南投縣學校網管人員初階研習 ~網路觀念基礎篇 主講人:王登儀 102.07.23
研習大綱-1 學術網路架構 網路概論(IPV4、IPV6) 網路設備的認識 網路測速 校園佈線建議 網路中心相關網路服務之介紹 DNS -網路電話(VOIP) -IP WHOIS查詢 PROXY -FTP -TANET網路維運中心 WEBMAIL -網路流量分析 無線網路 -各校網路與網站連通測試
研習大綱-2 資通安全 NGN&E化教室 電腦教室 KMS 版權軟體下載 備份
台灣學術網路(Taiwan Academic Network;以下簡稱TANet) 係由各主要國立大學及教育部,於民國79年7月起,所共同建立的一個全國性教學研究用之電腦網路 它的主要目的是為了支援全國各級學校及研究機構間之教學研究活動,以相互分享資源並提供合作機會。 TANet具有骨幹(Back bone)和區域(Regional)的網路架構與研究相關資訊應用之基台(Information Infrastructure)。
88年7月起,配合執行擴大內需方案,推動中小學使用ADSL連線至TANet,讓資訊教育向下扎根,提供全國學校網路及資訊教育所需之平台, 自98年起開始推動各級學校光纖到校,希望各校網路頻寬提昇至100MB及IPv4/IPv6雙協定網路應用服務環境。
網路中心介紹-區網中心 (一) 維運臺灣學術網路骨幹、支幹及連線網路之正常運作,提供校際網路整合及網路應用功能。 (一) 維運臺灣學術網路骨幹、支幹及連線網路之正常運作,提供校際網路整合及網路應用功能。 (二) 推廣臺灣學術網路之網路應用服務,協助各縣市教育網路中心及各級學校網路技術、建設及管理維護運作等支援。 (三) 參與臺灣學術網路管理組織運作,研定相關網路運作政策、措施及研發網路管理技術,並依臺灣學術網路相關管理規範,落實管理網路使用者遵守網路使用規範。 (四) 配合執行臺灣學術網路管理使用上各項政策性措施及宣導事宜。
網路中心-縣市網路中心 (一)服務各縣市之公私立大專校院、高中、高職、國中、國小各級學校及社教等單位網路建置及維護運作。 (二)推廣臺灣學術網路之應用,維持臺灣學術網路之正常運作,整合校際網路及擴大網路資源整合服務等功能。
網際網路介紹
網際網路的歷史沿革—名詞解釋 網路:把電腦與電腦使用網路線相連成網 網際網路(Internet):連結各個網路所成的大型網路(inter-network),特指今日全球個人電腦等設備所連結上的大型網路 連結上網的機器稱為主機(host)或是終端系統(end system) 連結的媒介稱為傳輸連結(communication links)
名詞解釋 (cont) 提供連結服務的稱為ISP (Internet Service Provider) 頻寬 = bits / second (每秒可傳輸多少位元) 網路上傳輸的資料稱為封包(packet) 封包隨著路由器(router)所尋找出路徑來傳遞, 最後抵達目的位址,稱為路由(routing)
網路慣用圖示 以雲狀表示網路
網路示意圖 靠著不同的傳輸媒介,將網路上的元件相連,也將各個網路連結起來
連線上網 校園網路 校園中的電腦通成連結形成區域網路(Local Area Network),再向電信公司租用網路線,提供10Mbps至100Mbps的頻寬,甚至可達10Gbps 區域網路可能有不同的佈局方式,稱為網路佈局(network topology)
網際網路應用 全球資訊網(World Wide Web, WWW) 電子郵件(E-mail) 檔案傳輸(File Transfer Protocol , FTP) 地鼠資訊查詢系統(Gopher) 網路論壇(NetNews) 遠端登入(Telnet) 電子佈告欄(Bulletin Board System, BBS) 檔案檢索系統(Archie) 網路會議(NetMeeting) 即時通訊(Real-Time Communication) 部落格、網路購物…
全球資訊網(World Wide Web) 全球資訊網是目前網際網路中影響最為深遠,也是使用者最多的服務 全球資訊網內容呈現的方式多元化,包含文字、圖形、聲音、視訊等 只要使用瀏覽器(Browser)就可瀏覽全球資訊網的內容
電子郵件(E-mail) 電子郵件是網際網路上常用的服務 使用者可以利用E-mail將訊息傳遞給遠端的使用者 電子郵件的內容除了文字,還能包含聲音、影像等多媒體
檔案傳輸(File Transfer Protocol) 檔案傳輸服務可讓使用者上傳(Upload)或下載(Download)大量的檔案資源 如 CuteFTP、FileZilla、FFFtp等軟體皆是
電子佈告欄(BBS) 電子佈告欄主要提供線上討論服務 透過BBS,可以進行資訊交換、檔案交流、信件傳遞、線上聊天等
即時通訊
網際網路的連線方式 固接式網路:專線(Leased Line) 傳統56K數據機撥接(少見) ADSL數據機 纜線數據機(Cable Modem) 光纖網路 3G網路 衛星直撥(DirectPC)
選擇ISP的考慮因素 口碑與服務品質:連線品質、穩定 相關費用的考慮:電路費、連線費、設定費 ISP 所在區域與規模
IP 位址 任何一部電腦連接網路的電腦都必須有一個獨一無二的位址 在網際網路上存取資料時,均需依靠這個位址來辨識資料欲傳送的目的 此位址即是「網際網路通訊協定位址」(Internet Protocol Addrsss, IP Addrsss),簡稱 「IP 位址」
IP位址的定址方式 一個完整的IP位址是由32個位元組成,並且以每八個連續位元為一個單位,單位與單位間以句點「.」加以區隔
IP位址組成 IP位址可區分為「網路識別碼」(NetID)與主機識別碼(HostID) 網路識別碼:用來定義一整個網域範圍 主機識別碼:用來定義該網域中某一台電腦的位址 IP位址具有不可移動性,亦是IP位址無法一到其他區域的網路中使用 IP位址由網路識別碼與主機識別碼組成
IP位址的分級 IP位址依照等級的不同,可以區分為A、B、C、D、E五個類型,每個類型中所分配的網域數量與IP數量均不相同
IP位址的分級 網路類型與網路識別碼、主機識別碼的長度關係如下:
IP位址十進位表示法 IP位址分級的十進位表示法 A 02 B 102 C 1102 D 11102 E 11112 等級 前導位元 範例 A 02 第一個數字為0~126 1.0.0.0~126.255.255.255 12.18.22.11 B 102 第一個數字為128~191 128.0.0.0~192.255.255.255 129.153.22.22 C 1102 第一個數字為192~223 192.0.0.0~223.255.255.255 194.233.2.12 D 11102 第一個數字為224~239 224.0.0.0~239.255.255.255 239.22.23.53 E 11112 第一個數字為240~255 240.0.0.0~255.255.255.254 245.23.234.13
特殊的網路IP位址 在A、B、C等級網路中,有一些特定的位址被保留用來進行特殊用途 「127.0.0.0」~「127.255.255.255」用來作為「迴路」 (loopback)位址 虛擬IP(或稱私人IP)如「192.168.x.x」,常用於教室或辦公室中 A級:10.0.0.0 - 10.255.255.255 B級:172.16.0.0 - 172.31.255.255 C級:192.168.0.0 - 192.168.255.255 自動私人位址:169.254.X.X
網路遮罩(Network Mask) 網路遮罩主要是用來判斷IP位址所屬的網域,以便路由器(Router)在進行資料封包傳送時,可判斷傳送的方向 IP位址由「網路識別碼」與「主機識別碼」組成,因此把網路識別碼全部設定為「1」,主機識別碼全部設定為「0」,就是所謂的「網路遮罩」 例如 A級網路的網路遮罩為11111111.00000000.00000000.000000002,換算10進位為255.0.0.0 B級網路的網路遮罩為255.255.0.0 C級網路的網路遮罩為255.255.255.0
網路切割的方式 利用「網路切割」的方式,來緩和IP不足的現象 以子網路遮罩255.255.255.0為例 從小的數字依序排到大 0是第一個遮罩號碼 255其實是最後一個遮罩號碼 總共有1(0)+255(1~255)=256個數字 而以二進位表示的話呢 0=00000000 (二進位表示) 256=2的8次方=11111111(二進位表示) 而255是子網路遮罩中最後一位,也就是第256個號碼 因此其實在子網路遮罩中255的二進位表示法就是11111111
網路切割 以子網路遮罩255.255.255.224為例 前三段遮罩都是255,因此我們不予理會它,只要看第四段號碼即可 此時要如何知道這個遮罩代表的網段長度是多少呢? 很簡單,請用256減去你的子網路遮罩號碼就是你的網段長度
我們來試看看 256-255=1 256-254=2 256-252=4 256-248=8 256-240=16 256-224=32 256-192=64 256-128=128 也就是說,要切割網段成 1個IP,遮罩是255.2555.255.255 2個IP,遮罩是255.2555.255.254 4個IP,遮罩是255.2555.255.252 8個IP,遮罩是255.2555.255.248 16個IP,遮罩是255.2555.255.240 32個IP,遮罩是255.2555.255.224 64個IP,遮罩是255.2555.255.192 128個IP,遮罩是255.2555.255.128
換個方式表達剛剛的算式: 256-2的0次方=255 256-2的1次方=254 256-2的2次方=252 256-2的3次方=248 256-2的4次方=240 256-2的5次方=224 256-2的6次方=192 256-2的7次方=128 其實網段長度是用二進位算的 所以都是二的倍數 有沒有剛好注意到沒有2的8次方 因為256-2的8次方=0,而且本來就只有八種遮罩
IPv6(IP version 6)簡介 先前的IP位址劃分方法稱為「IPv4」(第四版IP位址),由於採用「網路識別碼」與「主機識別碼」,造成今日IP位址嚴重不足 例如「127.0.0.1」這個loopback位址,就造成 1,600多萬個IP位址浪費 後來提出的「網路切割」與「網路合併」來彌補,但是只能「緩和」IP位址不足的問題 科學家於1998提出新的IP定址方式-IPv6
什麼是IPv6? 目前網際網路上面所使用的網際網路協定為第四版,稱為IPv4,其使用32個位元定址,定址能力為2的32次方,這樣的定址能力在網路發展剛起步時仍十分充裕 但面對現今與未來,家用與商用電腦甚至於一般設備皆使用網際網路的情況來說,網際網路節點位址明顯不足,依據APNIC的網路專家Geoff Huston的預測,IPv4位址將於西元2010至2011年時配發完畢。 為了解決到時無位址可用的問題,國際組織IETF(網際網路工程小組)於是制定了第六版的網際網路協定就稱為IPv6。
ipv6的基本知識-1 1.IPv6比IPv4提供更多位址、在便利性、安全性及傳輸效能均有長足進步。ipv6提供的位址數量2的128次方是個天文數字,有人說即使操場裡每粒沙子都給予一個IP也用不完。 2.具有自動設定(Auto-Configuration)機制 IPv6 增加了自動設定機制,能在毋須人為設定的情形下,自動賦予 IPv6 位址及相關設定值,依機器MAC產生唯一位址。例如: 2001:288:
ipv6的基本知識-2 3.保密性更佳 整合目前廣為使用的加密協定-IPSec (IP Security),不但資料內容加密並執行身份驗證。可以確保接收或傳送的封包未經竄改,亦非他人冒名傳送。 4.提升路由(Routing)效率 IPv4封包的表頭長度不固定;IPv6則固定為40 Bytes、8個欄位。路由器在處理IPv6的封包時速率較快,至少省略判斷檔頭長度的動作 5.IPv6 編址 從IPv4到IPv6最顯著的變化就是地址的長度。ipv4只有32bit,而ipv6有128bit,而這128bit,在很多場合,由兩個邏輯部分組成:一個64位的網路前綴和一個64位的主機地址,主機地址通常根據物理地址自動生成,叫做EUI-64。
ipv6的基本知識-3 6.ipv6位址表示法 因為ipv6長達128位元,不適合用2進位表示,如果用十進位表示,會和IPv4混淆。因此採用十六進位表示法。 ipv6通常寫做8組每組四個十六進制的形式,以冒號(:)隔開。 IPv6位址為128位元長度,但通常寫做 8 組每組四個十六進制的形式。 例如: 2001:0db8:85a3:08d3:1319:8a2e:0370:7344 是一個合法的IPv6位址。 如果位數都是零,可以被省略。 例如: 2001:0db8:85a3:0000:1319:8a2e:0370:7344等同於2001:0db8:85a3::1319:8a2e:0370:7344
ipv6的基本知識-4 6.ipv6位址表示法 因為ipv6長達128位元,不適合用2進位表示,如果用十進位表示,會和IPv4混淆。因此採用十六進位表示法。 ipv6通常寫做8組每組四個十六進制的形式,以冒號(:)隔開。 IPv6位址為128位元長度,但通常寫做 8 組每組四個十六進制的形式。 例如: 2001:0db8:85a3:08d3:1319:8a2e:0370:7344 是一個合法的IPv6位址。 如果位數都是零,可以被省略。 例如: 2001:0db8:85a3:0000:1319:8a2e:0370:7344等同於2001:0db8:85a3::1319:8a2e:0370:7344
IPv6(IP version 6)簡介 2100:0288:C200:0220:edff:fe10:95cf IPv6採用128位元來定址 IPv6的IP總數量約有2128=3.4E+38 IPv6的IP是IPv4的296次方倍 可以解決目前的問題,也可滿足未來10~15年的IP位址需求 IPv6的定址是以16個位元為一組,一共可區分8組,每組之間以「:」區隔 IP位址的表示方式,以16進位表示 2100:0288:C200:0220:edff:fe10:95cf
網際網路-網路服務
網域名稱伺服器(DNS) 由於IP位址是一大串數字,不容易記憶 後來發展出一套系統利用有意義的縮寫文字代表IP位址,即為網域名稱系統(Domain Name System) 網域名稱系統中負責IP位址與網域名稱轉換工作的主機,稱為「網域名稱伺服器」(Domain Name Server, DNS) 網域名稱伺服器上提供的IP與名稱轉換的服務為「網域名稱服務」(Domain Name Service)
網域名稱的分類方式 網域名稱(Domain Name)的命名方式,是以一組英文縮寫來代表以數字為主的IP位址 網域名稱的組成是屬於階層性的樹狀組織,共包含有四部分 主機名稱:一般命名或依提供的服務命名 機構名稱:所代表的公司或機關的簡稱 機構類別:主機所代表公司或機關的類別 地區或國家名稱:主機所在的地區 主機名稱.機構名稱.機構屬性.地區名稱
網域名稱的分類 主機名稱 機構名稱 機構類別 地區名稱
網域名稱-機構類別 常見的機構類別 機構類別 說明 edu 教育或學術機構 com 商業組織或公司 gov 政府機關 mil 軍事單位 org 財團法人、基金會非官方組織 net 網路管理或提供網路服務機構 int 國際性組織 idv 個人
網域名稱-地區名稱 常見的地區名稱 地區名稱 說明 省略 美國 tw 臺灣 cn 中國大陸 hk 香港 jp 日本 kr 韓國
網域名稱系統的樹狀結構圖
網域名稱管理單位 全球負責網域名稱管理的最高單位為美國的「InterNIC」(Internet Network Information Center)(http://www.internic.net) InterNIC負責網域名稱管理與IP位址分配的工作,屬於第一層的管理單位 亞太地區由APNIC單位管理,是第二層管理單位(http://www.apnic.net ) 第三層管理單位由各個區域或國家來劃分管理,「TWNIC」負責臺灣地區所有網域名稱與IP位址分配(http://www.twnic.net )
網域名稱管理單位 Registry Area Covered AfriNIC Africa Region APNIC Asia/Pacific Region ARIN North America Region LACNIC Latin America and some Caribbean Islands RIPE NCC Europe, the Middle East, and Central Asia
DNS伺服器工作原理 網域名稱由一些具有意義的英文組成,當電腦在傳輸資料或搜尋目的主機位址時,實際仍使用IP位址進行 電腦傳送資料前,必須將網域名稱轉換成對應的IP位址,負責這項轉換工作的電腦稱為「網域名稱伺服器」(Domain Name Server, DNS) 在設定 IP 網路環境的時候﹐必須告訴每台主機 DNS 伺服器的位址,目的就是請 DNS伺服器幫忙解析主機名稱與 IP 位址 在DNS解析過程中,DNS 被稱為 resolver (也就是負責解析的 DNS Server);而被設定主機,則只是單純的 DNS Client ,也就是提出解析請求的主機
DNS 是怎樣運作的﹕ 當被詢問到有關本域名之內的主機名稱的時候﹐DNS 伺服器會直接做出回答﹔ 客戶端向伺服器提出查詢項目﹔ 如果所查詢的主機名稱屬於其它域名的話﹐會檢查快取記憶體(Cache)﹐看看有沒有相關資料﹔ 如果沒有發現﹐則會轉向 root 伺服器查詢﹔ 然後 root 伺服器會將該域名之下一層授權(authoritative)伺服器的位址告知(可能會超過一台)﹔ 本地伺服器然後會向其中的一台伺服器查詢﹐並將這些伺服器名單存到記憶體中﹐以備將來之需(省卻再向 root 查詢的步驟)﹔ 遠方伺服器回應查詢﹔ 若該回應並非最後一層的答案,則繼續往下一層查詢,直到獲得客戶端所查詢的結果為止﹔ 將查詢結果回應給客戶端﹐並同時將結果儲存一個備份在自己的快取記憶裡面﹔ 如果在存放時間尚未過時之前再接到相同的查詢﹐則以存放於快取記憶裡面的資料來做回應。
各階層DNS伺服器查詢流程
DNS工作原理
各式連線設備簡介
ADSL原理 非對稱數位用戶迴路( Asymmetric Digital Subscriber Line, ADSL )只要利用現有公眾電話網路來進行資料傳輸 ADSL的寬頻技術:將傳統電話線路的傳輸頻寬區分為三份:語音頻道、ADSL上載頻道、ADSL下載頻道
ADSL使用的傳輸速率 ADSL上傳、下載的傳輸速率也有相當大的差異,此即「Asymmetric」(非對稱) 不同的傳輸速率是為了避免上下載訊號間的相互干擾
ADSL限制 ADSL採用點對點(使用者到電信機房)的通訊架構 ADSL有傳輸距離上的限制,距離愈遠、傳輸速率愈低
ADSL數據機背後的接線圖
ADSL相關設備與配件圖
ADSL寬頻服務 ADSL寬頻服務的「固定制」 ADSL寬頻服務的「計時制」
Cable Modem 纜線數據機(Cable Modem)使用現有的「有線電視」(Cable TV)網路系統來進行數據的傳輸 Cable Modem 使用「同軸電纜」(Coaxial Cable)最為數據傳輸的媒介 Cable Modem上傳速率10M bps,下載速率36M bps Cable Modem採用「分享」的方式,與ADSL的「點對點」架構不同,會因為使用者不斷增加而將頻寬快速分割,造成傳輸速率大幅降低
Cable Modem Cable將同軸電纜中的頻率區分為 3大部分,並分為: 類比(電視節目)資料下載 數位資料上載 數位資料下載
纜線數據機正面與背面
分歧器擔任訊號分流的用途
雙向纜線數據機網路示意圖
校園網路架構
L3 Switch (Dlink DGS 3426) 帳密ntct , ntct2012可看設定
學術網路測速 台北科大網路連線速率測試中心 https://proxy.ntut.edu.tw/speed/index.php 台北科大網路連線速率測試中心 https://proxy.ntut.edu.tw/speed/index.php 成功大學區網中心測速網站 http://203.72.191.73/ 台灣大學測速網站 http://speed.ntu.edu.tw/ 中央研究院計算中心 http://www.ascc.sinica.edu.tw/iascc/netsrv/speed/
網路故障排除 http://www.encntc.edu.tw/network_debug/
網路中心 相關網路服務之介紹
DNS託管
PROXY 網路中心提供的proxy自動組態檔在http://proxy.ntct.edu.tw/proxy.pac
WEBMAIL http://webmail.ntct.edu.tw/
無線網路漫遊 之第19~24埠啟用web認證 WEB認證
無線基地台SSID請設為ntct (web 認證)或 NTCT-WPA2(WPA2-ENTERPRISE認證) radius server 指向縣網無線認證主機163.22.168.73。 認證方式為WEB認證或WPA2 1.WEB認證: (1)設定dlink DGS-3426的19~24埠為認證的埠(請 廠商設定) (2)購買無NAT功能的AP(就是無switch功能或IP分 享器功能),以免一台筆電上網,全部都不用驗證 上網。 (3)AP一定要接在19~24埠,才能使用web認證。 (4)輸入公務帳密之後可上網。到外縣市無線漫遊 ,請在帳號後面加@ntct,如t0XXXX@ntct
網路電話http://ntie.ntct.edu.tw/voip.aspx
FTP服務 http://ftp.ntct.edu.tw/
網路流量分析http://163.22.168.99/ping/MrtgTom.aspx
各校網路與網站連通測試 http://163.22.168.99/ping/PinOutAll.aspx
IP WHOIS查詢https://whois.tanet.edu.tw/
TANET網路維運中心 http://nms.moe.edu.tw/
資通安全 網站程式弱點檢測 http://ewavs.ntct.edu.tw/ 教育機構資安通報 https://info.cert.tanet.edu.tw/ 個資掃描平台 http://pip.ntct.edu.tw/
NGN&E化 緣起 NGN介紹 E化設備 E化數位教室 E化專科教室
多功能e化專科教室 設備: 1. 硬體設備如互動性電子白板、電腦(至少8台,可依各校班級學生數酌予增減)、單槍投影機或顯示器(37吋以上之LCD螢幕)、教學系統、攝影機及校園網路建構(含括無線網路環境建置,由縣市教育網路中心規劃)等,另可考量各科用途購置所需資訊設備;應具備師生間之高互動性及學生間之群組學習功能。 2. 軟體請請購置教學所需素材、教材及軟體等。
多功能e化專科教室
多功能e化數位教室 (一)以缺乏數位相關設備公立國民中小學校為優先補助對象,惟98年度應完成本部公告偏遠地區及原住民學校建置多功能e化數位教室達100%,核定優先順序如下: (1)一般教室無相關資訊設備者。 (2)本部公告偏遠地區及原住民學校。 (3)學校地理位置所在行政區域為「鄉」優先、其次以「鎮」及「市」 (4) 若上述已無適當條件學校,請依學校實際所需排定優先順序。 (二)每間教室一部筆記型電腦及單槍投影機或顯示器(37吋以上之LCD螢幕) 及校園網路建構(含括無線網路環境建置,由縣市教育網路中心規劃)等資訊設備,建議班級人數少之教室其顯示設備以37吋以上之LCD螢幕為主。 (三)各校應辦理資訊融入教學研習及相關培訓課程;縣市應辦理全縣(或跨縣市)資訊融入教學觀摩會。
多功能e化數位教室
電腦教室 無硬碟系統-陞峰、VHD 廣播系統-硬體式-燈塔、光纖、信業… -軟體式-TRBS、碁優… 還原系統-TOP、碁優…
微軟KMS認證 一、Windows 8之ISO請至[應用程式單一入口網]登入後,點選[版權軟體下載]。 二、本縣windows 7 & windows 8 & office 2010 授權啟動方式為KMS認證, 認證批次檔與win7相同。下載認證程式之後,將.bat批次檔存放在桌面或c:\ 點選圖示右鍵,選擇【以系統管理員身分執行】,即可自動向KMS註冊。之後,電腦每三個月才會自動向KMS註冊,就不用再執行了。 三、若學校有防火牆,請打開tcp/1688,縣網認證主機為163.22.168.12 四、如學校因NAT的關係無法驗證,請mail到縣網索取金鑰。 五、本縣版權軟體下載及提供公立國中小及附幼使用,高中職及私立學校不能下載。
版權軟體下載
備份 建議購買NAS,例如群輝(synology)或威聯通(QUAP) 這種IT產品的好處就是使用的門檻低、省電、管理方便,稍具電腦基礎的人也可以勝任管理的工作。
Q&A