代）
思科整合路由器系列（第二代）
路由器 CISCO 1921 網路硬體設備介紹
CISCO 1921 & 2921 硬體規格
CISCO 1921 硬體 FAN
62
IP 路由器
思科整合路由器系列（第一代）
63
IP 路由器
思科整合路由器系列（第二代）
64
IP 路由器
思科整合路由器系列（第二代）特點
 2900/1941 性能超過市面上其它產品
性能大幅提升， 2900/1941 可以滿足以前使用 3800/2800 的環境
 第二代整合路由器價位與第一代整合路由器接近
 全系列設備皆備有 GE 介面，符合新一代網路環境使用需求
內建介面全部是 GE ，最多 3 個，適合用戶端對介接 GE 介面的需求
65
IP 路由器
第二代整合路由器支援服務模組和介面卡
66
IP 路由器
67
IP 路由器
68
IP 路由器
69
IP 路由器
70
IP 路由器
 Cisco 1921 是 ISR G2 （ Integrated Services Routers Generation
2 ）路由器
 Ｃ isco 1921 提供模組化平台（ modular platform ）
 提供支援廣域網路 WAN 和區域網路 LAN 的傳輸介面
 下圖是 Cisco 1921 硬體外觀示意圖
71
IP 路由器
 Cisco 2921 是 ISR G2 （ Integrated Services Routers Generation
2 ）路由器
 Ｃ isco 2921 提供模組化平台（ modular platform ）
 提供支援廣域網路 WAN 和區域網路 LAN 的傳輸介面
 下圖是 Cisco 2921 硬體外觀示意圖
72
IP 路由器
CISCO 1921 & 2921 硬體規格
 Cisco1921 硬體規格表
73
IP 路由器
CISCO 1921 & 2921 硬體規格
 Cisco2921 硬體規格表
74
IP 路由器
CISCO 1921 & 2921 硬體規格
 Cisco1921 & 2921 硬體規格對照表
1921 2921
SM / EVM Slots 0 1 (DW)
ISM Slots 0 1
EHWIC Slots 2 4
Onboard DSP Slots 0 3
3GE
Onboard WAN Ports 2GE
(1 SFP)
Default Flash 256MB 256MB
Default DRAM 512MB 512MB
Max DRAM 2.5GB 2.5GB
Form Factor 1RU 2RU
75
IP 路由器
 下圖是 Cisco 1921 硬體 FAN 位置示意圖
76
IP 路由器
 下圖是 Cisco 2921 硬體 FAN 位置示意圖
77
IP Security(ACL) 介紹
CISCO ACL 介紹
ACL 三種的設定模式
ACL 設定範例
ACL 套用後測試是否生效
78
CISCO ACL 介紹
 針對來往傳輸的資料進行過濾的動作，這個過濾稱作為存取控制
（ Access Control List ）
 使用 ACL 有兩個步驟
建立 ACL 的條件限制（ Creating Access Lists ）
將限制套用到某些介面（ Applying Access Lists to Interfaces ）
 在 Cisco ACL 條件式中，最後自動都會有一條預設為 deny （隱
性） any 的條件式
 在 Cisco ACL 條件式中，都應該至少要有一條 permit （允許）的條件，
不然這 ACL 套用到的介面實際上不會有任何資料通過
79
ACL 三種的設定模式
 標準 ACL （ Standard ACLs ）
可對 segment 及 Host 作為設定對象
編號範圍： 1 ～ 99
 延伸 ACL （ Extended ACLs ）
增加可針對 port number 設限
編號範圍： 100 ～ 199
 命名 ACL （ IP Named ACLs ）
增加可針對 port number 設限
細分為 Standard 跟 extended ，其編號使用同上
增加可「編輯」的 ACL Pools
80
ACL 三種的設定模式 – 標準 ACL （ Standard ACLs ）
 檢查封包的來源（ source ）位址，以決定允許或拒絕該封包經由網路
協定傳送出去
 在網路設備組態設定模式 (config)# 下，進行 ACL 定義設定
Hostname(config)# access-list Access-List-number
{permit/deny} source-address wildcard-mask
 上述 Access-List-number ，標準 ACL 通常會使用編號 1-99 ；而在
source-address 部份，則可透過之後的 wildcard mask 而限定為單一
來源 IP 或來源網段
81
ACL 三種的設定模式 – 延伸 ACL （ Extended ACLs ）
 檢查封包的來源（ source ）與目的端（ destination ）的位址，並須
指明檢查網路協定與通信埠號碼，以決定允許或拒絕該封包經由網路
協定傳送到目的端
Hostname(config)# access-list Access-List-number {permit/deny}
protocol source-address wildcard-mask 〔 operator
port 〕 destination-address destination-wildcard 〔 operator
port 〕
 上述 Access-List-number ，延伸 ACL 通常會使用編號 100-199 ；而
在 source-address 和 destination-address 部份，則可透過之後的
wildcard mask 而限定為單一來源 / 目的 IP 或來源 / 目的網段
82
ACL 三種的設定模式 – 命名 ACL （ IP Named ACLs ）
 檢查封包的來源（ source ）與目的端（ destination ）的位址，並須
指明檢查網路協定與通信埠號碼，以決定允許或拒絕該封包經由網路
協定傳送到目的端
Hostname(config)# ip access-list {standard | extended} NAME
 標準命名 ACL
Hostname(config-std-nacl)# {permit | deny} source-address
wildcard-mask
 延伸命名 ACL
Hostname(config-ext-nacl)# {permit/deny} protocol source-
address wildcard-mask 〔 operator port 〕 destination-address
destination-wildcard 〔 operator port 〕
83
ACL 設定範例
 依需求建立 ACL 的條件限制
deny tcp telnet service
permit ip any any （允許全部 IP service ）
 將限制套用到介面
interface Serial0/0/0
ip access-group 100 in
84
ACL 套用後測試是否生效
 將 ACL 套用到網路設備介面後，可以用下列方式確認 ACL 是否生效
Hostname # show access-list Access-List-number
 下列是以測試 access-list 101 確認是否有生效。若不指定 Access-list-
number ，則可以顯示設備上全部套用的 ACL
85
Policy-Based Routing Using Route
Policy-Based Routing 簡介
Maps
Route-Map 運作
Policy-Based Routing 應用
Pbr 設定範例
Pbr 驗證是否生效
86
Maps
 Policy-Based Routing （ PBR ）是一種靈活的資料封包經路由轉發機
制
 使路由器根據路由映射（ Route-Map ）決定經過路由器的資料封包如
何進行處理
 一個路由映射（ Route-Map ）由很多條策略（ Policy ）組成，每個
策略都定義了一個或多個匹配規則和對應操作
 設備上每個介面只允许套用執行一個 Route-Map
87
Maps
 將策略路由套用到設備介面後，將會對該介面所收到的所有資料封包
進行檢查
 符合路由映射（ Route-Map ）策略的資料封包，就會按照策略中定義
的操作（ Set… ）進行處理
 不符合路由映射（ Route-Map ）所定義的資料封包，將會依照正常路
由轉發方式（ Routing table ）處理
88
Route-Map 運作
Maps
 依 Route-Map 定義編號，依序進行策略條件式比對
Route-map Name permit 10
Match …
Set …
Route-map Name Permit 20
Match …
Set …
 不符合任何策略條件式所定義的路由策略，則依設備路由表遶送
89
Route-Map 運作
Maps
 不輸入符合的條件，只設定動作，則代表控制該套用介面全部的資料
封包
Match …
Set …
Route-map Name Permit 20
Set …
90
Route-Map 運作
Maps
 Route-Map 選項是用 deny 不是 permit 時，則表示符合 Match 策略
條件式的資料封包，不會執行 Set 所指定的操作
Match …
Set …
Route-map Name Deny 20
Match …
Set …
91
Maps
 主要應用在網路環境路由表複雜或者需要對路由進行控制的情況
 例如網路環境中有兩條出口，需要對內部不同服務和應用或者不同用
戶的路由遶送方式進行控制
92
Maps
 網路環境中有兩條出口，需要對內部不同服務和應用或者不同用戶的
路由遶送方式進行控制
93
Maps
 指定內部網路中一些特定的用戶使用高頻寬線路，而一般用戶使用較
低速線路
94
Maps
 對於所提供服務不同的要求（如：轉送速率、頻寬需求、線路可靠性
等），根據實際網路狀況，分配使用不同的網路線路
95
Pbr 設定範例
Maps
 先依需求設定 ACL 清單
access-list 1, 2
 定義設定 Pbr
route-map Texas
 依序設定 Route-Map 比對順序
permit 10
 設定符合條件式，路由下一站位置
match ip address 1
set ip next-hop 3.3.3.3
 重覆上述兩步驟設定 Pbr
permit 20
match ip address 2
set ip next-hop 3.3.3.5
96
Pbr 驗證是否生效
Maps
 將 Route-Map 套用到網路設備介面後，可以用下列方式確認 Policy-
Base Routing 是否生效
Hostname # debug ip policy
Hostname # show access-list
Hostname # show route-map
Hostname # show ip policy
97
M3 網路環境架構說明
M3 網路建置範圍
M3 全案網路架構圖
M3 公路監理對外網路規劃
M3 公路監理 VPN 網路規劃
網路架構圖示型號對照表
98
M3 網路建置範圍
 全國中心 ( 台北東七機房 )
 異地備援中心 ( 台中文心機房 )
 七區監理所 => 臺北市區監理所、高雄市區監理所、臺北區監理所、
新竹區監理所、臺中區監理所、嘉義區監理所、高雄區監理所
 各地監理站 => 各地監理站、分站
 公路人員訓練所、中訓 / 南訓中心
99
M3 全案網路架構圖
100
M3 公路監理對外網路規劃
 全國中心
使用數據專線 (GSN) 2 路 100Mbps 頻寬連線與網際網路連結
 異地備援中心
使用數據專線 (GSN) 2 路 100Mbps 頻寬連線與網際網路連結
101
 全國中心
使用國內數據 ( 乙太介面 ) GSN VPN 採 2 條 FTTB 50Mbps 線路，與
公路監理 VPN 網路連結，建構後頻寬為 100Mbps
資料同步線路使用 2 條 50Mpbs 線路，與異地備援中心連結
 異地備援中心
使用國內數據 ( 乙太介面 ) GSN VPN 採 2 條 FTTB 50Mbps 線路，與
公路監理 VPN 網路連結，建構後頻寬為 100Mbps
資料同步線路使用 2 條 50Mpbs 線路，與全國中心連結
102
 七區監理所
使用 2 條 FTTB 線路建構 2 路 20Mbps ，連結公路監理 VPN 網路，
建構後頻寬為 40Mbps
103
網路架構圖示型號對照表
104
七區監理所整體網路架構
105
 各地監理站
採 2 條 FTTB 或 ADSL 線路建構 2 路 4Mbps 頻寬連線，連結公路監理
VPN 網路，建構後頻寬為 8Mbps
若該監理站所在地區無 FTTB 線路，則使用 2 條 ADSL 線路 4Mbps/76
8Kbps 頻寬，與 GSN VPN 廣域網路連結
106
各地監理站整體網路架構
107
 公路人員訓練所及中 / 南訓中心
採 2 條 FTTB 或 ADSL 線路建構 2 路 4Mbps 頻寬連線，建構後頻寬為
8Mbps ，連結公路監理 VPN 網路
若該據點所在地區無 FTTB 線路，則使用 2 條 ADSL 線路 4Mbps/768
Kbps 頻寬，與 GSN VPN 廣域網路連結
108
公路人員訓練所整體網路架構
109
中訓 / 南訓中心整體網路架構
110
全國中心整體網路架構
111
感謝聆聽
敬請指導

M3 102-2router

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

M3 102-2router

Uploaded by

Copyright:

Available Formats

102-2(1)

 設定設備 default gateway

SM / EVM Slots 0 1 (DW)

Onboard DSP Slots 0 3

Default Flash 256MB 256MB

Default DRAM 512MB 512MB

Max DRAM 2.5GB 2.5GB

Form Factor 1RU 2RU

You might also like