1. 2010/11/2
1
中壢資策會網工班
第八十期
C I S C O 競 賽 專 題
組長 謝明洋
組員 施佳慶
許智仁
林嘉彥
范志豪
李銘修
指導老師
戴致禮
楊宏文
林旺聰
第二組
我們所提供的業務範圍包括
企業網路規劃 儲存備份系統
電腦系統維護 系統整合服務
加密軟體服務 網域安全評估
網路認證服務 企業資訊安全服務
資訊安全管理服務 完善的售後服務
關於我們

2. 2010/11/2
2
DSV網路資訊公司
由資策會網工幫學員於 ２０１０ 年中成立
致力於提供前瞻性的世界級尖端資訊安全解決方案與顧問服務協
助企業強化資安，提昇公信力，創造安全，互信的優質商務環境。
數位資安:
提供顧問服務與解決方案之獨特性與創新性，為國內各企業採用，
在業界建立起「專業，前瞻，創新，實用」的企業形象。
以最親切的態度滿足客戶的需求，
從無到有的幫客戶量身訂做最適合的網路工作環境。
MAN Club
SNSD科技股份有限公司
簡介:
1.2007成立，為網路科技公司
2.資本額為9,000萬
3.2009年公司擴編，於中壢成立分公司
4.員工數: 台北為500人，台中為150人

3. 2010/11/2
3
林嘉彥謝明洋
施佳慶
許智仁
范志豪 李銘修
SNSD專案成員
網管工程師專案經理
客戶需求
STP &
Ethernet
ACL
NAT、PAT
VLAN
ACL
NAT & PAT
HSRP
OSPF
PPP
VPN

4. 2010/11/2
4
客戶原本拓樸
修正後拓樸

5. 2010/11/2
5
網公實業股份有限公司規劃報告
林嘉彥 李銘修 范志豪
施佳慶 許智仁 謝明洋
STP
Etherchannel
VLAN
ACL
NAT
OSPF
PPP
HSRP VPN
李銘修
Virtual Local Area Network(VLAN)
提升網路傳輸效能,縮小廣播範圍(Broadcast Domain)
可簡化管理、資源共享
提供VLAN之間增強的安全性，資料不外洩(VLSM)
VLAN

6. 2010/11/2
6
VLAN Topology
VLAN Setting
設定IP、Gateway(Config Mode):
SW1(config)#int vlan 1
SW1(config-if)#ip address 192.168.1.1 255.255.255.0
SW1(config-if)#no shutdown
SW1(config-if)#exit
SW1(config)# ip default-gateway 192.168.1.252
SW3同SW1，但SW2、SW4 的G/W改為192.168.1.253
檢視IP配置狀態(Enable Mode):
#show ip int brief
#show running-config

7. 2010/11/2
7
Virtual Trunk Protocol (VTP)
Server Mode
Switch預設模式， Switch必需在此模式下才能新增、
修改或刪除VTP網域中的VLAN，在此模式下對
Switch所作的任何修改都會影響給整個VTP網域。
Client Mode
Switch接收來自VTP伺服器的資訊，並更新VLAN，
但不能做任何更改。
Transparent Mode
不參與VTP網域運作，只轉送VTP資訊。
VTP Setting 1
啟動VTP:
SW1(config)#vtp domain dsv
SW1(config)#vtp password dsv
SW1(config)#vtp mode server
SW3(config)#vtp mode client
(其他3台只有mode改為client，其餘步驟同。)
檢查狀態 :
SW1#show vtp status

8. 2010/11/2
8
VTP Setting 2
啟動Switch Trunking :
(switch連switch的端口，都要設成trunk mode)
SW1(config)#interface range fa 0/21 – 24
SW1(config-if-range)#switchport mode trunk
檢查狀態 :
SW1#show interface trunk
其餘3台比照辦理
VTP Setting 3
建立VLANs(vlan database) :
SW1(config)#vlan 10
SW1(config-vlan)#name IT
SW1(config-vlan)#exit
SW1(config)#vlan 20
SW1(config-vlan)#name HR
SW1(config-vlan)#exit
檢查狀態 :
SW1#show vlan

9. 2010/11/2
9
VTP Setting 4
指定VLAN access端口 :
SW3(config)#int range fa0/1 - 20
SW3(config-if-range)#switchport mode access
SW3(config-if-range)# switchport access vlan 10
檢查狀態 :
SW3#show vlan
SW4(config)#int range fa0/1 - 20
SW4(config-if-range)#switchport mode access
SW4(config-if-range)# switchport access vlan 20
林嘉彥
STP and Ethernet
STP and Etherchannel

10. 2010/11/2
10
Broadcast storms
DHCP
ff:ff:ff:ff:ff:ff:ff
DHCP(A)
ff:ff:ff:ff:ff:ff:ff
DHCP(B)
ff:ff:ff:ff:ff:ff:ff
DHCP(A)
ff:ff:ff:ff:ff:ff:ff
DHCP(B)
ff:ff:ff:ff:ff:ff:ff
DHCP(A)
ff:ff:ff:ff:ff:ff:ff
DHCP(B)
ff:ff:ff:ff:ff:ff:ff
DHCP(A)
ff:ff:ff:ff:ff:ff:ff
DHCP(B)
ff:ff:ff:ff:ff:ff:ff
DHCP(A)
ff:ff:ff:ff:ff:ff:ff
DHCP(B)
ff:ff:ff:ff:ff:ff:ff
Spanning Tree Protocol
DHCP
ff:ff:ff:ff:ff:ff:ff
DHCP(A)
ff:ff:ff:ff:ff:ff:ff
DHCP(B)
ff:ff:ff:ff:ff:ff:ff

11. 2010/11/2
11
STP step 1
• One root bridge per network (only one)
– Bridge ID = Priority + MAC
Root
Bridge
STP step 2
• One root port per nonroot bridge(only one)
– 使用cost來定義RP
Root
Bridge
Nonroot
bridge
RP

12. 2010/11/2
12
STP step 3
• One designated port per segment (only one)
– 選出最接近Root bridge 的 port
Root
Bridge
Nonroot
bridge
RP
DP
DP
STP step 4
• Non-designated ports are unused
– 都沒辦選上的port就block掉
RP
DP
DP

13. 2010/11/2
13
Etherchannel
• 視為一條虛擬線路
• 增加頻寬，線路備援
Fast Ethernet 23
Fast Ethernet 24
EtherChannelHQ-SW1 HQ-SW2
STP與Etherchannel
• 控制STP block port在正確的位置
– 以VLAN20為例子
VLAN10 VLAN20
EtherchannelSW1 SW2
SW3 SW4
BID
Priority=4096
BID
Priority=8192
主
線
備
援
線
root
RP
RP
RP
DPDP
DP
DPDP

14. 2010/11/2
14
OSPF & PPP
施佳慶
OSPF
PPP - Point to Point Protocol
OSPF特性
需要選出DR/BDR
利用Multicast OSPF Hello建立鄰居database
在一個網路裡面超過2顆router的情況
此架構本身就支援Broadcast / Multicast
負責接收路
由更新資訊

15. 2010/11/2
15
OSPF特性
屬於OSPF的資料封
包主要用來更新與
維護拓樸表
OSPF的設定

16. 2010/11/2
16
OSPF的設定
PPP特性
PPP（Point to Point Protocol ）協定是
普遍被使用的廣域網路協定，如同名稱所示，
PPP 協定是指點對點的網路協定，通常用於
兩個網路節點的直接連接

17. 2010/11/2
17
PPP認證過程
CHAP 認證協定
特定的hash 值加以比對
雙方密碼要相等
Challenge 值是由亂數產生
CPAP
Three-Way Handshake
Response
Accept/Reject
Central-Site Router Remote Router
Hostname:TPE
Username:KAO
Password:CISCO
Hostname:KAO
Username:TPE
Password:CISCO
Challenge
網路連線建立階段
認證確認階段
網路層協定處理階
PPP設定

18. 2010/11/2
18
PPP
HSRP
許智仁
HSRP
Hot Standby Router Protocol

19. 2010/11/2
19
HSRP原理
• CISCO Redundancy Protocol
• Priority
兩台or多台的CISCO Router配置成Cluster，
建構Virtual Router，並將End user的Default Gateway指向它。
• Router
一個Router最多可配置256個HSRP組
分別設定為Active Router、Standby Router
前者提供Routing功能，後者隨時等候接手工作
(其中聯繫靠Hello封包)
※屬於RFC2281，只要網路設備製造商支援即可使用
三種群播訊息
Track技術
Preempt技術
機制選舉 Hello封包
Coup封包
Resign封包
公司

20. 2010/11/2
20
實機操作
公司
實機操作2
公司
MD5 Key-chain認證方法:
step1:
建立Key-chain(一串鑰匙)
step2:
建立key-string
step3:
套用到HSRP認證裡面

21. 2010/11/2
21
實機操作3
VLAN之間的PC互ping，連線後將R1的F0/0線路拔除，
測試是否可以經過R2連線(Track功能、Standby取代Active)
HSRP功能啟動
拔線後
實機操作3
公司
1
2
3
4

22. 2010/11/2
22
HSRP LAB
公司
Active Standby
Active
HSRP LAB
范志豪
ACL & NAT / PAT
ACL & NAT / PAT

23. 2010/11/2
23
NAT的功能
• 內部連上Internet的遠端電腦可以藉由NAT來轉換Public
IP存取外部資源。
• 透過Router 公司內部Server & PC不易輕易外露。
• 公司內部與分公司內部PC可藉由NAT做溝通。
• 轉址方式有3種,Static NAT , Dynamic NAT , PAT (Port
Address Translation).
• Router 依據ACL(Access Control List)決定是否讓封包通
過。
ACL程式執行的邏輯
Deny
Deny
Deny
Deny
Match
Next
Test
Match
First
Test
Match
Last
Test
Permit
Permit
Permit
YY
Y Y
YY
N
N
N 隱藏的最後一行
Destination
Interface
Packets to
interface in
the Access Group
Packet
Discard
Bucket If No Match , Deny All

24. 2010/11/2
24
Router 1的設定
(config) #int s 0/2/0
(config-if) #description to ISP
(config-if) #ip address 172.16.1.1 255.255.255.252
(config-if) #ip nat outside
(config) #ip nat inside source list 1 interface s 0/2/0 overload
(config) #ip route 0.0.0.0 0.0.0.0 s 0/2/0
(config) #int S 0/1/0
(config-if) #ip address 172.16.1.9 255.255.255.252
(config-if) #ip nat inside
(config-if) #exit
(config) #int f 0/0
(config-if) #ip address 192.168.1.252 255.255.255.0
(config-if) #ip nat inside
(config-if) #exit
Router 2的設定
(config) #int s 0/0/0
(config-if) #description to ISP
(config-if) #ip address 172.16.1.5 255.255.255.252
(config-if) #ip nat outside
(config) #ip nat inside source list 1 interface s 0/0/0 overload
(config) #ip route 0.0.0.0 0.0.0.0 s 0/0/0
(config) #int S 0/0/1
(config-if) #ip address 172.16.1.10 255.255.255.252
(config-if) #ip nat inside
(config-if) #exit
(config) #int f 0/0
(config-if) #ip address 192.168.1.253 255.255.255.0
(config-if) #ip nat inside
(config-if) #exit

25. 2010/11/2
25
ACL的設定
(config) #int s 0/1/0
(config-if) #ip access-group 1 in
(config-if) #exit
(config) #int f 0/0
(config-if) #ip access-group 1 in
(config-if) #exit
(config) #int s 0/0/1
(config-if) #ip access-group 1 in
(config-if) #exit
(config) #int f 0/0
(config-if) #ip access-group 1 in
(config-if) #exit
Virtual Private Network (VPN)
謝明洋
VPN
Site to Site VPN (IPsec VPN)
Remote access VPN (SSL VPN)

26. 2010/11/2
26
VPN的特色
 連上Internet的遠端電腦可以藉由VPN來
存取內部資源。
 可加密封包，避免重要資料被竊取。
 公司與分公司可藉由建立Site to Site VPN
來連線，省掉專線的錢。
 可驗證身分與保持資料的完整性。
VPN的分類
 Site to Site VPN (IPsec VPN)
Remote access VPN (SSL VPN)

27. 2010/11/2
27
Site to Site IPsec VPN 的設定(1)
 保護Key與Data
Site to Site IPsec VPN 的設定(2)
 將設定之Map對應到相對應之介面

28. 2010/11/2
28
Site to Site IPsec VPN的驗證
Remote Access SSL VPN
三、
SSL VPN Client
-SVC-Full Tunnel Mode
一、
Clientless SSL VPN
-WebVPN
二、
Thin-Client SSL VPN
-Port Forwarding

29. 2010/11/2
29
Remote Access SSL VPN
 使用SDM來做設定，使遠端用戶能透過網
路瀏覽器來存取內部服務。
 也可藉由SDM來設定Site to Site Ipsec
VPN
評審講評