炭老弟家常菜

<Frame-Relay>
ISP建立FR交換器所形成的交換器網路再租用企業用戶
企業用戶就共享這個FR網路的頻寬

<DLCI號碼(Data Link Connection Identifier)>
FR的L2位址
決定共享頻寬(Virtual Circuit,VC)如何建立
FR靠DLCI對應出一條VC
DLCI設定由ISP規劃

虛擬線路(Virtual Circuit)
FR網路為共享,因此沒有任何線路作為專線使用
企業用戶使用FR網路,會在FR網路產生一條虛擬線路來傳遞資料

<LMI運作,Local Management Interface>
一種keepalive機制
提供本地路由器(DTE)和FR交換(DCE)之間的FR連接的狀態資訊
若連線有問題,VC線路變成Inactive狀態

LMI協定版本:
路由器與FR交換器送出的LMI版本需一致
1.Cisco:預設LMI
2.ANSI:對應於ANSI標準T1.617 Annex D
3.Q933a:對應於ITU標準Q93

<Inverse-ARP>
用途與ARP相似
透過L3位址找到L2位址
本地DLCI對應到遠端IP
APR:IP→MAC
Inverse-ARP:IP→DLCI

承諾速率(CIR,Committed Information Rate):
企業用戶租用FR頻寬
ISP訂出承諾速率收取費用
在CIR範圍內,ISP確保資料傳遞成功
CIR範圍以外,將被標記為可選擇丟棄(DE,Discard Eligible)

擁塞通知:
FR協定中,兩種方式通知網路有擁塞發生
1.向前擁塞通知(FECN):向前通知目的端FR有擁塞
2.向後擁塞通知(BECN):向後通知來源端FR有擁塞

<建立FR Switch>
1.規劃DLCI
2.定義VC線路
3.啟動FR協定

Frame-Relay encapsulation type:
1.cisco
2.IETF(Internet Engineering Task Force)

FR常用指令:
R(config-if)#encapsulation frame-relay(設定介面為Cisco版本FR封裝)
R(config-if)#encapsulation frame-relay ietf(設定介面為IETF版本FR封裝)
R(config-if)#frame-relay lmi-type ansi(設定該介面LMI Type為ansi)
R(config-if)#frame-relay lmi-type q933a(設定該介面LMI Type為q933a)
R(config-if)#int s0/0/0.2 point-to-point(建立s0/0/0.2 FR P2P子介面)
R(config-if)#int s0/0/0.34 multipoint(設定s0/0/0.34為FR M2P子介面)
R(config-subif)#frame-relay interface-dlci 102(將DLCI=102分配給該子介面)
R(config-if)#frame-relay map ip 10.10.10.3 103 broadcast(手動對應10.10.10.3到dlci=103)
R#show int s0/0/0(查詢s0/0/0介面L2封裝)
R#show frame-relay lmi(查詢LMI運作狀況)
R#show frame-relay map(查詢IP對應到DLCI)
R#show frame-relay pvc(查詢VC連線狀況)

<水平分割問題>
同一個網路介面收送資料
違反水平分割原則(Split Horizon)

關閉水平分割功能:
※關閉水平分割功能可能會導致路由迴圈
R(config)#int s0/0/0
R(config-if)#no ip split-horizon

<Frame-Relay子介面設定>
FR子介面可設定為P2P子介面(邏輯介面)解決水平分割問題

FR子介面
將實體介面分割為多個子介面(sub-interface)
功能與實體網路介面功能一樣
loopback不須依附在實體介面,FR子介面需實體介面依附

兩種子介面:
1.P2P點對點
一個子介面只能連接一個VC
每台路由器中P2P子介面都有獨立網路
每個子介面只有一個DLCI
2.M2P多對點
一個M2P子介面可以建立多個VC線路
所有VC線路位於同一子網
子介面中有好幾個DLCI

<基礎VPN,Virtual Private Network>
將Internet當作自己的私有網路來使用
類似專線
無專屬頻寬,會跟Internet使用者爭頻寬
需兩種技術支援
1.Tunnel技術
2.加密技術

優點:
1.節省成本(cost savings)
無須負擔租用專線成本
2.擴充性(scalability)
無須額外基礎建置
3.相容性(compatibility)
Site to Site
Remote-access to Site:
可以為mobile user,使用VPN連回公司內網
常見SSL VPN支援Remote-access to Site
4.安全性(security)
提供加密.認證功能
ex:IPsec.SSL

<IPsec>
IETF標準
開放標準的框架(framework),沒限定於哪種加密演算法
直接運作在網路層來保護及認證IP封包

主要提供四種服務:
1.資料保密性(confidentiality)
靠加密演算法
2.資料完整性(Data Integrity)
防止封包資料被竄改
使用checksum或雜湊函數(hash)檢查資料是否被修改過
3.認證功能(Authentication)
確認連線使用者身分
IPsec使用IKE來交換認證的key
4.不可重複性(Anti-replay protection)
相同封包不會重複送出或被複製
使用序列號碼(sequence)檢查

<GRE Tunnel>
Generic Routing Encapsulation
基本VPN通道(Tunnel)技術
不用設定加密方式,無安全性
設定容易