網頁

2012年4月14日 星期六

面試,感謝信~

Dear XXX:

您好!
感謝XXX在百忙當中抽空會面並給予面試的機會,
當中學習、了解到提供服務者該有的態度及認知、對於問題多方面的考量以達的工作管理及效率、疑難排解的經驗(收集資訊、找問題、解決問題並記錄)、對於使用者應對方法(有疑問時要清楚、仔細說明)...等,獲益良多。

由於本身對於系統的經驗,再加上對於網路方面的認知,可加快對於新環境的適應並運用所長,並讓我能有效率的發現、辨別問題並解決,不論在困難的事都能盡力、努力地解決,並朝自己的目標(管理職)多方面的累積經驗及技術,以奠定更深厚的基礎、能力。

真的很感激這次面試!
並附上履歷,希望還能有再面試的機會,謝謝~

YYY

2012年3月26日 星期一

痰媽!?


"甜"是"痰"的媽媽囉!?
(因為媽媽說:感冒,吃甜的 容易生痰!!)


{瑄瑄語錄}

Windows server 2003 企業網路服務篇(Printer)

預設下,所有的多工緩衝處理檔案都儲存在
\windows\system32\spool\printers


2012年3月23日 星期五

Windows server 2003 網路基礎架構篇筆記(DNS)

名稱解析順序
windows 2000和之後的作業系統
1.Hosts檔案
2.DNS快取
3.DNS伺服器
4.WINS伺服器
5.廣播

如停用NetBIOS over TCP/IP(順序改變)
1.DNS快取
2.Hosts檔案
3.DNS伺服器

更改登入檔,調整順序
[HKLM\System\CurrentControlSet\Services\TCPIP\ServiceProvider]
HostsPriority、DNSPriority、NetbtPriority的十六進位值
值越低,越優先


DNS檔案放置位址:\windows\system32\dns

netsh int ip set dns interfacname static ipaddress primary
如:netsh int ip set dns "區域網路" static 192.168.0.1 primary

netsh int ip set address  "區域網路"  static 192.168.0.2 255.255.255.0 192.168.0.1 2

net stop dns & net start dns


C:\Users\Robert>netsh int ip set /?

下列是所有可用的命令:

這個內容中的命令:
set address    - 設定 IP 位址或預設閘道到介面。
set compartment - 修改區間設定參數。
set dnsservers - 設定 DNS 伺服器模式及位址。
set dynamicportrange - 修改動態連接埠指派使用的連接埠範圍。
set global     - 修改通用設定的一般參數。
set interface  - 修改 IP 的介面設定參數。
set neighbors  - 設定芳鄰位址。
set route      - 修改路由參數。
set subinterface - 修改子介面設定參數。
set winsservers - 設定 WINS 伺服器模式及位址。


type:
SOA(Start of Authority) 記錄一些資訊
NS(Name Server)
A(主機記錄)
CNAME(canonical name,Alias)
MX(Mail Exchange,電子郵件交換)
(PTR 反向A記錄)

SRV記錄
若沒有懂SRV記錄的DNS伺服器,你就無法執行Active Directory。SRV記錄讓DN變成了一種網域的[目錄服務]。
SRV記錄讓你得以找到符合下列條件的某個伺服器
*執行特定服務
*執行TCP或UDP協定
*位於某個特定DNS網域
_kerberos._tcp.lobo.biz  SRV dc1.lobo.biz
(要在lobo.biz尋找TCP協定的kerberos伺服器,找dc1.lobo.biz)

Round Robin (循環配置資源) 只能在伺服器層級設定,一經設定所有區域層級皆套用
Network Load Balancing Cluster

Full/incremental zone transfer
取消[次要BIND]選項,才能讓2003的DNS伺服器對BIND型DNS伺服器進行[增量區域轉送]作業。

AXFR 透過完整區域轉送作業來更新次要伺服器
IXFR 透過增量區域轉送作業來更新次要伺服器

Active Directory整合區域
*AD網域下的所有DNS伺服器都成為主要的伺服器。
*保護動態DNS更新,限制只有Active Directory網域下的成員機器才可以在AD整合區域內註冊動態資料。

虛設常式(stub)區域 > split-brain DNS

DDNS 註冊程序
手動再次執行註冊程序
ipconfig /registerdns


用戶端主動發起註冊(或重新註冊)
*Reboot =>啟動了TCP/IP
*將電腦IP改成某個靜態IP位址
*剛取得DHCP配發IP,或剛更新了DHCP租期。
*執行ipconfig /registerdns
*最後一次註冊已經過24小時。變更時限
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 底下新增一DefaultRegistrationRefreshInterval的REG_DWORD類機碼,預設86400秒

停用自動註冊
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 下新增一DisableDynamicUpdate的REG_DWORD類機碼值,將他設成1後重新啟動電腦。
OR
reg add HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /v DisableDynamicUpdate /t REG_DWORD /d 1 /f

修改遠端電腦loboPC
reg add \\loboPC\HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /v DisableDynamicUpdate /t REG_DWORD /d 1 /f

Active Directory整合區域
優點
*Miltimaster區域複寫(zone replication)。
*具備安全性與負載平衡(load-balanced)功能的DDNS註冊程序。
缺點
*網域控制站就得同時為DNS伺服器。

遞迴(Recursive)及反覆(Iterative)查詢

1. Recursive Query(遞迴式查詢)
指的是DNS Client 向DNS Server進行DNS Query,
DNS Server將回覆用戶端完整的答案或是該名稱無法被解析,稱為遞迴式查詢。

2. Interative Query(交談式查詢)
亦可稱為非遞迴式查詢,此為DNS Server詢問其他的
DNS Server時,會此用此種交談方式,假設ithome公司DNS Server進行查詢yahoo.com時,預設的設定該台DNS Server將不會有yahoo.com的Zone,因此會發出詢問到root DNS Server,而Root回覆給ithome公司的DNS Server請他去問負責com Zone的Server,*因此1,2的差異在於問到root DNS Server後,root只請他去問com的DNS Server而不會幫它(ithome DNS Server)把完整的yahoo.com提供給它(ithome DNS Server)




3. 因此Recursive Query若關閉要視下列狀態關閉:
1)公司的內部DNS Server負責幫用戶端查詢,若關閉,用戶端將無法得到正確的名稱解析
2)若為作為公司外部的DNS Sever給外部查詢用,則可以關閉,否則若有人設定forward到貴公司的DNS Server,該台Server將會很忙碌

4. 再了解上述說明後,若要關閉Recursive Query請於DNS Server>右鍵內容
>進階>停用遞迴


Using Root Hints for Recursive Name Resolution


Using Forwarding for Recursive Name Resolution

DNS修復
1.停止DN服務。
2.開啟regedit,[HKLM\System\CurrentControlSet\Services\DNS]。
3.在DNS資料夾上按右鍵選取[匯出],將檔案命名為dnsbk01。
4.找到[HKLM\Software\Microsoft\WindowsNT\CurrentVersion\DNS Server]
5.在DNS Server資料夾上按右鍵選取[匯出],將檔案命名為dnsbk02。
6.備份\Windows\System32\DNS目錄下所有*.dns檔案。

DNS還原
1.安裝Server2003系統,和舊的DNS伺服器相同的名稱、DNS尾碼焊IP位址。
2.安裝DNS服務。
3.複製*.dns到\windows\system32\dns。
4.停止DNS服務。
5.執行dnsbk01.reg、dnsbk02.reg,並確認是否正確安裝於Registry。
6.重新啟動DNS服務。



參考、來源
Microsoft http://technet.microsoft.com/zh-tw/library/cc755183(v=ws.10).aspx

Wireshark安裝、使用

Wireshark簡介
Wireshark前身為Ethereal,為一開放原始碼軟體,http://www.wireshark.org/
使用該軟體擷取封包來分析,檢測, 能夠幫助使用者對於網路行為有更清楚的了解,以利網路的故障排除。

Wireshark安裝
同一般軟體安裝法,中會安裝WinPcap(Windows Packet Capture,WinPcap is the Windows version of the libpcap library; it includes a driver to support capturing packets.)





啟用>點選Interface List

選擇想要觀察的網路卡>start
開始抓取封包
停止抓取封包
filter篩選,過濾條件,參考http://wiki.wireshark.org/DisplayFilters
也可使用,Expression,協定、條件、埠號選擇

Capture Filter是使用 libpcap filter 語言,詳細的語法可以參考tcpdump的網頁(http://www.tcpdump.org/tcpdump_man.html)
這裡舉幾個簡單的例子:
只抓取某一個 host(例如 IP 是 10.0.0.5) 的 telnet 封包
語法為:tcp port 23 and host 10.0.0.5
抓取 telnet 的封包但不要抓到從某一 host 的(例如 IP 是 10.0.0.5)
語法為:tcp port 23 and not host 10.0.0.5
更詳細的描述可以參考官方wiki(http://wiki.wireshark.org/CaptureFilters)





參考、來源
少林
海洋大學電子商務跨領域學程網
鳥巢學習it home 
wiki



2012年3月22日 星期四

Windows server 2003 網路基礎架構篇筆記(DHCP)


DHCP Server 與Client 的運作過程
DHCP 服務中可以把DHCP Server 和DHCP Client 的運作過程可分為4 個階段:(UDP Port)

1.廣播DHCP Discover請求所有的DHCP伺服器給予IP位址。
2.伺服器回應DHCP Offer,給予IP位址及租用時間。
3.用戶端會選擇最好的,並回播DHCP Request,確認IP位址。
4.伺服器回應DHCP ACK給予IP位址。


1.租約的索取:
DHCP 租約的程序開始於DHCP Client 開始透過廣播DHCP Discover 的信息以尋找位於網路上的DHCP Server。在這個階段時,DHCP Client 本身尚未擁有IP 位址也未知DHCP Server 的IP 位址,所以會以0.0.0.0當作來源位址(Source Address),而以255.255.255.255 作為目的地位址(Destination Address)在整個網路上廣播。在這個DHCP Discover 封包中會包含此DHCP Client 的MAC Address(Media Access Control Address),和Host Name。

(在 Windows 的預設情形下,Dhcpdiscover 的等待時間預設為 1 秒﹐也就是當客戶端將第一個 Dhcpdiscover 封包送出去之後﹐在 1 秒之內沒有得到回應的話﹐就會進行第二次 Dhcpdiscover 廣播。若一直得不到回應的情況下﹐客戶端一共會有四次 Dhcpdiscover 廣播(包括第一次在內)﹐除了第一次會等待 1 秒之外﹐其余三次的等待時間分別是 9﹑13﹑16 秒。如果都沒有得到 DHCP 伺服器的回應﹐客戶端則會顯示錯誤信息﹐宣告 Dhcpdiscover 的失敗。之後﹐基於使用者的選擇﹐系統會繼續在 5 分鐘之後再重複一次 Dhcpdiscover 的過程。)

2.租約的提供:
當 DHCP Server 收到這個廣播後,DHCP Server 會發出DHCP Offer 的封包回應DHCP Client。目的端是255.255.255.255 以全域廣播對整個網路發送出這個封包。這個封包內除了含有DHCP Client 的MAC Address 以外還含有下面這些資訊(如圖3 所示):
*提供給 DHCP Client 的一個IP 位址
*子網路遮罩
*租約的時間長度
*DHCP Server 的識別資料如IP 位址


(*到伺服器的登錄檔中尋找該用戶之前是否曾經用過某個 IP ,若有且該 IP 目前無人使用,則提供此 IP 給用戶端;
*若設定檔針對該 MAC 提供額外的固定 IP (static IP) 時,則提供該固定 IP 給用戶端;
*若不符合上述兩個條件,則隨機取用目前沒有被使用的 IP 參數給用戶端,並記錄下來。)


3.租約的選擇:
在 DHCP Client 收到DHCP Server 發出的DHCP Offer 封包之後,DHCP Client 會以MAC Address 比對出正確結果後,會發出DHCP Request 的訊息以回應 DHCP Server 它已收到此租約的資訊了。這個封包中會含有提供這個DHCP Offer 訊息的DHCP Server 的識別資料,因此只有符合此識別資料的DHCP Server 才會處理此廣播訊息。

4.租約的回應:
當 DHCP Server 收到DHCP Client 所發出的DHCP Request 封包後,經過相關的檢查,確定
其IP 資訊目前無任何設定衝突時,DHCPServer 就會發出DHCP ACK 的封包以回應DHCP Client 租約已經成功了。
而DHCP Client 收到這個DHCP ACK 封包後就會依據其所提供的資料而組態TCP/IP 的設定並啟動。

CISCO Router DHCP設定

設定DHCP Pool
在路由器上設定DHCP時,步驟大致如下
1.設定DHCP位址的 pool name並進入DHCP pool設定模式
2.指定分配給使用者的網段範圍以及網路遮罩
3.指定DHCP用戶端的預設閘道位址
4.設定DHCP用戶端的網域名稱伺服器位址
5.指定租用的時間

如:
ip dhcp pool ITpool
   network 10.10.1.0 255.255.255.0
   default-router 10.10.1.254
   dns-server 172.16.16.1


Excluding IP Addresses
在設定時,希望其中的某些網段不要分配出去,可以使用ip dhcp excluded-address指令,將之排除。
Router(config)# ip dhcp excluded-address low-address [high-address]




顯示DHCP位址分配 (Address binding)


router#sh ip dhcp binding

若想將DHCP位址分配資料刪除,可使用下列指令:
Router# clear ip dhcp binding address

DHCP Relay Agent




重建損壞的DHCP伺服器
備份DHCP伺服器的設定
netsh dhcp server dump
不在那台伺服器前時,使用
netsh dhcp server ipaddress dump
把螢幕顯示資訊,輸出導向一個ASCII文字檔裡
netsh dhcp server dump > dhcpbackup.txt


其他台DHCP伺服器
netsh exec dhcpbackup.txt
雖無法復原租用資訊,但是其他東西都可以復原回來:類別、選項、領域、保留區等。


Windows DHCP Server(以windows server 2000為例)
logging檔案位置
\winnt\system32\dhcp


資料庫備份

DHCP 資料庫檔案位於 WINNT\System32\dhcp 資料夾中。

Dhcp.mdb:DHCP server 的資料庫檔案
Dhcp.tmp:資料庫索引維護操作期間,由 DHCP 資料庫用作交換檔的暫存檔。系統失敗後,此檔案有時會保留在 WINNT\System32\Dhcp 目錄下
J50.log 及 J50#####.log:所有資料庫異動的紀錄檔,是 DHCP 資料庫必要時用來回復資料的
J50.chk:檢查點檔案


DHCP server 在指派 DHCP 用戶端或釋出 TCP/IP 設定參數時,會更新資料庫。
DHCP 資料庫是集中式資料庫,備份資料庫只要將該目錄下的檔案備份即可。可以使用Windows備份工具,也可以使用檔案總管,不過都必須先停止 DHCP 伺服器服務。
DHCP server 也會每隔 60 分鐘將 DHCP 資料庫自動複製到 Backup 子資料夾下。如果想要修改間隔,可執行 regedt32.exe,在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters 變更 BackupInterval 值

資料庫還原

當 DHCP 資料庫損毀或遺失狀況時,Windows Server 會提供一組連續式修復選項,供還原及修復伺服器電腦上的 DHCP 資料之用。
首先我們可以將圖中的 RestoreFlag 改為 1,然後再重新啟動 DHCP 服務,此時 DHCP server 就會還原原先自動備份的資料庫。




壓縮、修復DHCP資料庫(以windows server 2000為例)
我們可以使用 Jetpack.exe 公用程式執行離線壓縮
Jetpack database_name temporary_database_name

Ex: 點選[開始]->[程式集]->[附屬應用程式]->[命令提示字元],輸入
cd winnt\system32\dhcp
net stop dhcpserver
jetpack dhcp.mdb tmp.mdb
net start dhcpserver

將 DHCP 資料庫移到其他伺服器(以windows server 2000為例)
如果我們想把 DHCP server 中資料庫移到另外一台 DHCP 上繼續服務,除了必須做資料夾移置外,還必須複製所對應的機碼

在欲停用的 DHCP server 上則是執行下面步驟 
步驟一:停止 DHCP 伺服器。(點選 DHCP server,按滑鼠右鍵彈出選單,選擇[所有工作]->[停止],或在命令提示字元下輸入 net stop dhcpserver)
步驟二:在服務清單中的 [DHCP 伺服器] 服務改為停用。這可避免 DHCP 伺服器在轉移資料庫之後啟動。若要執行此工作,請使用 [電腦管理],再從其清單中選取要停用的 [DHCP Server] 服務。
步驟三:將 DHCP 伺服器樹狀目錄 (即 WINNT\System32\Dhcp),複製到新的 (目的地) DHCP 伺服器上的暫存位置。例如,將樹狀目錄複製到 C:\Temp\System32\Dhcp。 
步驟四:啟動 [登錄編輯器] (Regedt32.exe) 並找到下列子機碼: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer
步驟五:選取[DHCPServer] 項目後,再點選[登錄]->[另存子目錄],將指定的機碼存成文字檔。 
步驟六:在來源伺服器上,刪除 DHCP 伺服器資料庫資料夾。 
步驟七:解除安裝 DHCP 伺服器,以將其從該伺服器上移除。 

在新的 DHCP server 上則是執行下面步驟
步驟一:如果您尚未安裝 DHCP 伺服器軟體,請先安裝,然後再重新啟動伺服器電腦。 
步驟二:停止 [DHCP 伺服器] 服務。 
步驟三:將暫存資料夾 (如 C:\Temp\System32\Dhcp 目錄) 中的 System.mdb 檔案更名為 System.src。 
步驟四:將 DHCP 伺服器樹狀目錄從暫存資料夾複製到 WINNT\System32\Dhcp,以取代現存的 DHCP 伺服器目錄。 
步驟五:啟動 [登錄編輯器] (Regedt32.exe) 並到下列子機碼: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer,選取 DHCPServer 機碼 (位於 Services 機碼下)。點選[登錄]->[還原],在 [還原機碼] 中的 [檔案名稱] 下,指定在‘備份 DHCP Server 資料庫’步驟五中所存檔的檔案資訊 (ex:WINNT\System32\Dhcp\Backup\Dhcpcfg)
步驟六:出現警訊,按[是]以覆蓋機碼
步驟七:結束 [登錄編輯器]。 
步驟八:啟動 [DHCP 伺服器] 服務。 
步驟九:開啟 DHCP 管理工具,並使用 [調解所有領域],將 DHCP 伺服器資料庫調解成還原的資訊 (現已合併到 Windows 2000 登錄中的)。 

參考、來源
HurryKen




2012年3月11日 星期日

CCNA學習筆記(八)

WAN的類型
1.Lease Line(專線):承租專線,費用高,穩定性佳,獨立使用,不與他人共享,安全性高。
2.Circuit Switch(電路交換):臨時性專線,如電話撥接或ISDN。傳輸延遲較小,不會發生線路衝突,可靠性和即時回應能力都很優異,缺點是需要花費一段時間建立線路。
3.Packet Switch(分封交換):ATM、Frame Relay。

DTE與DCE
DTE(Data Terminal Equipment)
將本地端的資料轉換成適合傳輸用的資料類型(或稱為資料封裝)。
DCE(Data Communication Equipment)
將DTE封裝後的資料,轉換成合適在線路上傳輸的訊號,再傳送出去。

電腦透過本地端的DTE+DCE做轉換後,才能將資料轉換成類比訊號從電話線(傳輸媒介)傳出去。

DTE與DCE之間的溝通必須有同步時脈,由DCE(sync clock)與DTE同步。

資料的封裝
Cisco Router的Serial Interface
1.HDLC (High-level Data Link Control)
2.PPP (Point to Pont Protocol)
3.Frame-Relay
Lease Line(專線):HDLC、PPP
Circuit Switch(撥接或ISDN):HDLC、PPP
Packet Switch(Frame Relay或ATM):HDLC、Frame Relay

HDLC協定
Cisco Serial介面的預設封裝,適用於點對點協定。是專屬協定非標準協定,不支援認證。

Router-1(config)#int s1/0
Router-1(config-if)#encapsulation hdlc 
Router-1(config-if)#clock rate 500000
Router-1(config-if)#no sh



Router-2(config)#int s1/0
Router-2(config-if)#encapsulation hdlc
Router-2(config-if)#no sh


Router-1#sh int serial 1/0 
Serial1/0 is up, line protocol is up (connected)
  Hardware is HD64570
  Internet address is 10.1.1.1/24
  MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation HDLC, loopback not set, keepalive set (10 sec)
  Last input never, output never, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0 (size/max/drops); Total output drops: 0
  Queueing strategy: weighted fair
  Output queue: 0/1000/64/0 (size/max total/threshold/drops)
     Conversations  0/0/256 (active/max active/max total)
     Reserved Conversations 0/0 (allocated/max allocated)
     Available Bandwidth 96 kilobits/sec
  5 minute input rate 15 bits/sec, 0 packets/sec
  5 minute output rate 13 bits/sec, 0 packets/sec
     26 packets input, 1732 bytes, 0 no buffer
     Received 20 broadcasts, 0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
     26 packets output, 1732 bytes, 0 underruns
     0 output errors, 0 collisions, 3 interface resets
     0 output buffer failures, 0 output buffers swapped out
     0 carrier transitions
     DCD=up  DSR=up  DTR=up  RTS=up  CTS=up

PPP協定
是種標準協定,除了可以用在專線,還可以用在撥接或是ISDN線路上,支援認證,動態定址(DHCP),回Call(Call Back),像ADSL,就採用PPP封裝協定。

PPP的驗證方式
1.PAP(Password Authentication Protocol)
PAP驗證是一種雙向交握(Two way handshake)協定,一旦建立網路連線後,驗證程序就停止。
分單向驗證與雙向驗證
a.單向驗證:Server端,建立一組帳密,Client端送出同一組帳密像Server端來驗證。
b.雙向驗證:A、B端同時各設定帳號密碼,A送出帳密給B驗證,B送出帳密給A驗證,通過後即可建立連線。

2.CHAP(Challenge Handshake Authentication Protocol)
CHAP採用三向交握(3-way handshake),當PPP連線建立階段完成時,Client端就會送出Challenge封包給遠端設備,接著遠端設備用One way hash函數的方式,根據傳送來的Challenge值和密碼計算出一個特定的值,後將這值傳回給Client端。Client端比對自己算出來的值,相同表認證已通過,否則會立刻中斷目前這個PPP連線。

<PPP-PAP單向驗證>

Router-1(config)#int serial 1/0
Router-1(config-if)#clock rate 1000000
Router-1(config-if)#encapsulation ppp   (變更PPP封裝)
Router-1(config-if)#ppp authentication pap (PAP驗證)
Router-1(config-if)#exit
Router-1(config)#username user1 password pass1 (設定Server端要驗證的帳密)

Router-2(config)#int se 1/0
Router-2(config-if)#encapsulation ppp

Router-2(config-if)#ppp ?
  authentication  Set PPP link authentication method
  pap             Set PAP authentication parameters
Router-2(config-if)#ppp pap sent-username user1 password pass1 (要驗證的帳密)

Router-2(config-if)#
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to up


<PPP-PAP雙向驗證>

Router-1(config)#int serial 1/0
Router-1(config-if)#clock rate 1000000
Router-1(config-if)#encapsulation ppp   (變更PPP封裝)
Router-1(config-if)#ppp authentication pap (PAP驗證)
Router-1(config-if)#exit
Router-1(config)#username user1 password pass1 (驗證的帳密)
Router-2(config-if)#ppp pap sent-username user2 password pass2 (要驗證的帳密)

Router-2(config)#int se 1/0

Router-2(config-if)#encapsulation ppp   (變更PPP封裝)
Router-2(config-if)#ppp authentication pap (PAP驗證)
Router-2(config-if)#exit
Router-2(config)#username user2 password pass2  (驗證的帳密)

Router-2(config-if)#ppp ?
  authentication  Set PPP link authentication method
  pap             Set PAP authentication parameters
Router-2(config-if)#ppp pap sent-username user1 password pass1 (要驗證的帳密)

Router-2(config-if)#
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to up


<PPP-CHAP單向驗證>(目前Packet Tracer v5.3.2.0027無法實作CHAP驗證)
Router-1(config)#int serial 1/0
Router-1(config-if)#clock rate 1000000
Router-1(config-if)#no sh


Router-1(config-if)#encapsulation ppp  (啟用PPP封裝)

Router-1(config-if)#ppp authentication chap (啟用CHAP驗證)


Router-1(config-if)#exit
Router-1(config)#username user1 password pass1 (建立帳號、密碼)


Router-2(config)#int serial 1/0
Router-2(config-if)#no sh
Router-2(config-if)#encapsulation ppp (啟用PPP封裝)
Router-2(config-if)#ppp chap hostname user1 (傳送PPP-CHAP帳號)

Router-2(config-if)#ppp chap password pass1 
(傳送PPP-CHAP密碼)






<PPP-CHAP雙向驗證>(目前Packet Tracer v5.3.2.0027無法實作CHAP驗證)
PPP-CHAP雙向驗證,Username要設定為對方的Hostname,且兩端的密碼要設為相同。

Router-1(config)#int serial 1/0
Router-1(config-if)#no sh
Router-1(config-if)#encapsulation ppp
Router-1(config-if)#ppp authentication chap 
Router-1(config-if)#exit
Router-1(config)#username Router-2 password ABC

Router-1(config-if)#ppp chap hostname Router-1 (傳送PPP-CHAP帳號)

Router-1(config-if)#ppp chap password ABC (傳送PPP-CHAP密碼)





Router-2(config)#int serial 1/0
Router-2(config-if)#encapsulation ppp
Router-2(config-if)#ppp authentication chap 
Router-2(config-if)#no sh
Router-2(config-if)#exit
Router-2(config)#username Router-1 password ABC

Router-2(config-if)#ppp chap hostname Router-2 (傳送PPP-CHAP帳號)

Router-2(config-if)#ppp chap password ABC (傳送PPP-CHAP密碼)


Frame Relay訊框中繼
Local Access Rate區域專線存取速度
Frame Relay的實體線路架構,由各區域辦公室,申請區域專線連接到當地ISP最近的機房,這條區域專線的速度就是Local Access Rate,也就是該線路能夠乘載的最高頻寬。


CIR(Committed Information Rate)保證資料傳輸速率
CIR是ISP業者保證可以傳送的速度。


Frame Relay的封裝
1.Frame Relay Cisco:Cisco專屬協定。
2.Frame Relay IEFT:標準協定。


Virtual Circuit(虛擬電路)
1.固接式(PVC)
2.交換式(SVC):當有資料要傳遞時才建立,傳遞完成後就中斷。


DLCI(Data Link Connection Identifier)資料連結連線識別碼
建立PVC時,使用DLCI來識別連接點,DLCI由ISP業者提供。

LMI(Local Manager Interface)區域管理介面
Router到所連接Frame Relay交換機之間所用的訊號標準,Router可藉由LMI得知整個線路狀況。
格式:(由ISP業者決定)
1.Cisco
2.ANSI
3.Q.933A

Inverse ARP
建立PVC時,可以手動指定DLCI與IP對應關係,也可以使用Inverse ARP讓Router自動搜尋PVC另一端的設備位置。

FECN(Forward Explicit Congestion Notification)
FECN是Frame Relay封包表頭內的一個位元。當Router(DTE)發送Frame Relay封包出去時,如果網路發生雍塞,Frame Relay交換機(DCE)就會把FECN的值設成1。當目的端設備看到這個FECN的值是1時,就知道網路雍塞狀況。Router(DTE)設備就可以針對網路雍塞狀況做出處置動作(如降低傳送速率)。

BECN(Backward Explicit Congestion Notification)
BECN也是Frame Relay封包表頭內的一個位元。當Frame Relay交換機(DCE)以反方向發送回給Router(DTE),而FECN的值為1的時候,Frame Relay交換機(DCE)就會把BECN的值也設成1,來告訴來源端的DTE設備,Frame Relay發生壅塞的狀況,來源端的Router(DTE)設備就會針對網路雍塞做出處置裝置。

<點對點Frame Relay設定>
1.LMI使用Cisco格式
2.Router-1的DLCI=100
3.Router-2的DLCI=200

Router-1(config)#int serial 1/0
Router-1(config-if)#ip address 10.1.1.1 255.255.255.0 
Router-1(config-if)#encapsulation frame-relay ?
  ietf  Use RFC1490/RFC2427 encapsulation
  <cr>
Router-1(config-if)#encapsulation frame-relay (即為Frame Relay Cisco封裝)
Router-1(config-if)#frame-relay ?
  interface-dlci  Define a DLCI on an interface/subinterface
  lmi-type        Use CISCO-ANSI-CCITT type LMI
  map             Map a protocol address to a DLCI address
Router-1(config-if)#frame-relay lmi-type ?
  ansi   
  cisco  
  q933a  
Router-1(config-if)#frame-relay lmi-type cisco 
Router-1(config-if)#frame-relay interface-dlci ?
  <16-1007>  Define a switched or locally terminated DLCI
Router-1(config-if)#frame-relay interface-dlci 100
Router-1(config-if)#frame-relay map ip 10.1.1.2 ?
  <16-1007>  DLCI
Router-1(config-if)#frame-relay map ip 10.1.1.2 100 (告知DLCI 100可以通到10.1.1.2)
Router-1(config-if)#no sh

Router-2(config)#int serial 1/0
Router-2(config-if)#ip address 10.1.1.2 255.255.255.0
Router-2(config-if)#encapsulation frame-relay
Router-2(config-if)#frame-relay lmi-type cisco
Router-2(config-if)#frame-relay interface-dlci 200 
Router-2(config-if)#frame-relay map ip 10.1.1.1 200 (告知DLCI 200可以通到10.1.1.1)
Router-2(config-if)#no sh


Router-1#sh run
Building configuration...
!
interface Serial1/0
 ip address 10.1.1.1 255.255.255.0
 encapsulation frame-relay
 frame-relay map ip 10.1.1.2 100
 frame-relay interface-dlci 100


Router-1#sh interfaces serial 1/0
Serial1/0 is up, line protocol is up (connected)
  Hardware is HD64570
  Internet address is 10.1.1.1/24
  MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation Frame Relay, loopback not set, keepalive set (10 sec)
  LMI enq sent  110, LMI stat recvd 109, LMI upd recvd 0, DTE LMI up
  LMI enq recvd 0, LMI stat sent  0, LMI upd sent  0
  LMI DLCI 1023  LMI type is CISCO  frame relay DTE
  Broadcast queue 0/64, broadcasts sent/dropped 0/0, interface broadcasts 0
  Last input never, output never, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0 (size/max/drops); Total output drops: 0
  Queueing strategy: weighted fair

<點對點Frame Relay設定-IETF封裝>
1.Encapsulation:IETF
2.LMI:Q933a
3.Router-1 DLCI=110
4.Router-2 DLCI=210


Router-1(config)#int serial 1/0
Router-1(config-if)#ip address 10.1.1.1 255.255.255.0
Router-1(config-if)#encapsulation frame-relay ietf 
Router-1(config-if)#frame-relay lmi-type q933a 
Router-1(config-if)#frame-relay interface-dlci 110
Router-1(config-if)#frame-relay map ip 10.1.1.2 110
Router-1(config-if)#no sh



Router-2(config)#int serial 1/0
Router-2(config-if)#ip address 10.1.1.2 255.255.255.0
Router-2(config-if)#encapsulation frame-relay ietf 
Router-2(config-if)#frame-relay lmi-type q933a 
Router-2(config-if)#frame-relay interface-dlci 210
Router-2(config-if)#frame-relay map ip 10.1.1.1 210
Router-2(config-if)#no sh

<多點Frame Relay連線>(點對點模式)
可以在一個實體介面中,建立出多個虛擬子介面,給予不同的IP與不同的相關設定。
用子介面建立Frame Relay連線有兩種模式,一種是Point to Point(點對點模式),另一種是MultiPoint(多點模式)。實體介面只設定封裝協定,不指定IP。
Router-1
S 1/0.130 10.1.1.1 130
S 1/0.120 10.1.2.1 120
Router-2
S 1/0.210 10.1.2.2 210
S 1/0.230 10.1.3.1 230
Router-3
S 1/0.310 10.1.1.2 310
S 1/0.320 10.1.3.2 320


Router-1(config)#int serial 1/0
Router-1(config-if)#encapsulation frame-relay
Router-1(config-if)#no sh
Router-1(config-if)#exit
Router-1(config)#int serial 1/0.120 point-to-point 
Router-1(config-subif)#ip address 10.1.2.1 255.255.255.0
Router-1(config-subif)#frame-relay interface-dlci 120
Router-1(config-subif)#exit




Router-1(config)#int serial 1/0.130 point-to-point 
Router-1(config-subif)#ip address 10.1.1.1 255.255.255.0
Router-1(config-subif)#frame-relay interface-dlci 130

Router-1(config)#do sh run 

Building configuration...
!

!
interface Serial1/0
 no ip address
 encapsulation frame-relay
!
interface Serial1/0.120 point-to-point
 ip address 10.1.2.1 255.255.255.0
 frame-relay interface-dlci 120
!
interface Serial1/0.130 point-to-point
 ip address 10.1.1.1 255.255.255.0
 frame-relay interface-dlci 130
!


Router-1(config)#router rip (設定路由)
Router-1(config-router)#network 10.0.0.0




同方式,設定Router-2、Router-3

<多點Frame Relay連線>(多點模式)

Router(config)#int serial 1/0
Router(config-if)#encapsulation frame-relay 
Router(config-if)#no sh
Router(config-if)#exit


Router(config)#int serial 1/0.2 multipoint 
Router(config-subif)#ip address 10.1.1.1 255.255.255.0
Router(config-subif)#frame-relay map ip 10.1.1.3 130
Router(config-subif)#frame-relay map ip 10.1.1.2 120
Router(config-subif)#frame-relay interface-dlci 120
Router(config-subif)#frame-relay interface-dlci 130

Router(config-subif)#do sh run
Building configuration...

Current configuration : 891 bytes
!
!
interface Serial1/0
 no ip address
 encapsulation frame-relay
!
interface Serial1/0.2 multipoint
 ip address 10.1.1.1 255.255.255.0
 frame-relay map ip 10.1.1.3 130
 frame-relay map ip 10.1.1.2 120
 frame-relay interface-dlci 120
 frame-relay interface-dlci 130
!

同方式設定,Router-2、Router-3

Frame Relay檢修指令
1.Sh Frame-Relay LMI:檢視Router介面與Frame Relay交換機LMI封裝協定與流量統計數據。

Router#sh frame-relay lmi
LMI Statistics for interface Serial1/0 (Frame Relay DTE) LMI TYPE = CISCO
 Invalid Unnumbered info 0      Invalid Prot Disc 0
 Invalid dummy Call Ref 0       Invalid Msg Type 0
 Invalid Status Message 0       Invalid Lock Shift 0
 Invalid Information ID 0       Invalid Report IE Len 0
 Invalid Report Request 0       Invalid Keep IE Len 0
 Num Status Enq. Sent 169       Num Status msgs Rcvd 168
 Num Update Status Rcvd 0       Num Status Timeouts 16

LMI Statistics for interface Serial1/0.2 (Frame Relay DTE) LMI TYPE = CISCO
 Invalid Unnumbered info 0      Invalid Prot Disc 0
 Invalid dummy Call Ref 0       Invalid Msg Type 0
 Invalid Status Message 0       Invalid Lock Shift 0
 Invalid Information ID 0       Invalid Report IE Len 0
 Invalid Report Request 0       Invalid Keep IE Len 0
 Num Status Enq. Sent 0         Num Status msgs Rcvd 0
 Num Update Status Rcvd 0       Num Status Timeouts 16


2.Sh Frame-Relay PVC:檢視PVC與DLCI編碼,每條PVC的連線流量統計數據。

Router#sh frame-relay pvc

PVC Statistics for interface Serial1/0 (Frame Relay DTE)
DLCI = 120, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial1/0.2

input pkts 14055       output pkts 32795        in bytes 1096228
out bytes 6216155      dropped pkts 0           in FECN pkts 0
in BECN pkts 0         out FECN pkts 0          out BECN pkts 0
in DE pkts 0           out DE pkts 0
out bcast pkts 32795   out bcast bytes 6216155

DLCI = 130, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial1/0.2

input pkts 14055       output pkts 32795        in bytes 1096228
out bytes 6216155      dropped pkts 0           in FECN pkts 0
in BECN pkts 0         out FECN pkts 0          out BECN pkts 0
in DE pkts 0           out DE pkts 0
out bcast pkts 32795   out bcast bytes 6216155


3.Sh Frame-Relay MAP:檢視IP與DLCI編碼的對應關係。

Router#sh frame-relay map
Serial1/0.2 (up): ip 10.1.1.3 dlci 130, static, CISCO, status defined, active
Serial1/0.2 (up): ip 10.1.1.2 dlci 120, static, CISCO, status defined, active


4.Debug Frame-Relay LMI:可檢視Router介面與ISP Frame Relay交換機的溝通訊息,協助我們觀察Router與交換機是否正確地交換LMI資訊。

Router#no debug frame-relay lmi
Frame Relay LMI debugging is off
Displaying all Frame Relay LMI data
Router#debug frame-relay lmi
Frame Relay LMI debugging is on
Displaying all Frame Relay LMI data
Serial1/0(out): StEnq, myseq 1, yourseen 0, DTE up
datagramstart = 0xE7829994, datagramsize = 13
FR encap = 0x00010308
00 75 51 01 00 53 02 01 00

Serial1/0(in): Status, myseq 1, pak size 21
nRT IE 1, length 1, type 0
nKA IE 3, length 2, yourseq 1 , myseq 1
nPVC IE 0x7 , length 0x6 , dlci 120, status 0x0 , bw 0


補充
PAP(Password Autherntication Protocol)密碼驗證協定
1. 使用者與認證方進行連結(PPP連接).
2. 使用者送出帳號與密碼提供系統進行身分的認證.(PAP認證)
3. 系統取得帳號與密碼並進行驗證是否正確.
4. 驗證完畢,進行Internet連線或中斷連接.


CHAP(Challenge-Handshake Authentication Protocol)查問交握(挑戰式的互握)驗證協定
1. 在連結建立階段完成之後,認證方送出Challenge(口令)信號給peer.
2. Peer用One-Way Hash函數計算出來一個值,並將值回應回去.
3. 認證方用自己所算出的值來和Peer回應的值來核對.
4. 假如資料是吻合,則Accept.反之則否,Reject.



PAP 與 CHAP的比較

PAP在Peer與Authenticator的認證作業中,提供的簡易的認證協議,這會在傳輸中暴露帳號與密碼 , 這並不符合今日網路使用上的安全連線需求 , 這容易導致使用者的帳戶資料與密碼外洩或招到第三者的惡意盜取。然而 , CHAP使用了加密的機制來進行,密碼不會出現在傳輸的過程中 , 縱使擷取封包可取得帳號 , MD5的加密仍提供了一道安全鎖 , 使CHAP在Peer與Authenticator雙方的另一個比較有安全保障的選項。