10/7 光纖servey

• 何為 GBIC

GBIC 是 Giga Bitrate Interface Converter 的縮寫，是將 Gigabit 電信號轉換為光信號的介面器件。

GBIC 設計上可以為熱插拔使用。

GBIC 是一種符合國際標準的可互換產品。

採用 GBIC 介面設計的 Gigabit 交換機由於互換靈活，在市場上佔有較大的市場分額。

• 何為 SFP ==>MINI-GBIC

SFP 是 SMALL FORM PLUGGABLE 的縮寫，可以簡單的理解為 GBIC 的升級版本。

SFP 模組體積比 GBIC 模組減少一半，可以在相同的面板上配置多出一倍以上的埠數量。

SFP 模組的其他功能基本和 GBIC 一致。

有些交換機廠商稱 SFP 模組為小型化 GBIC（MINI-GBIC）。

SFP 模組體積比 GBIC 模組減少一半，可以在相同的面板上配置多出一倍以上的埠數量。

SFP 模組的其他功能基本和 GBIC 相同。

• 接頭 ==>LC

值得注意的是，接頭與上述兩項沒有直接的關係，也就是說，上述任一種光規格需搭配對應的光纖線，但可以用各種接頭。

一般的接頭有ST、SC、MT-RJ、LC、…等（各有公與母）。

另外，假設A設備是1000Base-SX規格SC母接頭，而B設備是1000Base-SX規格MT-RJ母接頭，則僅需購買一條SC轉MT-RJ的多模公接頭光纖線串接即可。

但若例如遠端過來的光纖線已經做死ST公接頭而欲連至SC母接頭的設備，此時只能用同時有SC與ST母接頭的相同光規格裝置（例如Converter或Switch）做為中介連接兩端。

還有，由於光纖線與相關設備較雙絞線者價格已相對便宜，故如果有用到Gigabit的規格，則兩台Switch之間的串接甚至Server端的網路卡，都可考慮用光纖線連接，比較不會像UTP雙絞線有較多的干擾與損耗。

最後，無論是光纖線或是雙絞線，在連接兩不同廠牌設備時，均有可能因為自動協調機制不順利，而致降速或不通，此時若雙方為可進入設定的設備（可管理型），則可嘗試將自動協調改為手動強制（例如強制跑100Mbps全雙工）。

而線材未依標準或製做粗劣，也均會嚴重影響1000Mbps的傳輸效能。

• 光的規格 ==>SX

先談光的規格，一般乙太網路用到的多半如下：

100Base-FX，使用紅外線光源，跑100Mbps
1000Base-SX，使用短波雷射光源，跑1000Mbps
1000Base-LX，使用長波雷射光源，跑1000Mbps
1000Base-LH，使用長波雷射光源，跑1000Mbps

FX 是紅外線光源；SX 是指短波雷射，其所達距離較短；LX、LH 是指長波雷射，可達距離較遠，不同規格是無法連接的。

• 線材 ==>Multi-Mode

再談線材，光纖線(Fiber-Cable)一般分為單模(Single-Mode)與多模(Multi-Mode)，差別在單模光纖的核心（玻璃纖維或塑料）非常細，幾乎只容許一束光線通過，比較沒有光線折射或反射等的損耗，因此傳送距離可以較長。
多模光纖的核心（玻璃纖維或塑料）比較粗，容許多束光線通過，有較多光線折射或反射等的損耗，因此傳送距離較短。
兩種線材必須各搭配上述不同的光規格來用，才可發揮最佳效能，不可任意接用。

100Base-FX  搭配多模光纖
1000Base-SX 搭配多模光纖
1000Base-LX 搭配單模光纖
1000Base-LH 搭配單模光纖

而光纖線一般的表示方法，單模光纖有5/125、10/125、…等，多模光纖有50/125、62.5/125、…等，前方的數字是光纖核心直徑，後方的數字是線材折射層直徑。

1000Base-SX 搭配多模光纖傳送距離為400m以上甚至1km
1000Base-LX 搭配單模光纖可達1km以上甚至10km
1000Base-LH 搭配單模光纖可達10km以上甚至70km

傳送距離最好還是參考設備商提供的數據規格。

各規格設備圖片參考：http://www.ublink.org/fiber/fiber.php

9/23 Cisco CCNP-BCMSN 15章 確保Switch的安全

l   Switchport port-security

根據MAC位址控制埠的存取。

在要使用的介面配置相關指令：

        Switch(config-if)#switchport port-security

        Switch(config-if)#switchport port-security maximum 允許存取的最大MAC數目

        此為動態配置，也可靜態配置位址

        Switch(config-if)#switchport port-security mac-address XXXX. XXXX. XXXX

l   DHCP Snooping

DHCP伺服器提供clinet在網路上運作的所有基本資訊。假設情況：攻擊者在client所在的子網路架設一台惡意的DHCP Server，當client廣播DHCP要求時，惡意伺服器將發送偽造的DHCP回應，其中的Default gateway是惡意伺服器的IP位址。而client前往外部的封包會先經過攻擊者的機器，攻擊者再轉送封包到目的地，同時查看攔截的每個封包。

DHCP snooping可以防範這類攻擊，啟用DHCP snooping可以將交換埠分成可信任和不可信任的，合法的DHCP Server位於可信任的port，其他為不可信任的。

交換器可以攔截來自不可信任port的所有DHCP要求，然後向整個VLAN flood；任何來自不信任port的DHCP回應都被丟棄，同時連接的交換port也會自動關閉，進入errdisable狀態。     

相關指令：

Switch(config)#ip dhcp snooping    啟用dhcp snooping

Switch(config)#ip dhcp snooping vlan id  指定執行dhcp snooping的Vlan

Switch(config)#interface type mod/num

Switch(config-if)#ip dhcp snooping trust 設定已知DHCP Server所在的

                                  port為可信任port

Switch(config)#ip dhcp snooping information option

透過新增選項82，提供了更多有關實際產生的DHCP要求的client資訊

l   IP來源防護

惡意或受到攻擊的主機卻不一定遵守上述的規則，他們可能使用自己的合法位址，也可能使用偽造的位址。IP來源防護則是進行偵測並阻斷位址偽造的攻擊，第二層交換器會學到MAC位址並儲存，交換器必須確定MAC與其關聯的IP位址。IP來源防護使用DHCP snooping 資料庫，以及使用靜態來源IP位址對應項目來完成。IP來源防護須搭配DHCP snooping，來源IP是否與DHCP snooping學到的或是靜態項目對應的IP位址相同是要注意的地方，或MAC是否與switch port和DHCP snooping 得知的MAC相同。

相關指令為：

Switch(config)#ip source binding mac-address vlan vlan-id interface type

mod/num  此為將主機的MAC位址對應到特定的VLAN

和IP位址，並只能在特定的交換器介面看到。

               

Switch(config)#interface type mod/num

Switch(config-if)# ip verify source[port-security]

檢查來源IP，若要同時檢查MAC則再補充port-security指令

Switch#show ip verify source 查看IP來源防護的情況

l   動態ARP檢查(DAI:Dynamic ARP inspection)

跟DHCP snooping的觀念有點類似，不過ARP欺騙是把攻擊者的機器加入到原本合法的不同路徑中，使封包傳送到攻擊者手中，而不是另一台主機或預設閘道。

相關指令為：

        Switch(config)# ip arp intspection vlan vlan-range 在VLAN啟用DAI

        Switch(config)# interface type mod/num

        Switch(config-if)# ip arp inspection trust 

跟DHCP snooping觀念類似，也是要設定信任的port

l   確保交換器安全的最佳方法：

n   設置加密密碼：善用enable secret，將密碼儲存在NVRAM中

Service password-encapsulation  自動加密儲存

n   停用不必要的服務：以下配置指令，一定要加上關鍵字no停用它們

Service tcp-small-servers

Service udp-small-servers

Service finger

Service config

n   確保交換器的控制台安全：以實體設備防止他人連接到交換器控制台，並在控制台配置驗證。

n   確保交換器的控制台安全

9/16 Cisco CCNP-BCMSN 12章 多層交換

• Vlan之間彼此獨立，之間要傳輸的話必須使用第3層網路設備，路由器必須具有每個vlan的實體或邏輯連接，稱之為Inter VLAN routing

• 單臂路由器:router on a stick 路由器透過單一trunk與交換器相連

• Switchport：輸入此指令可將port處於第2層模式，no switchport則為第3層模式；配合show interface type mod/num switchport看指令輸出中switchport顯示enabled則為第2層、disabled為第3層。

• SVI：第3層邏輯介面稱為SVI，配置SVI時，需要使用介面名稱vlan vlan-id，就像vlan本身就是一個實體介面一樣

※雖然VLAN和SVI可以同時使用，但是要分開設定，建立或配置SVI並不等於建立或配置VLAN，必須分別的定義他們

EX: sw(config)#vlan 20

sw(config-vlan)#exit

sw(config)#interface vlan 20

sw(config-if)# ip address 192.168.20.1 255.255.255.0

sw(config-if)#no shutdown

• 傳統的Netflow交換：最初發揮路由處理器(route processor，RP)和交換引擎(switching engine，SE)的雙重功能，基本原理為”一次路由，多次交換”；為參與多層交換，SE必須知道每個RP的身分。SE就能夠聆聽到達和離開路由器的第一個封包，如果SE能夠在兩個方向上交換封包，他將得知一條”shortcut patch(捷徑)”，將同一個資料流中的後續封包直接交換到離開的port，而不需要經過RP，硬體須由一個獨立的RP元件(component)和一個支援Netflow的SE元件組成。

• CEF的多層交換：CEF是catalyst多層交換器使用的高效率Cisco快速轉送，固定配置的交換器，如Catalyst 3750、3560、3550和2950都在硬體中執行CEF，CEF有兩個關鍵字：轉送資訊資料庫(Forwarding Information base,FIB)、adjacency(鄰接)表

• 轉送資訊資料庫(Forwarding Information base,FIB)

由第3層引擎維護遶送資訊，這些資訊來自靜態路由或動態遶送協定。Routing table被重新格式化為一個有序清單，此格式為FIB。FIB中每個項目還包含下一個轉送站位址，在FIB中找到符合最長的項目後，也就找到了下一個轉送站的第3層位址。FIB表也是動態的，第3層發現遶送拓樸發生變化後，它將發送更新給FIB。

※要顯示與特定介面或VLAN相關聯的FIB項目，可使用show ip cef [ type mod/num
vlan vlan-id ] [detail]

• adjacency(鄰接)表：路由表通常維護一個路由表和一個ARP表，前者包含第3層和下一個轉送站資訊，後者包含第3層與第2層位址的對應。這些表是獨立儲存的。FIB在每個項目中保存了下一個轉送站的第3層位址。為進一步提高封包轉送效率，FIB保存了每個下一個轉送站項目的第2層資訊。FIB這部分稱為adjacency表，包含下一個轉送站節點的MAC位址。要顯示adjacency表的內容可使用show adjacency [ type mod/num vlan vlan-id ] [detail]

l   封包重寫(packet rewrite)：多層交換以快速表格查詢方式進行尋找下一個轉送站位址和離開的port。封包並沒有更動，目的地MAC位址仍為交換器本身的MAC位址，因此還必須調整IP標頭，就像轉送是由傳統的路由器一樣。

n   第2層目的地位址：改為下一個轉送站設備的MAC

n   第2層來源位址：改為第3層交換器離開的介面的MAC

n   第3層IP存活時間(TTL)：經過了一個路由器轉送站則減1

n   第3層IP檢查碼(checksum)：重新計算以考慮修改後的IP標頭

n   第2層訊框檢查碼：重新計算以考慮修改後的第2層和第3層標頭

感覺大部分都與傳統路由器相同的封包修改，然而多層交換器使用專用的封包重寫硬體，並透過表格查詢獲得位址資訊，能非常高效率的完成此工作。