1 / 98

TN307 進階網路技術

元智大學網路技術系. TN307 進階網路技術. 指導教授 : 王井煦. 三年級 A 班 第四組成員. 935606 吳朝元 935623 林運來 935626 林振全 935629 羅濟本 935632 鄭恒昌 935633 鍾嘉宏 935649 蕭遠訓. 分組報告作業題目. 請說明乙太網路交換器鏈路彙集功能? 比較撥接方式 PPPoE / DHCP / IEEE802.1x. 請說明乙太網路交換器鏈路彙集功能?. 鏈路彙集,也叫做中繼或埠中繼。

diamond
Download Presentation

TN307 進階網路技術

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 元智大學網路技術系 TN307進階網路技術 指導教授 :王井煦

  2. 三年級 A班 第四組成員 • 935606 吳朝元 • 935623 林運來 • 935626 林振全 • 935629 羅濟本 • 935632 鄭恒昌 • 935633 鍾嘉宏 • 935649 蕭遠訓

  3. 分組報告作業題目 • 請說明乙太網路交換器鏈路彙集功能? • 比較撥接方式 PPPoE / DHCP / IEEE802.1x

  4. 請說明乙太網路交換器鏈路彙集功能? 鏈路彙集,也叫做中繼或埠中繼。 是一種將物理的網路連接結合成邏輯上的單一連接以提高網路頻寬,達到網路負載平衡,增加容錯能力的技術。我們可以通過將多條數據機的連接線路或數位線路聯合到一起的方式利用鏈路彙集技術來提高訪問公共網路的能力。在企業的網路中也可以利用鏈路彙集技術在乙太網交換機之間建立連接速度達 Gigabit 的骨幹連接。

  5. 技術發展 這種技術標準就是 IEEE 802.3ad,該標準列出的鏈路彙集技術的主要目標如下: • 提高連接頻寬 • 提高有效性 • 連接頻寬線性增加 • 負載分擔 • 自動配置 • 快速配置和再次配置 • 確定性的動作 • 降低被複製或結構順序被顛倒的風險

  6. IEEE802.3 協定介紹 • IEEE 802 協定是規範局域網的系列協定。 我們一般把 IEEE 802.3 協定稱作乙太網協定,它是 IEEE Metro 乙太網協定的一支。現有的乙太網速率和介質有以下幾種:◇ 10 Mbit/s -- 10Base - T Ethernet(銅線)◇ 100 Mbit/s -- Fast Ethernet(銅線或光纖)◇ 1000 Mbit/s -- Gigabit Ethernet(銅線或光纖)

  7. 我們以前所熟知的 802.3z( Gbit 乙太網)、802.3ab(1000Base-T Ethernet)、802.3ac(VLAN Tag)、802.3ad (鏈路聚合)都已經成爲 2002 版的 802.3 標準的一部分而不再單獨出現。 • 同時 10 - Gigabit Ethernet 的標準 IEEE 802.3ae 已於2002年6月12日獲批准正式發布。

  8. IEEE 802.3ad鏈路聚合協議 • Link Aggregation Control Protocol : LACP 分爲動態和靜態兩種配置方式(在交換機上設置),這種模式中 虛擬的網路鏈結只用一個Mac 位址接收資料包。 IEEE 802.3ad 聚合配置之後,鏈路聚合控制協議數據單元(LACPDU)就會在服務器和交換機之間進行交換。LACP 會通知交換機在聚合中配置的適配器應作為交換機上的一個適配器來考慮,而不再有用戶干涉。

  9. 鏈路彙集技術 鏈路彙集技術也稱為 Trunking 或 Bonding ,其實是將兩台設備間數條物理鏈路 “組合” 成邏輯上的一條數據通路,稱為一條聚合鏈路。

  10. 交換機之間物理鏈路 Link1、Link2、Link3 組合成一條彙集鏈路,此鏈路在邏輯上是一個整體,內部的組成與傳輸數據的細節對上層服務是透明的。

  11. 彙集鏈路內部的物理鏈路共同完成數據收發任務並相互備份,只要還存在能正常工作的成員,整個傳輸鏈路就不會失效。以圖為例,若 Link1 ,Link2 先後故障,他們的數據任務會迅速轉移到 Link3 之上,所以交換機間連接不會中斷。

  12. 鏈路彙集的優點 • 提高鏈路可用性 • 鏈路彙集中,成員相互動態備分。當某一鏈路中斷時,其他成員能夠迅速接替其工作,與生成樹協議不同,鏈路彙集啟用備份的過程對於彙集之外是不可見的,而且啟用備份過程只在彙集鏈路內,與其它鏈路無關,切換可在數豪秒內完成。

  13. 增加鏈路容量 • 彙集技術的另一明顯優點是為用戶提供一種非常經濟高鏈路傳輸率的方法,通過綑綁多條物理鏈路,用戶不必升級現有設備就能獲得更大帶寬的數據鏈路,其容量等於各物理鏈路容量之合。 • 彙集模組按照一定演算法將業務流量分配給不同的成員,以實現鏈路級負載分擔功能。

  14. 橫跨設備間的彙集鏈路

  15. 比較撥接方式PPPoE / DHCP / IEEE802.1x PPPoE 乙太網路點對點通訊協定 Point-to-Point Protocol over Ethernet 是ADSL寬頻上網連線程式。PPP是一種通訊協定,是用來通過電話線路及ISDN 撥號接駁到網路服務供應商(ISP)時使用, 該協議具有用戶認証及通知 IP 地址等功能。 Ethernet 是指乙太網路, 乙太網路是一種普遍使用的網路協定和有線連結系統,在各類基本網路型式中最有效率之一(有乙太網路—10Mbps及超高速乙太網路—100Mbps兩種),所以 PPPoE 就是一種利用個人電腦透過寬頻連接設備連接高速寬頻網路的連接方式。

  16. PPPoE 建立在兩大標準-乙太網路( Ethernet)與點對點技術(Point-to-Point)之上的通訊協定,允許電腦與 xDSL、纜線或無線寬頻等寬頻連接設備建立連接介面,以快速存取網際網路。 大多數網路服務業者(ISP)與電信廠商皆已支援該項通訊協定。PPPoE 主要應用在寬頻網路服務,但是可與原有的撥接網路基礎建設相互整合,同時支援現有的網路服務,包括身分驗證、安全存取與帳戶管理等。 對於使用者而言,PPPoE 相當容易使用,保留過去Wondows 作業系統利用數據機(Modem)撥號連線的方式,不需要額外進行繁瑣複雜的設定程序。

  17. 在實際應用上,PPPoE 利用乙太網路的工作機理,將ADSL Modem 的10BASE-T 介面與內部乙太網路互聯,在ADSL Modem 中採用 RFC1483 的橋接封裝方式對終端發出的 PPP 封包進行 LLC/SNAP 封裝後,通過連結兩端的PVC在ADSL Modem 與網路側的寬帶接入伺服器之間建立連接,實現 PPP 的動態接入。 • PPPoE 接入利用在網路側和 ADSL Modem 之間的一條 PVC 就可以完成乙太網路上多用戶的共同接入,實用方便,實際組網方式也很簡單,大大降低了網路的複雜程度。

  18. PPPoE 接入採用客戶端 / 伺服器模型,整個過程分為 Discovery 與Session 階段 Discovery 階段: 1.接入主機通過在乙太網上廣播 PADI(PPPoE Active Discovery Initiation)分組來發現接入伺服器 2.對主機進行服務的伺服器對該主機應答 PADO (PPPoE Active Discovery Offer)分組, 目的是向主機通告伺服器能提供的所有服務;如果伺服器不能提供PADI 所要求的服務,它將不應答 PADO。

  19. 3.接入主機發送 PADR(PPPoE Active Discovery Request)分組來選擇一個伺服器,同時在分組中包含所請求的服務名 4.伺服器收到一個 PADR 分組,準備開始一個 PPP 會話。它爲該對話生成一個唯一的會話 Id, 並對主機應答一個PADS 分組,其中包含會話 ID,此 ID 將被包含在之後的所有資訊交換中,以用於標識此特定的會話,從而在乙太網上建立起了一條 PPP 鏈路。此後將進入PPPoE 接入的下一個階段―― Session 階段。

  20. Session 階段: 1.接入主機和伺服器在 Discovery 階段建立的 PPP 鏈路上開始 PPP 的 LCP 協商,認證和 IPCP 協商,協商完成後,就可以發送資料了 2.用戶上網完成,發送 PPP 的 TermReq 要求進行斷網, 伺服器斷開 PPP 連接,將用戶上網的計費資訊發送給 Radius,同時用戶端會發送 PADT,PPPoE 伺服器收到後埠 PPPoE Discovery 建立的PPP 連接。

  21. PPPoE 的應用圖示

  22. PPPoE 功能介紹 支援標準 RFC2516 A Method for Transmitting PPP Over Ethernet (PPPoE) • 提供基於 Radius 認證和計費的 PPPoE 接入 • 提供基於本地認證的PPPoE 接入(測試時用到) • 智慧型中斷連線 在設置的 Idle 時間內,PPPoE 伺服器向用戶端發送Echo Request,如果收不到 Echo Reply,伺服器將斷開用戶。

  23. PPPoE 連接網路圖示

  24. PPPoE 安全認證 PPP技術廣泛應用於電信產業已行之有年,最常見的就是傳統撥接用戶利用數據機透過 PSTN 網路和機房端的遠端接取伺服器 (RAS) 間建立起 PPP 連線 ( session),或是利用 L2TP 技術,把 PPP 連線延伸到分封交換的網路 (packet network)之上,和遠端的閘道器 (gateway)建立起虛擬私人網路(VPN)。 PPPoE 的思維模式就是來自於這樣的撥接式概念--使用者必需 “撥接”進寬頻接取伺服器(BRAS),透過 PPP的認證機制確認使用者的身份後,建立起 PPP 連線,使用者才能夠經由此 PPP通道(channel)存取網路。

  25. 值得一提的是,PPPoE 除認證之外,延續了 PPP 協定的優點,能夠針對使用者動態分配 IP 位址,並且記錄使用者的使用時間和流量,用以對使用者做管理和計費等動作,而且相容於現有成熟、穩定的用戶管理和計費系統,這對電信業者而言,能夠輕易的把PPPoE 環境整合在舊有環境,而不須更換認證和計費伺服系統。

  26. 由於 PPPoE 是第二層的技術,因此在使用者和寬頻接取伺服器之間必須是第二層的網路。而將 PPPoE 封包轉換回 IP 封包所需的運算能力對寬頻遠端接取伺服器的負荷相當可觀,更糟的是所有使用者都須要建立連結到寬頻接取伺服器上,邏輯上形成星狀網路拓樸,很容易成為網路上的瓶頸點,此外,這樣的架構對群播也相當不利,這幾點是 PPPoE 技術主要的問題。

  27. 如果要避免前述問題,就必須要採分散式架構大量建置,但是 PPPoE 功能的交換機價格通常相當昂貴,因此在應用上通常是將設備置於接取網路(access network)之後,提供大範圍的使用者在存取 ”網際網路” 時的認證管理,而非使用於存取“區域網路”的環境,因此,除非網路架構能夠設計成未建立 PPP 連線的使用者只能連接到寬頻接取伺服器,否則 PPPoE 可能不適合校園或企業做為建置網路的認證管理技術。

  28. PPPoE 的網路架構及協定堆疊圖

  29. 網路協定PPPoE ADSL 根據它連接 Internet 方式的不同,它所使用的協定也略有不同,當然了不管 ADSL 使用怎樣的協定,它都是基於 TCP/IP 這個最基本的協定,並且支援所有 TCP/IP 程式應用。 • 專線接入方式 就是 ISP 提供靜態 IP 地址,主機名稱等,由於 ADSL 技術已經是直接輸出局域網信號,所以其軟體的設置和局域網一樣並直接使用 TCP/IP 協定。

  30. 虛擬撥號方式 顧名思義,就是上網的操作和普通撥號一樣,使用簡單,有帳號驗證、IP 地址分配等過程。 但 ADSL 連接的並不是具體的 ISP 接入號碼如 163 或169,而是ADSL 虛擬專網接入的伺服器。根據網卡類型的不同又分爲 ATM 和 Ethernet 區域網虛擬撥號方式,由於區域網虛擬撥號方式具有安裝維護簡單等特點,目前成爲 ADSL 虛擬撥號的主流並有自己的一套網路協定來實現帳號驗證、IP分配等工作,這就是 PPPoE協定。

  31. PPPoE 結論 PPPoE 作爲乙太網上的一種接入技術,它通過在共用式乙太網上建立點到點鏈路,以此來對每個PPPoE 用戶執行單獨的策略,因此具有可管理性;又因爲它使用PPP 的各種成熟功能,因此比較容易實現,可以輕易與 Radius 技術結合來完成3A 功能;並且,PPPoE 技術提高了乙太網接入的安全性,因此PPPoE 技術是一個很受歡迎的技術。

  32. DHCP 動態主機配置協定 (Dynamic Host Configuration Protocol) DHCP 是可自動將 IP 位址指派給登入 TCP/IP 網路的用戶端的一種軟體(此種 IP 位址稱為「動態IP位址」)。這種軟體通常是在路由器及其他網路設備上執行的。依照預設,您的 GateLock 路由器設定為使用 DHCP,因此您無須手動指派永久 IP 位址給網路上的每個設備。建議您不要改變這項設定,這樣您的個人電腦就可以被辨識為 DHCP 伺服器。

  33. DHCP 概述 DHCP 採用 Client-Server 模型,指定的DHCP Server 爲DHCP Client 提供配置參數。根據網路管理員的配置,DHCP Server 可以充當DHCP relay agent,將客戶請求轉發給其他DHCP Server。DHCP 提供IP 地址的集中管理並可以防止IP 地址衝突。 DHCP 的典型應用方式如下頁圖示 :

  34. DHCP 的應用圖示

  35. DHCP工作原理 DHCP Client 通過和 DHCP Server 交換 DHCP 消息來獲取配置參數。Client 在本地網路上廣播DHCP DISCOVER 消息,Client 可以在該消息中建議它想要的IP 位址以及該地址的租用期限。 如果 Server 在本地網路上,它可以回應DHCPOFFER 消息,該消息包含 IP 位址以及遮罩等配置參數(如果 Server 不在本地網路上,可以充當 DHCP relay agent,將請求轉發給 DHCP Sever) Client 收到 DHCPOFFER 消息,發送DHCPREQUEST 消息,該消息包含 server identifier 表明 Client 選擇了哪個 Server 的 DHCPOFFER 。

  36. 被選中的 Server 收到 DHCPREQUEST,回應DHCPACK 消息,該消息中包含分配給 Client 的各種參數(如果 Client 請求的位址已經被分配,Server 回應DHCPNAK 消息)。 如果 Client 檢測到分配給自己的地址已經有人在使用,Client 發送 DHCPDECLINE 消息給 Server 同時重新開始整個過程。 如果 Client 想延長它的租用期限,Cleint 發送DHCP REQUEST 消息給 Server,在該消息中 ciaddr 欄位設置爲客戶的 IP 地址,但不包含 server identifier。Server 回應DHCPACK 消息。

  37. DHCP 的限制 雖然 DHCP 在設定上提供 Dynamic 定址(有限租用時間)、Automatic 定址(無限租用時間)、Static定址 ( IP-Address 由 client 端自行手 動設定,而非由 DHCP server 取得),但其仍有一些限制如下: • DHCP 資料包欲通過 ROUTER,需 ROUTER支援 RFC-1542 及 Relay-agent (bootp-agent)才行。 • DHCP 無法判斷非 DHCP client 所取得之 IP-Address,因此該 IP-Address 需被排除在DHCP server IP-address 範圍設定中。

  38. (3) DHCP server 和 DHCP server 間無法通訊,且也無法偵測彼此所分配出去之 IP-Address,因此,為免除不必要之麻煩,DHCP server 所設定之 IP-address範圍儘量不要重覆。 (4) 在租期內,DHCP client 無法更改 IP-Address,除非先釋放位址,再手動設定。 (5) 不正確的 DHCP IP-Address 範圍設定,可能造成潛藏之網路通訊錯誤。 (6) 手動設定的參數會覆蓋啟動 DHCP client 所取得之參數,所以需先清除相關設定 。

  39. DHCP 規劃之考量 • 若欲將目前所在還境之主機當 DHCP server,則需考量是否有作業平台所支援之軟體,或新增支援的相關軟硬體。 • 在 client 端之考量,以目前市面上所使用之平台,如:DOS、WIN3.1、WIN95、WIN-NT、OS2、Linux...等均有支援其中又以 WIN-95 NT OS2 內建之軟體較佳。 • 其子網路及 ROUTER之考量:基本上,一個子網路需搭配一 DHCP server,但若是 ROUTER 有支援Relay-agent(bootp-agent),則也可以兩個或兩個以上之子網路分享一個DHCP server。然而即使ROUTER 支援 Relay-agent,筆者建議仍是以一個子網路為一個 DHCP server 範圍,以確保當某一DHCP server當機時,其他仍能正常運作。

  40. 舉例說明如下: DHCP server1 IP-Address 設定如下: 200.200.1.10-200.200.1.100 200.200.2.101-200.200.2.110 DHCP server2 IP-Address 設定如下: 200.200.2.10-200.200.2.100 200.200.1.101-200.200.1.110 依上例,當 DHCP server1 當掉時,200.200.1.X 之子網路仍可透過 Relay-agent 向 DHCPserver2 取得 IP-Address,如此可維持網路正常之運作。

  41. (4) 網路相關必須設備之 IP-Address,如 DNS server、ROUTER、Proxy server.....等,最好不要納入 DHCP server之範圍內,以預防當 DHCP server 無法動作時造成網路癱瘓。 (5) 租期(Lease time)的考量:一般若可分配之 IP-Address大於網路上機器之數量,則 DHCP sever 預設之租期即可;而若機器數量大於可分配 IP-Address 之數量,則租期必需加以調整,以得到最佳之效率。

  42. (6) 撥接網路之配合: 撥接網路目前以使用 PPP 協定居多,而其也能自動取得 IP-Address(採用之方法稱為 IPCP),但不能取得其它相關設定,需以手動加以設定,同時也沒有租期之控制,因此較不具彈性;SLIP 則不具自動 IP-Address 取得之支援,不過 WIN-NT 4.0 另有配合 DHCP server 的解決方法可供使用,故使用彈性較佳。

  43. DHCP 標準 • RFC951 Bootstrap Protocol(BOOTP) • RFC1542 Clarifications and Extensions for the Bootstrap Protocol • RFC2131 Dynamic Host Configuration Protocol • RFC2132 DHCP Options and BOOTP Wendor Extensions

  44. 啓動和停止 DHCP 服務 無論是工作在 DHCP Server 模式還是 Relay Agent 模式,都要求啓動 DHCP 服務,一般來講,在配置任何DHCP 命令時都會判斷 DHCP 服務有沒有啓動,若沒有啓動,也會自動將 DHCP 服務起來;

  45. DHCP 缺點 DHCP 技術是通過某網路內一台伺服器提供相應的網路配置服務來實現的,可以爲網路終端設備提供臨時的 IP地址、默認閘道、DNS 伺服器等網路配置。 雖然DHCP技術可以爲用戶接入網路提供方便,但還存在以下弊端::

  46. IP地址隨機性:用戶的 IP 地址是隨機分配的,具有不確定性。 • 訪問許可權變化:如果用戶的訪問許可權是基於IP地址劃分的,則訪問許可權隨 IP 地址不同而變化。 • 不可被訪問:通過 DHCP 獲得的 IP 地址具有不確定性,用戶被訪問難度較大。 • 應用不連續:如果用戶在不同網段的 WLAN 之間不間斷使用網路時,IP 地址的改變會造成應用中斷。 • 安全性差:外來的網路用戶會對網路本身造成安全威脅

  47. DHCP 規劃考量 • DHCP 伺服器數量需求 • DHCP 伺服器佈署位置 • DHCP 安全性(Security)策略 • DHCP 伺服器可用性(Availability)的最佳化 • DHCP 伺服器效能(Performance)最佳化

  48. DHCP伺服器數量需求 • 伺服器的硬體配備等級 • 用戶端及子網段的數量及分佈狀況 • 伺服器和用戶端之間的網路連線頻寛 • DHCP 基礎架構所產生的網路流量影響 • DHCP 用戶端取得 IP • DHCP 用戶端更新租期 • 負載平衡及容錯規劃

  49. DHCP 安全性策略 • 避免未經允許的使用者取得 DHCP 伺服器所發放的 IP 設定 • 將外人可接觸到的網路與公司內部網路隔離 • 採用 Wireless 的 802.1x 驗證協定 • 啟用 DHCP 稽核記錄,並常常檢視 • 避免未經授權的 DHCP 伺服器發放 IP 設定 • Windows 2000 及 Windows Server 2003 之 DHCP 伺服器才能接收此法管制 • 使用 SMS Network Expert 或 MOM 加裝Management Pack 則可限制 Non-Microsoft 的 DHCP 伺服器

  50. 結論 由以上可知,由於較大型之網路環境 DHCP 可提供較佳之使用者及管理者在使用及管理上大量困擾之排除,其如再能配合 DDNS( Dynamic Domain Name Server)及資料安全兩項考量(DHCP 目前乃是採用UDP 的方式傳送方式),那麼,DHCP 更可將其特性淋漓發揮。

More Related