「緯育 2026-0408」修訂間的差異
出自頂極製作所
| 行 235: | 行 235: | ||
** 已存檔:重開機後載入新設定;開機過程可見IOS解壓與Console登入提示。 | ** 已存檔:重開機後載入新設定;開機過程可見IOS解壓與Console登入提示。 | ||
[[檔案:2026-0409-02.png|800px]] | [[檔案:2026-0409-02.png|800px]] | ||
本次系列講座首先介紹了一門網路設備運作的課程架構,強調應以系統架構思維,類比台積電的全球網路架構來學習。課程將依序介紹L2交換器、路由器、L3交換器及防火牆四種設備,並透過建置一個模擬台積電的拓樸圖來整合學習VLAN、OSPF、NAT、ACL及VPN等協定。課程核心目標是訓練學生成為高級網路工程師,能處理NAT與VPN等協定間的不相容性。接著,講座深入探討了底層網路設備的演進,從始祖級設備集線器(HUB)開始講解。<br><br> | |||
講師解釋了HUB在OSI模型第一層的運作原理,即複製(copy)並重整(repeat)電子訊號至所有埠口,不具備封包概念。此廣播機制導致資料需由終端設備網卡根據MAC位址過濾。最後,講師指出了HUB作為半雙工(half-duplex)設備的致命缺點——訊號碰撞(collision),並預告將介紹交換器如何解決這些問題。課程的期末考將以此複雜架構為基礎,採開卷(Open Book)形式進行。 | |||
=== 課程結構與網路架構解說策略 === | |||
* 課程順序與設備介紹 | |||
** 課程順序:將按照L2交換器、路由器(Router)、L3交換器、防火牆的順序介紹網路設備。 | |||
** 設備功能介紹: | |||
*** L2 交換器:課程將從第二層交換器開始。 | |||
*** L3 交換器:是交換器與路由器功能的結合體,在業界骨幹網路中至關重要。 | |||
*** 防火牆:課程會介紹防火牆,並透過路由器來模擬其功能,實現ACL、NAT及VPN等資安功能。 | |||
* 以台積電類比網路架構 | |||
** 解說複雜網路設計時,應先從高層次的系統架構思維出發,類比台積電的網路架構,先說明整體架構功能,再深入技術細節,有助於聽者理解。 | |||
** 例如,可先說明台灣境內使用何種架構,以及如何透過NAT、VPN連接到美國據點。 | |||
=== 課程核心:拓樸圖實作 === | |||
* 拓樸圖架構 | |||
** 整個課程將圍繞一張模擬台積電全球網路架構的拓樸圖進行。 | |||
** 圖中各路由器代表不同據點:R1(竹科總公司)、R2(防火牆)、R3(南科)、R6(美國據點),以及中科資料中心。 | |||
* 網路功能與協定應用 | |||
** VLAN:在總公司內部切分不同部門的Data VLAN與網管VLAN。 | |||
** 路由協定:台灣內網運行OSPF協定。 | |||
** IP位址規劃:內網使用私有IP,Internet使用公有IP,兩者間透過NAT轉換。 | |||
** VPN:為了實現台灣與美國據點的連通,將在R1與R6之間建立VPN通道。 | |||
** ACL:作為防火牆功能的一部分進行建置。 | |||
* 高級網路工程師的挑戰 | |||
** 課程旨在訓練學生解決不同網路協定間的衝突,如NAT與VPN本質上不相容,需學習如何調整配置使其共存並發揮功能。 | |||
=== 網路設備的演進與基礎 === | |||
* 集線器 (Hub) 的重要性 | |||
** Hub是所有網路設備的始祖,理解其運作原理與缺點,是掌握現代交換器功能的基礎。 | |||
** Hub外觀與交換器相似,難以分辨。 | |||
=== 集線器 (Hub) 與實體層運作原理 === | |||
* Hub 在 OSI 模型的位置與運作方式 | |||
** Hub運作在OSI模型第一層(實體層),只看得懂0與1的電子訊號,沒有「封包」概念。 | |||
** 其運作原理是將從一個埠口接收到的電子訊號「複製(copy)」到所有其他的埠口(廣播)。Hub不依賴MAC位址轉發資料。 | |||
* 訊號處理與重整(Repeat) | |||
** Hub在複製訊號時會執行「Repeat」操作,即恢復訊號強度。例如,將因長距離傳輸而衰減的6V訊號恢復至原始的10V,再傳送出去,確保訊號能再傳輸下一個100米。 | |||
* 雙絞線傳輸限制與問題診斷 | |||
** 雙絞線因電阻會造成電子訊號衰減,標準傳輸長度限制在100米內,以防訊號衰減過度導致接收端無法辨識0與1。 | |||
** 雖然製造商會測試更長距離以確保容錯,但過長(如130-140米)仍會失敗。 | |||
** 可使用交換器 show interface 指令檢查因訊號衰減或線材老化氧化導致的CRC(Cyclic Redundancy Check)錯誤,CRC錯誤快速增加通常代表線纜品質出問題。 | |||
=== HUB的廣播機制與半雙工限制 === | |||
* 封包的接收與過濾機制 | |||
** 因Hub的廣播特性,同一Hub上的所有設備都會收到訊號。 | |||
** 最終由接收端電腦網卡(NIC)的驅動程式(運作於第二層)檢查封包中的目的MAC位址,若不符,則捨棄該封包。 | |||
* 碰撞問題(Collision)與半雙工(Half-duplex)特性 | |||
** Hub是半雙工設備,其端口的單一電路在同一時間點要嘛只能收,要嘛只能送,無法同時進行。 | |||
** 此特性導致若有多組設備同時傳輸資料,訊號會在Hub內發生「碰撞」,造成資料損毀。這個問題將在後續討論交換器時說明其解決方案。 | |||
=== 課程評量與要求 === | |||
* 考試形式與難度 | |||
** 期末考內容為建置課程所教的完整網路架構,採用「開卷(Open Book)」形式。 | |||
** 考試題目量極大,旨在讓大多數人寫不完,預計僅有充分練習(至少兩三遍)的學生能在時限內完成。 | |||
[[檔案:2026-0409-03.png|800px]] | |||
於 2026年4月9日 (四) 06:43 的最新修訂
IOS 作為網路設備(Router、Switch、Firewall)所運行之網路作業系統,與 Windows/Linux 等主機 OS 性質不同,內建 VLAN、OSPF、VPN 等網路功能;其指令自1984年累積至今龐大且歷史悠久。產業實務偏好以命令列介面(CLI)進行設定與除錯,GUI 難以涵蓋複雜功能。臺灣前50大企業核心交換器高比例採用 Cisco,課程目標在培養能處理核心設備的工程師。
在模擬教學中,示範於 PT 選擇設備類型(Router/Switch/Firewall、PC/Notebook/Server、VoIP Phone)、挑選機型(如 4331 與 281/29281),開啟 CLI 並調整字體大小以利閱讀。說明新機或清除主態檔後設備開機進入對話式設定(Setup Mode)的歷史背景:早期為協助用戶以最小設定(介面 IP 與 Telnet 密碼)讓 SI 能遠端登入後完成配置;現行課程規範一律選擇 NO,改用 CLI 手動設定。並示範進階 Setup 的操作:檢視介面摘要(多為 Administratively Down)、設定主機名稱與三類密碼(Enable Secret/Enable Password/VTY Telnet)、略過且關閉 VLAN1、在指定介面設定 IP/Mask、以 no shutdown 啟用、shutdown 關閉未用介面、儲存配置;同時示範於模擬環境刪除並重建路由器以反覆練習。後續課程將全面改以 CLI 從提示符號開始進行設定練習。
思科教育訓練與認證發展
- 2000年開始大規模推廣教育訓練與認證制度,早期市場認知不足、教育訓練中心投入意願低;原廠以銷售回饋補貼促成中心成立。
- 早期講師稀缺、教材匱乏、考核嚴格(筆試與 LAB);講者分享自基礎命令苦練至考取多張證照的經歷。
- 校園推廣改革(2005–2006):提升講師門檻、重編校園版教材、導入 PT 取代昂貴且難以升級的實體設備。
Cisco Packet Tracer 的定位與取得
- 原廠自研之網路模擬平臺,約2005–2006年發布,至2026年成熟穩定。
- 使用對象由校園 Academy 核備名單擴展至 Skills for All 公開註冊,一般社會大眾可取得。
- 下載註冊實務:使用 Skills for All 入口;可用 Google 帳號或新建帳號(選國家/城市、有效信箱、設定密碼);需符合年齡門檻;登入後下載並安裝第九版(v9),避免非官方來源。
IOS 與作業系統比較
- IOS 運行於網路設備,與主機 OS、虛擬化平臺目標與功能不同;內建網路協定與功能。
- 指令集龐大、歷史悠久,GUI 難以完整表達複雜設定;產業工程師以 CLI 為專業實務標準。
4. 模擬平台與設備操作
- PT 左下角分類選擇網路設備(Router/Switch/Firewall)與一般設備(PC/Notebook/Server/VoIP Phone),並以直通/交叉線材連接形成拓撲。
- 機型差異:281 具 FastEthernet(100Mbps),4331 具 GigabitEthernet;VLAN1 現今多不使用,建議關閉。
- CLI 字體調整:Options → Preferences → Fonts 將 CLI 字體調至可讀大小。
Setup Mode 歷史與現行策略
- 目的在於快速設定介面 IP 與 Telnet 密碼,讓 SI 遠端登入完成後續配置(早期 SSH 未普及)。
- 現行課程一律拒用對話式設定,直接進入 CLI;若示範進階 Setup,會設定 hostname、三類密碼、指定介面 IP/Mask、no shutdown 啟用、shutdown 關閉未用介面並儲存。
- 介面狀態術語:Administratively Down 表示管理上關閉;開啟介面使用 no shutdown。
操作模式、提示符號與分層設定
- 模式與提示符號
- User EXEC(>):低權限;可用基本排錯(ping、traceroute、telnet、ssh)與多數show(如show version、show flash)。以「?」列出可用指令通常一頁內;與Linux使用者($)類比。
- Privileged/Enable EXEC(#):高權限;含User EXEC所有指令,外加系統操作(clock、copy、delete/erase、reload)與特別的show(show startup-config、show running-config)。與Linux root(#)類比。由「>」輸入enable進入,稱為Enable mode因輸入enable而得名。
- Global Configuration((config)#)與子層(例如config-line、config-if):只可設定不可顯示;在此模式輸入show會出現Invalid input(位置不對)。由「#」輸入configure terminal(conf t)進入;exit返回「#」。
- 模式切換與回退
- enable:> → #。
- disable:# → >(單層回退)。
- end、logout:返回到Console 0畫面(雙層回退),需按Enter再回到Router>。
- ESEC mode:課程中提及,後續再解釋。
- Console(本機主控端,Console 0)
- 透過設備Console口登入(常用PuTTY);登入畫面可能顯示consoling可用提示,按Enter開始;可能設定密碼(稍後課程說明)。
問號求助、分頁顯示與錯誤判讀
- 問號(?)與空白+?
- 直接輸入「?」:列出當前位置可用命令或以特定前綴開頭的命令(如CL? → CLEAR/CLOCK)。
- 空白+?:在命令後加入空白與「?」查下一參數的合法選項與格式;持續以空白+?逐步確認,看到CR(Carriage Return)代表可直接按Enter執行。
- 語法分支與優先級:若同時提示Month與Day代表平行選項,可先填任一;若僅提示其一,表示該位置限制明確。
- Unrecognized:前段語法無法辨識(可能值或順序不合),空白+?不會展開提示,須回頭修正。
- 分頁顯示(more)
- 超過一頁輸出時會分頁;Enter逐行、Space逐頁;分頁時仍可用「?」查看提示。
- 常見錯誤
- % Incomplete command:指令缺少必要參數;自然反應是空白+?查補。
- % Invalid input detected at ^ marker:格式或位置錯誤;依^檢查錯處並用空白+?確認正確格式。
- 在(config)#輸入show出現Invalid input:多為位置錯誤而非拼字錯。
時間設定與即時執行特性
- clock set/show clock
- 在#模式下以「clock set」設定時間;透過空白+?確認時間(HH:MM:SS)與日期格式。月份可能要求英文名稱(如April);若提示允許1–12,則可用數字月份。完成後用show clock確認。
- 日期順序:若提示同時允許Month/Day則兩種順序皆可;以問號提示為準。
- 即時執行 vs 服務重啟
- Cisco:按Enter即生效;例如hostname在(config)#設定後提示符號即時變更。
- Linux:常需重啟服務(restart)或系統才生效(歷史對照)。
主機名稱與主態檔檢查
- hostname設定
- 在(config)#輸入hostname R1/R2立即生效(提示符號同步變更);無百分比訊息視為成功。
- 檢查流程
- 功能檢查:觀察提示符號變更。
- 主態檔檢查:exit至「#」,執行show running-config(show run)確認hostname已寫入。不可在(config)#執行show。
基本SHOW指令、system image與flash
- show version
- 顯示設備型號、IOS版本、system image、設定暫存器值等,是故障排除起點;可在「>」或「#」下執行。
- show flash
- 檢視flash檔案清單與容量,確認IOS影像檔存在與版本;Packet Tracer中可見縮減版(約33–34MB)iOS。
- system image檔名結構與相容性
- Cisco IOS為單一.bin檔(例:C2800NM-ADVIPSERVICEK9-MZ.151-4M4.bin);檔名包含機型代碼與版本標記,勿隨意改名以保留資訊。機型相容性受限(2800系列影像不可用於4331)。
設定暫存器(Configuration register)
- 正常值0x2102:於show version最末行可見,影響開機行為等。
- 忘記密碼處理:將第三位由0改為4(0x2142)使開機忽略startup-config,以進行密碼重置流程(詳細步驟留待後續)。
指令緩衝區與歷史運用
- show history與方向鍵
- 系統保存輸入過的指令;透過show history列出,方向鍵上下巡覽,左右鍵修改局部參數,提升效率(例如微調clock set時間)。
Packet Tracer與GNS3的使用建議
- Packet Tracer(CCNA)
- 採用縮減版/被閹割iOS,僅支援CCNA層級功能,利於在一般Win11主機上同時模擬多臺設備與協定(OSPF、VPN)而不致過載。
- GNS3(CCNP/CCIE)
- 支援載入原始IOS映像,功能更完整,適合更高階練習與複雜故障模擬。
鍵盤鎖死與解鎖
- Console端輸入錯誤指令可能導致鍵盤鎖死60秒;會影響考試時間。
- 可嘗試組合鍵(如Ctrl-Shift-6)解鎖(需三鍵同時按),不同環境效果可能不同。
- 正解:(config)#模式:no ip domanin-lookup
課程管理、加分與職涯建議(簡述)
- 網路課程加分需自行記錄並於LAB考試報上時自行加分。
- 鼓勵目標導向準備考試、累積名次並於履歷呈現;工程師價值在於能以各種SHOW指令與原理做系統性故障排除。生成式AI可協助設定生成,但難取代深度Troubleshooting。
Console 密碼設定與層級操作
- 設定目標與環境
- 使用 Cisco Packet Tracer 模擬程式示範在路由器上設定 console 密碼,以保護本機 Console 存取。強調此為模擬環境才能直接以特定方式「在 Router 敲指令進去」與 Command 快捷(敘述中提到「Command-I 就進來了」屬模擬便利性)。
- 目的在於讓 Console 出現「User Access Verification」提示,需輸入正確密碼方能進入 Router 的提示符號(大於符號),避免「無條件」進入。
- 層級概念與進入方式
- 任何設定都從「第一層」開始(提示為 router-config 字樣)。指令流程:進入全域設定模式後,輸入 line console 0 進入第二層(config-line)。
- 第二層下需設定 login 與 password。先輸入 login,再輸入 password,兩者缺一不可。講師說明 login 在此具有「特殊含義」,僅輸入 login 會出現以百分比開頭的提示訊息,非必為錯誤,而是提醒尚未設定 password:「login is disabled under password is set」需補上 password。
- 指令與範例密碼
- 在第二層(config-line)依序輸入:
1. login(先行啟用登入驗證) 2. password Cisco console(作為示例,強調為「console 密碼」,用以區分)
- 功能驗證:從提示符號退回 console,再按 Enter,若設定生效,會出現「User Access Verification」提示,輸入 Cisco console 後才會進入 Router 的大於提示符號(Router>),此即保護 Console 的效果。
- line console 編號範圍的解析
- 在 line console 後面可接數字範圍顯示為「0-0」,代表只能設定一碼且最小值 0、最大值 0,故僅「0」有效(即 line console 0)。
- 若顯示「1-10」則代表最小值 1、最大值 10,為一碼範圍。
- 不同作業系統/設備的 console 編號範圍可能不同;講師提到「五方組」的 console 可能為 0-7(共 8 個 console),且「7 號」可能為本地 console,其餘為遠端 console(此為講師經驗性說明)。
- 更新密碼與重複設定
- 修改密碼時,重進第一層(configure)→ line console 0,login 已存在可不重複,僅需更新 password,例如改為 Cisco console 123。
- 修改後使用 END 返回最上層提示符號,先做主態檔檢查確認新密碼字串出現,再做功能檢查(退出至 console,驗證需輸入新密碼 Cisco console 123 才能進入 Router>)。
組態檔(running-config)檢查與縮排判讀
- 檢查順序與方法
- 設定完成後,需進行兩種檢查:
1. 主態檔檢查(running-config):確認設定是否存在與正確 2. 功能檢查:實際驗證是否需要輸入密碼才可進入提示符號
- 執行 show running-config 前,建議一次返回最上層提示符號(而非停留在第二層)再下達命令。
- 快捷鍵與返回層級
- 在第二層(例如 config-line 或 config-if)要回到最上層提示符號,理論上需按兩次 ESC(描述為「打兩個 ESID」)逐層返回;但可使用 END 一次返回到最上層提示符號,無論身處第三層、第十層或更深層皆可。
- 在一般狀態(緊致符號)要返回到 configure 模式使用 ESC 時,視覺上像跳兩層,但講師說實際只跳一層,表現因 Cisco 設計而異,後續再解釋。重點是記得在不同位置使用合適方式返回目標層級。
- 分頁顯示與末端位置
- console password 相關設定通常出現在主態檔「最下方」。顯示主態檔時可使用空白鍵(快速翻頁)或 Enter(逐行顯示)往下瀏覽至末端確認。
- 縮排與層級對應
- 主態檔中最靠左無縮排者為第一層(全域配置)。
- 在 config-line、config-if 等第二層的指令,會內縮一格。Line Console 0 段落下方的 login 與 password 會呈現縮排(內縮),代表層級隸屬關係。
- 指令順序不需執著
- 主態檔中 login 與 password 的排列順序可能因版本不同而異(有時 login 在前,有時 password 在前)。只要必要的指令在主態檔中出現即可,不必計較先後順序;實際執行順序由 IOS 決定。
功能驗證流程與退出/返回技巧
- 功能驗證步驟
- 自最上層提示符號返回到 console 畫面(示範中以 ESC 操作),再按 Enter。
- 若設定生效,將顯示「User Access Verification」提示,要求輸入密碼。輸入正確密碼(例如 Cisco console 或更新後的 Cisco console 123)才能回到 Router> 提示符號,證明 console 已受保護。
- 在未通過密碼確認之前,無法執行如 show version 等指令。
- 返回層級的注意事項
- 在 configure 模式使用 ESC 可返回上一層;而在「緊致符號」與 configure 之間的 ESC 行為看似「跳兩層」,屬於界面表現差異。實務上記住:從 config 第二層要回最上層用 END 最簡潔。
- 常見誤解釐清
- 僅輸入 login 而未設定 password 時,出現百分比開頭的訊息可能是提醒(提示)而非錯誤,意指 login 尚未生效,需補 password 才能啟用。
教學節奏、練習建議與檔案處理
- 練習與理解
- 建議學生依口述流程自行還原操作:進入第一層、line console 0、login、password、END、show running-config(翻至最下方確認 Line Console 0、login、password 三行存在)、功能驗證(User Access Verification)、再修改密碼並重複檢查。
- 若無法僅憑口語說明還原操作,代表聽解與內化不足,需下課後多練習多遍,避免後續內容越拉越遠。
學習網路工程的未來展望
- IT職場的持續學習
- 講師強調IT行業競爭激烈,培訓僅提供入門技能,長期職涯發展需靠個人不斷學習與考取進階認證(如CCNP)。
- 舉例說明有學員因未能持續精進而被知名SI公司請離,強調轉職應靠自身實力。
- 擁有網路背景對於在半導體等大型企業晉升至資訊長(CIO)等高階職位至關重要,因其了解公司整體基礎架構。
Cisco IOS 操作模式詳解
- 模式分層概念
- Cisco IOS成功的關鍵在於其分層、有次序的組態架構,將不同功能的指令集合在特定層級,與Juniper的單層設定方式不同。
- EXEC 模式(讀取層)
- 類似Linux的Shell,專責解讀與執行「讀取」(show)相關指令。
- 分為使用者模式(>,低級讀取權限)和特權模式(#,高級讀取權限)。特權模式僅是「讀取」的最高權限,不能寫入設定。
- Global Configuration 模式(寫入層)
- 必須進入config模式才能進行設定的更改(寫入)。此模式下僅能設定,不能執行show指令。
- 這種讀寫分離的設計是Cisco IOS的重要特性。
- 模式切換與操作習慣
- 切換指令:
** enable: 從使用者模式(>)進入特權模式(#)。 ** disable: 從特權模式(#)退回使用者模式(>)。 ** configure terminal (或 config t): 進入全域設定模式 (config)#。 ** exit: 從當前模式退回上一層。在特權模式下使用則完全登出。 ** end: 從任何深度的設定子模式一次性跳回特權模式(#)。
- 輔助功能:可使用指令縮寫(如 show run)及Tab鍵自動補全。
實作演練:設定主機名稱與各類密碼
- 設定主機名稱 (Hostname)
- 流程:跳過初始設定 -> enable -> config t -> hostname R1。
- 成功後提示符會立即變更為R1(config)#,可即時驗證。
- Console 密碼設定
- 流程:config t -> line console 0 -> password [密碼] -> login。
- login指令用於啟用登入驗證。
- 遠端登入 (Virtual Terminal, VTY) 密碼
- VTY指Telnet/SSH等網路遠端登入,可不受實體距離限制。
- 相關指令為line vty,因設備尚未設定IP,將於後續課程實作。
- 驗證方法
- 組態檔驗證:回到特權模式,使用show running-config檢查指令是否已寫入運行組態檔。
- 功能驗證:實際操作以確認功能生效(如登出後重新登入,看是否提示輸入密碼)。
密碼安全機制與資安稽核
- Enable Password 的缺陷
- 使用enable password [密碼]設定的特權模式密碼,在show running-config的輸出中會以明文(clear text)顯示。
- 這構成嚴重安全漏洞,容易被窺視,在資安稽核中會被記為重大缺失。
- Enable Secret 的應用
- 為解決明文問題,應使用enable secret [密碼]指令。
- 此指令使用雜湊(Hash)演算法(MD5,在組態中標示為5)將密碼打亂成不可逆的亂碼,以防旁人窺視。
- 當enable secret和enable password同時設定時,系統會優先採用enable secret的密碼。
- 為確保安全,IOS系統不允許將這兩個密碼設為相同。
- 全局密碼加密 (Service Password-Encryption)
- 執行service password-encryption指令後,系統會將組態檔中所有尚未加密的明文密碼(如console密碼、enable password)進行加密。
- 此功能使用思科自家的Type-7加密演算法(在組態中標示為7)。
- 可使用no service password-encryption停用此服務,但已加密的密碼不會變回明文,只有停用後新設定的密碼才會是明文。
- ISO 27001 資安稽核標準
- 許多國際大廠要求供應鏈廠商通過此認證,稽核員會抽檢網路設備。
- 稽核標準要求設備組態檔中不得出現任何明文密碼,因此啟用service password-encryption是必要的。
- 擁有ISO 27001導入經驗對職涯發展,特別是晉升至CIO等高階管理職位,有極大幫助。
開機流程與引導機制
- ROM燒錄與步驟:
- Step 1 POST(Power-On Self Test):燒錄於ROM,開機先載入至RAM執行,檢查CPU、各端口電路、網卡等硬體是否正常;關鍵硬體失敗則停止,不載入IOS;非關鍵端口異常會標示但仍可繼續。
- Step 2 Bootstrap(引導程式):亦燒錄於ROM,負責將IOS載入至正確的記憶體開機區段,避免映像載入錯誤位置導致不可運作。講者以「鞋拔」隱喻其引導作用。
- Step 3 載入IOS:自Flash讀取壓縮映像並解壓縮至RAM執行。
- Step 4 主態檔載入:將NVRAM中的Startup-Config拷貝到RAM成為Running-Config,完成系統狀態設定。
- 指示燈與等待時間:
- 以智邦交換機案例:POST時24埠燈全亮後逐一熄滅代表通過測試;仍亮表示該埠異常。不同品牌可能採靜默檢查。開機等待數分鐘常為POST與載入流程。
儲存架構與媒介選擇
- IOS與主態檔分離:
- IOS映像存於Flash;主態檔(Startup-Config)存於NVRAM,降低單一媒介故障造成系統與設定同時損失的風險。
- Flash相對硬碟:
- IOS容量需求通常不大:中小企業路由器數GB、核心路由器十幾至二三十GB,少見超過100GB;Flash成本低且容量足夠。若需大型資料庫(如防火牆病毒庫)則可能採用硬碟。
- 各儲存元件角色:
- Flash:保存壓縮的IOS映像(BIN等),可存多版本。
- NVRAM:保存Startup-Config(文字型配置),斷電不失。
- ROM:燒錄POST、Bootstrap等開機程式(Burn-in後固定)。
- 容量單位補充:以SI觀點 1 TB ≈ 1000 GB,對比網路設備所需容量。
記憶體類型與特性
- RAM:用於執行,掉電資料消失;IOS與程式載入RAM後執行;Running-Config位於RAM。
- NVRAM:非揮發,掉電仍保存;適合小型參數與配置檔(Startup-Config)。
- HBM:高頻寬RAM,用於高效執行與資料存取,不作長期儲存。以AI情境對比RAM/NVRAM用途。
- 低階觀念:記憶體存在「開機區」與「非開機區」,引導程式確保映像載入正確區段;以十六進位位址標註與組語/C語言掌握記憶體操控為韌體入門技能。
IOS映像儲存、解壓與版本管理
- 開機解壓與執行:
- IOS以壓縮形式存於Flash;開機自Flash載入並解壓(開機訊息常見DECOMPRESS)後於RAM執行。
- 顯示指令分工:
- show flash:列出Flash檔案與容量,顯示存放的IOS映像版本。
- show version:顯示目前在記憶體執行的IOS版本與系統識別資訊;當Flash存多版本時,用以確認實際執行版本。
- 差異重點:show flash反映保存狀態;show version反映執行狀態。
- 容量示例與多版本:
- 例:IOS檔約486MB;Flash總容量約3.2–3.3GB;可用約2.76GB,足以存第二個映像。隨Flash容量提升,多版本併存更常見。
- 檔名標記:
- K9表示具加密/資安功能(如VPN);不同尾碼(如SPA)有功能差異,常為考點。
主態檔管理與操作指令
- 兩份配置檔:
- Startup-Config:存於NVRAM,開機時拷貝到RAM形成Running-Config。新機常為空白,可透過show startup-config驗證。
- Running-Config:存於RAM,執行中設定(hostname、Enable/Console密碼等)即時寫入此檔。
- 查詢與驗證:
- show running-config:查看目前執行設定。
- show startup-config:查看NVRAM開機設定;顯示“It’s not present”表示尚未儲存。
- 存檔機制與指令:
- copy running-config startup-config(可簡寫copy run start/st,Tab補全)為標準存檔;目的檔名須為startup-config,輸入錯誤以Ctrl-C中斷重來。
- write memory(wr)為舊版等效指令,常保留以利老手操作。
- 開機行為對比:
- 未存檔:重開機(reload或斷電再上電)仍以NVRAM舊設定啟動。
- 已存檔:重開機後載入新設定;開機過程可見IOS解壓與Console登入提示。
本次系列講座首先介紹了一門網路設備運作的課程架構,強調應以系統架構思維,類比台積電的全球網路架構來學習。課程將依序介紹L2交換器、路由器、L3交換器及防火牆四種設備,並透過建置一個模擬台積電的拓樸圖來整合學習VLAN、OSPF、NAT、ACL及VPN等協定。課程核心目標是訓練學生成為高級網路工程師,能處理NAT與VPN等協定間的不相容性。接著,講座深入探討了底層網路設備的演進,從始祖級設備集線器(HUB)開始講解。
講師解釋了HUB在OSI模型第一層的運作原理,即複製(copy)並重整(repeat)電子訊號至所有埠口,不具備封包概念。此廣播機制導致資料需由終端設備網卡根據MAC位址過濾。最後,講師指出了HUB作為半雙工(half-duplex)設備的致命缺點——訊號碰撞(collision),並預告將介紹交換器如何解決這些問題。課程的期末考將以此複雜架構為基礎,採開卷(Open Book)形式進行。
課程結構與網路架構解說策略
- 課程順序與設備介紹
- 課程順序:將按照L2交換器、路由器(Router)、L3交換器、防火牆的順序介紹網路設備。
- 設備功能介紹:
- L2 交換器:課程將從第二層交換器開始。
- L3 交換器:是交換器與路由器功能的結合體,在業界骨幹網路中至關重要。
- 防火牆:課程會介紹防火牆,並透過路由器來模擬其功能,實現ACL、NAT及VPN等資安功能。
- 以台積電類比網路架構
- 解說複雜網路設計時,應先從高層次的系統架構思維出發,類比台積電的網路架構,先說明整體架構功能,再深入技術細節,有助於聽者理解。
- 例如,可先說明台灣境內使用何種架構,以及如何透過NAT、VPN連接到美國據點。
課程核心:拓樸圖實作
- 拓樸圖架構
- 整個課程將圍繞一張模擬台積電全球網路架構的拓樸圖進行。
- 圖中各路由器代表不同據點:R1(竹科總公司)、R2(防火牆)、R3(南科)、R6(美國據點),以及中科資料中心。
- 網路功能與協定應用
- VLAN:在總公司內部切分不同部門的Data VLAN與網管VLAN。
- 路由協定:台灣內網運行OSPF協定。
- IP位址規劃:內網使用私有IP,Internet使用公有IP,兩者間透過NAT轉換。
- VPN:為了實現台灣與美國據點的連通,將在R1與R6之間建立VPN通道。
- ACL:作為防火牆功能的一部分進行建置。
- 高級網路工程師的挑戰
- 課程旨在訓練學生解決不同網路協定間的衝突,如NAT與VPN本質上不相容,需學習如何調整配置使其共存並發揮功能。
網路設備的演進與基礎
- 集線器 (Hub) 的重要性
- Hub是所有網路設備的始祖,理解其運作原理與缺點,是掌握現代交換器功能的基礎。
- Hub外觀與交換器相似,難以分辨。
集線器 (Hub) 與實體層運作原理
- Hub 在 OSI 模型的位置與運作方式
- Hub運作在OSI模型第一層(實體層),只看得懂0與1的電子訊號,沒有「封包」概念。
- 其運作原理是將從一個埠口接收到的電子訊號「複製(copy)」到所有其他的埠口(廣播)。Hub不依賴MAC位址轉發資料。
- 訊號處理與重整(Repeat)
- Hub在複製訊號時會執行「Repeat」操作,即恢復訊號強度。例如,將因長距離傳輸而衰減的6V訊號恢復至原始的10V,再傳送出去,確保訊號能再傳輸下一個100米。
- 雙絞線傳輸限制與問題診斷
- 雙絞線因電阻會造成電子訊號衰減,標準傳輸長度限制在100米內,以防訊號衰減過度導致接收端無法辨識0與1。
- 雖然製造商會測試更長距離以確保容錯,但過長(如130-140米)仍會失敗。
- 可使用交換器 show interface 指令檢查因訊號衰減或線材老化氧化導致的CRC(Cyclic Redundancy Check)錯誤,CRC錯誤快速增加通常代表線纜品質出問題。
HUB的廣播機制與半雙工限制
- 封包的接收與過濾機制
- 因Hub的廣播特性,同一Hub上的所有設備都會收到訊號。
- 最終由接收端電腦網卡(NIC)的驅動程式(運作於第二層)檢查封包中的目的MAC位址,若不符,則捨棄該封包。
- 碰撞問題(Collision)與半雙工(Half-duplex)特性
- Hub是半雙工設備,其端口的單一電路在同一時間點要嘛只能收,要嘛只能送,無法同時進行。
- 此特性導致若有多組設備同時傳輸資料,訊號會在Hub內發生「碰撞」,造成資料損毀。這個問題將在後續討論交換器時說明其解決方案。
課程評量與要求
- 考試形式與難度
- 期末考內容為建置課程所教的完整網路架構,採用「開卷(Open Book)」形式。
- 考試題目量極大,旨在讓大多數人寫不完,預計僅有充分練習(至少兩三遍)的學生能在時限內完成。
