Posts

Showing posts from September 14, 2008

Public IP vs Private IP

很多人對於真正的所謂"合法"/"非法"/"公開"/"私有"/"真實"/"虛擬"IP的定義並不清楚,因此我今天來幫各位介紹一下IP Address的範圍劃分。

以英文正式的字眼來表示IP的屬性,通常我們習慣使用"Public"/"Private" IP來表示。所以建議各位以這兩個英文單字為基礎來翻譯比較妥當。

IP Address是32-bits所組成的位址,所以理論上可使用的範圍為0.0.0.0 ~ 255.255.255.255,但是IANA為了管理方便,針對IP Address的前幾個位元制定了以下原則:

Class A: (第一個bit為0)
Default Mask:255.0.0.0(/8)
From
0000 0000.0000 0000.0000 0000.0000 0000
(0.0.0.0)
To
0111 1111.1111 1111.1111 1111.1111 1111
(127.255.255.255)

Class B: (第一、二個bit分別為10)
Default Mask:255.255.0.0(/16)
From
1000 0000.0000 0000.0000 0000.0000 0000
(128.0.0.0)
To
1011 1111.1111 1111.1111 1111.1111 1111
(191.255.255.255)

Class C: (第一、二、三個bit分別為110)
Default Mask:255.255.255.0(/24)
From
1100 0000.0000 0000.0000 0000.0000 0000
(192.0.0.0)
To
1101 1111.1111 1111.1111 1111.1111 1111
(223.255.255.255)

在目前Internet只有Class A/B/C這三個範圍合法使用,所以各位如果在公司有使用Firewall的話,如果沒有其他Multicast額外的應用,大可將其他的IP範圍阻擋,避免一些惡意假造來源IP的UDP攻擊。

Class D: (第一、二、三、四個bit分別為1110)
Reserved for Multicast
From
1110 000…

漫談Unicast/Broadcast/Multicast

Image
1.Unicast(單點傳播)
通常指的是特定的目的地位址,一般是主機之間互相傳遞封包的方式,也是最常見的網路通訊方式。
因此我們有時稱之為One-to-One的通訊方式。


2.Broadcast(廣播)
通常發生於MultiAccess網路媒介中,例如區域網路(Local Area Network)。在Layer 2中表頭的MAC目的地位址通常是FF-FF-FF-FF-FF-FF,在Layer 3中表頭的IP目的地位址通常是255.255.255.255。連接至同一個網段(Segment)網路媒介上的所有主機及網路設備都會接收到這個封包並進行處理。因此我們稱之為One-to-All的通訊方式。


3.Multicast(多播/群播)一般應用於相同的來源資料要同時傳送給一群特定的接收者(Multicast Group Client),但是來源端只要發送一份資料,因此頻寬的使用量不會因為接收者增加而增加,是網路視訊(如VoD/遠距教學/視訊會議)的最佳解決方案。因此我們稱之為One-to-Many(or Many-to-Many)的通訊方式。

OSI 7層參考模式

各個國際標準組織如CCITT, IAB/Internet Society, IEEE, ISO等,無不投注極多人力及物力來推動標準化的工作。例如IAB/Internet Society的TCP/IP已成工業標準,並為目前世界上最廣泛使用的電腦網路通訊協定。此外,如ISO 的OSI (Open System Interconnection) 也為學、研各界及各國政府極力推廣成為網路通信的標準規範。

國際標準組織(ISO)為了促進網路通訊協定的標準化,於 1983 年制訂了開放式系統連接(Open System Interconnection,簡稱 OSI)標準,以作為網路開發者在發展軟硬體設備時共同遵循的規範。OSI 參考模式具備階層式協定(Layered Protocol),總共定義了7個不同層級,其中愈上層編號愈大,愈下層編號愈小。

7 應用層(Application Layer)
6 表達層(Presentation Layer)
5 會議層(Session Layer)
4 傳輸層(Transport Layer)
3 網路層(Network Layer)
2 資料鏈結層(Data Link Layer)
1 實體層(Physical Layer)


◎應用層(Application Layer):
支援使用者應用作業,如檔案傳輸、電子郵件、虛擬終端、名錄服務、訊息處理系統。

相關網路設備:Firewall、L7 Switch

◎表現層(Presentation Layer) :
確認使用者應用作業格式以使其能夠彼此交換資料,如將 ASCII 轉換成 EBCDIC、內碼轉換、壓縮與解壓縮、加密與解密

◎會談層(Session Layer):
提供使用者應用作業同步及控制。此階層提供會談連結的建立,建立會談以及終止會談。建立傳輸規則

◎傳輸層(Transport Layer):
確保資料輸送的品質及可靠性,提供兩個系統間一可靠穩定並無錯誤的資料傳輸管道,如Connection management、Flow control、End-to-end error control

相關網路設備:L4 Switch(Load-Balance Device)

◎網路層(Network Layer):
指定使用者資料轉送至網路的界面,負責資料的包封及傳輸途徑的設定。如:Addressing、Routing

相關網路…

何謂"Trunking"?

您知道三層交換機技術中常提到的TRUNK是什麼意思嗎?

在技術領域中把TRUNK翻譯為中文是“主幹、幹線、中繼線、長途線”,不過一般不翻譯,直接用原文。同樣的名詞在不同場合中有不同的解釋:

1、 在網路的分層結構和頻寬的分配方面,TRUNK被解釋為“端口匯聚”,是頻寬擴展和鏈路備份的一個重要途徑。TRUNK把多個物理端口捆綁在一起當作一個邏輯端口使用,可以把多組端口的頻寬累加起來使用。TRUNK技術可以實現TRUNK內部多條鏈路互為備份的功能,即當一條鏈路出現故障時,不影響其他鏈路的工作,同時多鏈路之間還能實現流量負載均衡。

2、在電信網路的語音級的線路中,Trunk指的是“主幹網路、電話幹線”,即兩個交換局或交換機之間的連接電路或信道,它能夠在兩端之間進行轉接,並提供必要的訊號和終端設備傳輸。

3、 在Routing & Switching領域中,VLAN的端口聚合有的叫TRUNK,不過大多數都叫TRUNKING ,如CISCO。所謂的TRUNKING是用來在不同的交換機之間進行連接,以保證在跨越多個交換機上建立的同一個VLAN的成員能夠相互通訊。其中交換機之間互聯用的端口就稱為TRUNK端口。

TRUNKING是基於OSI第二層技術,如果你在2個交換機上分別劃分了多個VLAN(VLAN也是基於Layer2的),那麼分別在兩個交換機上的VLAN10和VLAN20的各自的成員如果要互通,就需要在A交換機上設為VLAN10的端口中取一個和交換機B上設為VLAN10的某個端口利用一條實體線路相連接。

那麼如果交換機上設定了10個VLAN就需要分別使用10條實體線路來跟另一個交換機上10個不同VLAN的端口互相連結。相對來說使用效率低落而且管理不易。如果交換機支援TRUNKING的話,事情就簡單多了,只需要2個交換機之間有一條實體連線,並將對應的端口設置為Trunk,這條線路就可以承載交換機上所有VLAN的資訊。這樣的話,就算交換機上設了上百個個VLAN也只要用1個端口就可以解決了。

如果交換機上相同VLAN的主機要相互通信,那麼可以通過共用的trunk端口就可以實現;如果是不同VLAN的主機之間要相互通信,就必需要通過第三方的路由功能的設備來實現。這也就是所謂的Inter-VLAN Routing。

【例】假設有兩個VLAN,分別為VLAN 1(Switch F0/2),VL…

Cisco IOS Upgrade/Recovery Process

在Cisco目前的正式課程中並沒有讓各位實作IOS upgrade的練習,因此我把這個動作相關的指令寫出來:

1.首先你需要一台TFTP Server,如果沒有的話,可以利用Cisco Router/Switch來充當,不過IOS必須存放於即將成為TFTP Server的Router/Switch Flash中。

Router_A# sh flash:

System flash directory:
File Length Name/status
1 16299836 c2600-ik9o3s3-mz.123-15.bin
[16299900 bytes used, 477312 available, 16777212 total]
16384K bytes of processor board System flash (Read/Write)

2.Router_A#conf t
Router_A(config)# ip tftp source-interface fastEthernet 0/0
!指定TFTP Server將會使用那個介面上的IP當Source Interface
Router_A(config)# tftp-server flash:c2600-ik9o3s3-mz.123-15.bin
!設定此Router提供那一個檔案開放TFTP下載

3.假設今天是在RouterB要昇級IOS或是Flash不小心被清空了(請千萬不要Reload…否則會無法開機):

RouterB#copy tftp: flash: =>從TFTP上複製檔案到Flash:
Address or name of remote host []? 10.1.1.1 => Router_A FastEthernet 0/0 IP Address
Source filename []? c2600-ik9o3s3-mz.123-15.bin
Destination filename [c2600-ik9o3s3-mz.123-15.bin]?

4.為了確保IOS檔案正確性,建議使用以下指令在重新開機前,請使用以下指令:
RouterB# verify flash:c2600-ik9o3s3-mz.123-15.bin

Network Bits vs Host Bits

IPv4 IP Address共有32個bits
大致分為兩個部份
-Network Bits
-Host Bits

主要的劃分則是以mask為依據
如16.0.0.0/17
IP:
0001 0000.0000 0000.0000 0000.0000 0000

Mask:
1111 1111.1111 1111.1000 0000.0000 0000

這就代表IP前面17個bits為Network Bits => 因此/8 => /17,將會有2^(17-8)個subnets
後面15個bits為Host Bits => 因此每個subnets都有2^(32-17)-2個IP

為何16.0.0.0/17的範圍是16.0.0.0~16.0.127.255
因為16.0.0.0/17中前面17個bits是Network bits,因此不可變
後面15個bits是Host bits,你利用0 and 1任意排列組合出來的結果就會是

0001 0000.0000 0000.0000 0000.0000 0000(16.0.0.0)
0001 0000.0000 0000.0000 0000.0000 0001(16.0.0.1)
0001 0000.0000 0000.0000 0000.0000 0010(16.0.0.2)
0001 0000.0000 0000.0000 0000.0000 0011(16.0.0.3)
...
0001 0000.0000 0000.0111 1111.1111 1111(16.0.127.255)

那麼下一個IP是什麼呢? 也就是下一個網段的第一個IP
我想應該不用我再多說了。

以上就是Network Bits與Host Bits的意義與區別!

子網路切割範例(一)

問:172.25.0.0/16進行子網路切割,至少要有12個以上的子網路。

答:
2^n > 12 => n=4 (Host bits被借去成為Network bits的數量),共可產生2^4 = 16個子網路

因此新的Network Bits = 16 + 4= 20,新的Host Bits = 32 – (16 + 4) = 12

子網路遮罩為 /255.255.240.0 => 我們用256減去最後一個不為0的數字 240 = 16

所以新的subnet分別為:
1. 172.25.0.0/20
2. 172.25.16.0/20
3. 172.25.32.0/20
4. 172.25.48.0/20
5. 172.25.64.0/20
6. 172.25.80.0/20
7. 172.25.96.0/20
8. 172.25.112.0/20
9. 172.25.128.0/20
10. 172.25.144.0/20
11. 172.25.160.0/20
12. 172.25.176.0/20
13. 172.25.192.0/20
14. 172.25.208.0/20
15. 172.25.224.0/20
16. 172.25.240.0/20

How to configure loopback interface appear as /24 in OSPF routing table ?

各位可能都設定過OSPF & interface loopback,不過各位有沒有注意到不論loopback interface中的ip address mask為何,在OSPF交換之後還是顯示/32 ?

R1
interface Loopback0
ip address 210.210.210.1 255.255.255.0
!
interface FastEthernet1/0
ip address 10.10.10.1 255.255.255.0
!
router ospf 1
network 10.10.10.0 0.0.0.255 area 0
network 210.210.210.0 0.0.0.255 area 0

R2
interface FastEthernet1/0
ip address 10.10.10.2 255.255.255.0
!
router ospf 1
network 10.10.10.0 0.0.0.255 area 0

以上述兩個Router為例,在R2上看到的路由表仍然會是210.210.210.1/32

R2#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

210.21…

uRPF(Unicast Reverse Path Forwarding)

uRPF(Unicast Reverse Path Forwarding)

大致可以分為三種:
Strict uRPF - 在ingress router上設定,如果只有一條對外連線,通常會使用Strict uRPF;不但會檢查來源位址,同時也會檢查該封包進入router的interface是否與路由表一致。 Loose uRPF - 通常在egress router上設定;只要RIB中有存在該位址,不管是來自於那一個interface都可以。 iACL uRPF (Infrastructure ACL) - 主要是透過ACL來設定uRPF的功能 Strict uRPF:(檢查封包來源位址及進入router的interface與路由表是否一致)
Router(config)# ip cef
Router(config)# interface eth0/1
Router(config-if)# ip verify unicast reverse-path

Loose uRPF:(只單純檢查封包的來源位址是否存在於路由表中)
Router(config)#interface pos 1/0
Router(config-if)# ip ver unicast source reachable-via any

iACL uRPF:(檢查每一個封包的來源位址,如果不符合ACL的條件就會drop,如果加上log參數就可以紀錄下來所有失敗的封包)
Router(config)# interface pos1/0
Router(config-if)# ip verify unicast reverse-path 190
Router(config)# access-list 190 permit ip {customer network} {customer network mask} any
Router(config)# access-list 190 deny ip any any [log]

So-net宣布:光纖高速上網速率達10M/2M

So-net宣布:光纖高速上網速率達10M/2M(2008/09/19 00:54)

根據NCC資料顯示,2008年第一季我國行動上網用戶數已達1,246萬戶。(資料來源:資策會-FIND/經濟部技術處) 記者蘇湘雲/台北報導

光纖高速上網時代的腳步已經愈來愈近!台灣碩網網路娛樂公司(So-net)18日宣布,該公司所開通之光纖服務網已經搶通北、中、南等全省共17個縣市,目前所提供的上傳/下載速率為10M/2M,為目前光纖開通縣市最廣的民營ISP業者,提供用戶最火速的上網服務。

舉凡上網、購物、遊戲、通訊、視訊會議、影片、音樂及軟體的上傳/下載等,人們透過網路得到輕而易舉的便捷,越來越多人了解光纖上網帶來的好處及趨勢,如更高速、更穩定、更安全、且不受距離影響的傳輸。

挾帶日本成功光纖經驗的So-net指出,若依照目前網路服務的平均消費水平來看,升級光纖的費用是一個超值划算的方案,只要光纖鋪設到達住宅(FTTB),用戶即可為網路升級。

So-net產品規劃行銷處寬頻事業部協理蘇柏銘表示,先進國家政府如日本、香港、北歐、韓國等積極推廣光纖網路,帶動國家更強的競爭力,現今日本全國光纖覆蓋率已近 60%,主要都市更高達95%,So-net在日本已擁有七十多萬的光纖用戶的支持,藉由日本光纖成功推展經驗傳承,提供So-net在台灣更具競爭力的參考值,目前所提供的速率為10M/2M,未來將評估更高速的方案。

Bluecoat PacketShaper Bootcamp Day2 Notes

.Check License Key:
PacketShaper# setup keys show

Installed Keys: compatibility 1
control on
linksize 2m
compression on
acceleration on (Expires: 20081002)

.License Upgrade
Usage: setup keys add [yyyymmdd]

PacketShaper# setup keys add compatibility
PacketShaper# setup keys add control
PacketShaper# setup keys add linksize
PacketShaper# setup keys add compression
PacketShaper# setup keys add acceleration

.Measurement Engine(ME)


.Police
PacketShaper# ipfilter



show Show IP info
clear Clear IP filter[s]
onlyaccept Only accept specified packets
passthrough Passthrough specified packets
discard Discard specified packets
iponly Relay only IP trafic on|off.


.Show configuration limits
PacketShaper# sys limits


Statically allocated objects Current Remaining Total
--------------------------------…

Bluecoat PacketShaper Bootcamp Day1 Notes

今年Bluecoat併購了一家歷史優久的網路設備商Packeteer,其著名產品可能很多人都有聽過 - PacketShaper,至於為什麼Bluecoat會併購Packeteer,想當然而就是希望1+1大於2效應,兩家產品各有所長,如果可以雙劍合一對網路管理者來說當然是最好不過的事(in-line service大家都不希望看到太多可能的變數),不過短期內應該仍會是以不同系列的產品來供應市場,也許未來會有更進一步的整合計劃,就讓我們拭目以待!

在這次的Bootcamp中主要的課程內容是以實作為主,所以大部份的時間都是由講師來講解使用上的注意事項及使用經驗分享,對於第一次接觸PacketShaper的人來說有點緊湊,有一個很主要的原因那就是大家手上並沒有講義可以翻閱,有時如果一時失神沒聽到或是沒看到DEMO畫面的話,可能就會不知道剛剛miss掉了那些東西,不過整體來說至少可以對於PacketShaper產品有一個概括的了解,簡單上架設定應該是不成問題。但是如果可能的話,最好還是可以參加比較正式的課程才會有完整性的了解!

以下是小弟那兩天的筆記,不過由於PacketShaper主要是利用GUI畫面來設定,所以小弟的筆記有限只能針對CLI的部份作註記請各位諒解!


.Packetshape Password Recovery
重開機之後,在第一個輸入密碼畫面輸入'touchpwd='
(如果打錯必須再次重開機)



.密碼分為兩個層級:
touch 123 (touch level password 123, blank password in default)
look 123 (look level password 456, blank password in default)
如果password相同,會使用最高權限level



PacketShaper#reset (重開機)
PacketShaper#setup reset all (Reset to Factory Default)

.Press Q to skip prompt text

.207.78.98.254 (default IP)
.unconfigured.packeteer.com (default FQDN)



PacketShaper#net nic (check interface status)
Pack…