高雄應用科技大學 基礎網路建置實習 聯易科技股份有限公司 Ben-李政勳 ben_lee@netease.com.tw

聯易科技 總公司成立於高雄市，另於台中、台北設有服務據點 專注網路技術與發展的服務團隊 Fortinet 台灣區金質夥伴 Brocade 技術服務中心 Extreme 技術服務中心 Aruba 技術服務中心

聯易科技 聯易科技之原廠認證 FCNSP (Fortinet Certified Network Security Professional) CCNP (Cisco Certified Network Professional) BCLE (Brocade Certified L4~L7 Engineer) BCNE (Brocade Certified Network Engineer) ACDX (Aruba Certified Design Expert) ACMP (Aruba Certified Mobility Professional) …. Fortinet Aruba Brocade Cisco

聯易科技 專案實績 高雄市教育網路中心 (NGN ) 台南市教育網路中心 (NGN ) 屏東縣教育網路中心 (NGN –各校Fortigate建置) 中華電信帳務系統 (核心骨幹及資安防護) 宏達電子 (全球新世代無線網路) 台灣高速鐵路(總部暨各區車站無線網路) 嘉威光電( 兩岸網路行動化協同作業平台) 義大皇冠假日酒店 (全區無線網路) 正修科技大學( 無線網路改善) 嘉義基督教醫院 (無線網路擴建) … and so on

設備商簡介 設備商

設備商簡介 設備商-Gartner report

基礎網路 為什麼要學網路?

基礎網路

基礎網路 網路位址資訊基本上由下列幾個項目組成 IP address Netmask(遮罩) Gateway(閘道位址) DNS DHCP

基礎網路 IP address-IP格式 設備在網路世界的地址，格式為xxx.xxx.xxx.xxx，共4個位元組所組成，XXX為0~255的數字。 EX.正確的IP格式 168.95.1.1(中華電信DNS) 8.8.8.8(Google DNS) 140.127.113.35(高應大網站) 192.168.100.168(常用的虛擬網段IP) EX.錯誤的IP格式 120.118.22.10.29(5個位元組) 125.115.298.36(第三個位元組超過255)

基礎網路 IP address-IP類型 Private Public 特殊用途IP(群播224~239,研究用240~254) IPv4位址裡有三個區段的IP被定義成private網段，private網段的IP需透過NAT才能夠連上網際網路。 三個區段的IP分別為下列位址 A Class：10.0.0.0 - 10.255.255.255 B Class：172.16.0.0 - 172.31.255.255 C Class：192.168.0.0 - 192.168.255.255

基礎網路 IP address-IP類型 EX.Public IP EX.Private IP 168.95.1.1(中華電信DNS) 8.8.8.8(Google DNS) 140.127.113.35(高應大網站) EX.Private IP 192.168.100.168 172.16.15.200 10.1.2.3

基礎網路 IP address-IP取得方式 固定(手動設定) 浮動(DHCP)

基礎網路 IP address-名詞彙整 IP類型 IP取得方式 動態、私有、固定、虛擬、公共、浮動、靜態、實體傻傻分不清楚 虛擬、私有Private 公共Public IP取得方式 固定、靜態手動設定IP 浮動、動態DHCP方式自動取得IP

基礎網路 Netmask(遮罩) 決定IP 是否為同網段的參數。 255.255.255.255----/32 255.255.255.0------/24 255.255.254.0------/23 255.255.0.0--------/16

基礎網路 Netmask(遮罩) 以下是否為同網段? IP計算分割 192.168.100.1/255.255.255.0 192.168.100.168/255.255.255.0 192.168.100.1~192.168.100.254 192.168.101.1/255.255.255.0 192.168.100.1/255.255.255.128 192.168.100.168/255.255.255.128 192.168.100.1~192.168.100.127

基礎網路 Netmask(遮罩) 遮罩不同是否能夠相連? 192.168.73.230/255.255.255.128 192.168.73.240/255.255.255.0 192.168.73.25/255.255.255.128

基礎網路 Gateway(預設閘道) 各網段IP的出口，當目的地位址是自己所屬網段以外的位址時，基本上會直接往Gateway送。

基礎網路 DNS(Domain Name System) 網域名稱系統，把網域名稱翻譯成IP位址。

基礎網路 DHCP(Dynamic Host Configuration Protocol) 動態主機配置協定，透過電腦主機或網路設備，自動取得IP相關設定，內容包含IP、 Netmask、Gateway、DNS Sevrer、DHCP Server還有租約時間。

基礎網路 NAT(Network Address Transform) 網路位址轉譯，Private網段的ip需使用NAT的方式透過一個或多個Public網段的ip才能夠正常上網。

基礎網路 網路不通?

外觀 Console：電腦透過特殊的Cable，直接連接該Port對設備做設定 Ethernet Port ：區域網路的連接埠；泛指一般內部網路 4 個combo插槽：4個模組插槽，可使用光纖或UTP模組

連線方式 連線設定Switch方式 Serial port(Console) Telnet連線 SSH連線 GUI(Web介面)

連線方式(Console) – DB-9 male interface. – VT-100 terminal - straight-through cable (female to female not a null-modem).

連線程式 常用連線程式 Putty SecureCRT Windows OS超級終端機 等等

Cisco模擬器 Packet Tracer

Switch-Vlan 透過虛擬區網（Virtual Local Area Network，VLAN）的技術，網管人員可以對不同實體區網中的設備進行邏輯上的分群（Grouping），為區網管理提供更完整的資訊安全保障。

Switch-Vlan

Switch-Vlan 為什麼要切Vlan? 管理面-將每個部門或樓層設定成不同Vlan方便管理及辨識，可決定是否讓各Vlan互通。 當設備數量較多、實體IP數量不足或有特殊控管需求時 管理面-將每個部門或樓層設定成不同Vlan方便管理及辨識，可決定是否讓各Vlan互通。 效能面-降低brocasat(廣播封包)造成的影響

Switch-Vlan Vlan-untag port與tag port untag port(acces)-無標籤port，相同vlan的untag port的設備，只要網段相同即可直接互通。 tag port(trunk)-標籤port，可設定某些port帶Vlan的tag，通過此port的封包會被加上Vlan的標籤，與tag port相接的設備也需要是tag port。

Switch-Vlan Vlan-untag port與tag port

Switch-Vlan Vlan-untag port與tag port

Switch-Vlan Vlan-untag port與tag port

VLAN 有支援VLAN的Switch還是需要Router作路由

Switch-Vlan Vlan-untag port與tag port設備指令 EX 1.設定Vlan100、Vlan101、Vlan16 EX 2.設定Port1、2為Vlan100，Port3、4為Vlan101，Port5為Vlan16

Switch-Route Vlan-Layer2，Layer3 Layer 2-沒有路由表，不可直接在Switch上交換不同Vlan的封包。 Layer 3-有路由表，可透過Virtual Interface ，將不同Vlan整合起來。

Switch-Route Route(路由) Switch會根據目的地封包的位址，依照Route Table裡的設定去決定該將封包傳送到哪個設備(路由器)上。

Switch-Route Route(路由)

Switch-Route

Switch-Route 整合Router與Vlan功能的Switch

Switch-Route Vlan- Vlan Ve(Virtual Interface)及路由設備指令 EX 1.設定Vlan100的Ve IP為192.168.100.254/24，Vlan101的Ve IP為 192.168.102.254/24，Vlan16的Ve IP為192.168.16.2/24 EX 2.設定預設路由為192.168.16.1

防火牆 防火牆

防火牆 安全機制，用來隔離多個安全信任度不同的網路。

防火牆

防火牆 形成內部網路與網際網路的咽喉點(Choke Point)，落實安全性政策。 有效的控管非必要或有安全性疑慮的封包。 記錄及監控內部與網際網路活動。 偵測與避免非經授權者存取組織單位網路資源。 避免耗費大量公開位址。 避免內部網路資訊直接暴露在外。

防火牆 軟體式 Windows防火牆、linux ip tables、防毒軟體 硬體式 獨立硬體設備

防火牆 Route Mode 路由器 各Port(網段)政策控管 NAT Transparent Mode 進與出的政策控管

防火牆 Route Mode

防火牆 Transparent Mode

防火牆 防火牆無法控管或監控未經過自己的封包

管制模式 全面管制 全部開放 全部deny，只針對需要的ip及協定做允許封包通過的政策設定 安全性高，執行不易 全部permit，只針對特定的ip及協定做阻擋封包通過的政策設定 安全性低，較不容易碰到網路問題

政策規則 First Match

防火牆功能 DHCP

防火牆功能 NAT

防火牆功能 Mapping 讓user可透過public ip及protocol對應到內部ip

防火牆功能 Mapping

防火牆功能 VPN 在防火牆上建立一個虛擬介面，可透過這介面直接與其他內部網路連線

指令教學 查看各狀態: 查看各vlan show vlan 查看路由表 show ip route 查看port show interface brief 設定Vlan: 設定Vlan100 vlan 100 設定port1為Vlan 100的untag port untagged ethernet 0/1/1 設定port2為Vlan 100的tag port tagged ethernet 0/1/2

指令教學 設定Vlan: 設定Vlan100 Ve router-interface ve 100 設定Vlan100 ip為192.168.100.253/24 ip address 192.168.100.254 255.255.255.0 設定default route為192.168.100.254 ip route 0.0.0.0 0.0.0.0 192.168.100.254

IP subnet計算網站 subnet-calculator 連結 http://www.subnet-calculator.com/

Cisco模擬器 Cisco Packet Tracer下載連結 http://waoffice.ee.kuas.edu.tw/Student%20DownLoad/103%E7%B6%B2%E8%B7%AF%E6%8E%A5%E5%8F%96%E6%8A%80%E8%A1%93%E6%95%99%E6%9D%90%E4%B8%8B%E8%BC%89/Cisco%20Packet%20Tracer%206.0.1%20for%20Windows%20(no%20tutorials).exe

教材下載 教材下載連結 http://waoffice.ee.kuas.edu.tw/Student%20DownLoad/