IGMP簡介及整理

IGMP簡介及整理

此篇文章是參考網路上的10多篇中英文文章整理而成，如有誤請不吝指教，謝謝。另如有侵權請告知刪除，謝謝。
起源：
一開始的網路傳輸由單點(Unicast)到廣播(Broadcast)。這樣的封包傳送方式對於多媒體傳輸的應用非常佔據頻寬，所以後來發展出群播(Multicast)的傳輸，減少了頻寬的浪費。請參考如下應用圖。


一、Internet群組管理協議（Internet Group Management Protocol)簡介：
IGMP（Internet Group Management Protocol，互聯網群組管理協議）是TCP/IP的協議族中負責的IP群播成員管理的協議， IP主機和與其直接相鄰的群播路由器之間建立，以便維護群播組成員關係。
參與的IP群播的主機可以在任意位置，任意時間，成員總數不受限制地加入或退出群播組。而群播路由器不需要也不可能保存所有主機的成員關係，它只是通過 IGMP的協議了解每個接口連接的網段上是否存在某個群播組的接收者，僅只是群組成員。而主機方只需要保存自己加入了哪些群播組。所以才會有查詢路由器的出現。
IGMP在主機與路由器之間是不對稱的：主機需要響應群播路由器的IGMP的查詢封包，即以IGMP成員報告封包響應;路由器週期性(每隔60秒)發送成 員資格查詢封包(Query packet)，然後根據收到的響應封包(report packet)確定某個特定群組在自己所在子網路上是否有主機加入，並且當收到主機的退出組(leave)的報告時，發出特定組的查詢封包（IGMP的版 本2），以確定某個特定組是否已無成員存在。
到目前為止，有三個版本的IGMP：目前應用最多的是版本2。
IGMP V1（RFC1112定義）
IGMP V2（RFC2236定義）
IGMP V3(RFC 3376定義)

二、Internet Group Management Protocol目的：
Internet工作群組管理協議。IGMP主要用來解決網絡上廣播時佔用頻寬的問題。當網絡上的信息要傳輸給所有工作站時，就發出廣播 （broadcast）信息（即IP地址主機標識位全為1），交換機會將廣播信息不經過濾地發給所有工作站；但當這些信息只需傳輸給某一部分工作站時，通 常採用群播（multicast，也稱多點廣播）的方式，此時就要要求交換機支持IGMP。支持IGMP的交換機會識別群播信息並將其轉發至相應的群組， 從而使不需要這些信息的工作站的網絡頻寬不被浪費。IGMP對於提高多媒體傳輸時的網絡性能尤為重要。

三、IGMP V1/2/3簡介:
1. IGMP Version 1原理:
IGMP Version 1 封包類型：
Membership Query: 成員關係查詢(0x11) ，224.0.0.1, 每60秒查詢一次
Membership Report:成員關係報告(0x12)
IGMP Version 1使用Query-Response模型來允許群播路由器和多層次交換器來確定在本網段內哪個群播群組是啟動的。在這個模型中，路由器或交換器充當 IGMP 查詢路由器，每隔60秒週期性地發送IGMP Version 1 Membership Query給224.0.0.1。啟用群播的所有主機監聽該位址並接收Query Packet。主機以IGMP Version 1 Membership Report回覆，表示它要接收特定Group的Multicast Traffic；該網段中的路由器或交換器就可以了解群播群組中有哪些接收者。
也就是說共享網段表示一個網段上有多個群播路由器的情況。在這種情況下，由於此網段上
運行IGMP的的路由器都能從主機那裡收到成員資格報告消息，因此，只需要一個路由器發送成員資格查詢消息，這就需要一個路由器選舉機制來確定一個路由器作為查詢器。在IGMP的版本1中，查詢器的選擇由群播路由協議決定。
主機可以通過發送一個或多個主動的Membership Report封包表明加入(Join)一個群播群組。
如: 某個主機主動發送一個Report封包表明要接收群播群組(224.1.1.1)的流量。
主機通過停止處理群播群組訊務以及不回應IGMP Query的方式來離開群播群組。
IGMP Version1依靠L3的IP Multicast Routing Protocol(PIM、DVMRP等)來解決同一網段中哪個路由器或多層次交換器成為查詢路由器。查詢路由器發送IGMP Version 1的Query來確定哪個群播群組是啟動的。通常Designated Router會被選擇為查詢路由器。
主機群可以加入群播群組，但是IGMP Version 1沒有Leave訊息，路由器或多層次交換器需透過一個逾時機制的運作，讓那些沒有人接收的訊務不再送到不需要的主機成員。

2. IGMP Version 2增進的功能：主要增加了離開機制，特定群組查詢功能，最大響應時間欄位。
IGMP Version 2 封包類型：
Membership Query: 成員關係查詢(0x11)
V1 Membership Report:V1成員關係報告(0x12)
V2 Membership Report:V2成員關係報告(0x16)
Leave Group:離開群組報告(0x17)
離開群組訊息(Leave Group Message)：
在IGMP 版本1 中，主機悄然離開群播組，不會給任何群播路由器發出任何通知。
造成群播路由器只能依靠群播組響應超時來確定群播成員的離開。而在版本2 中，
當一個主機決定離開時，如果它是對最近一條成員資格查詢消息作出響應的主機，
那麼它就會發送一條離開群組的消息，提升了離開的效率，加快對網路變化的響應。
特定群組查詢功能介紹(Group Query Message)：
在IGMP V1 中，群播路由器的一次查詢，是針對該網段下的所有群播組。這種查詢稱為普遍群組查詢。在IGMP V2 中，在普遍群組查詢之外增加了特定群組的查詢，這種查詢封包的目的IP 地址為該群播組的IP地址，封包中的群組地址部分也為該群播組的IP 地址。這樣就避免了屬於其它群播組成員的主機發送響應封包。
最大響應時間欄位 (Maximum Reponse Time field) ：
以動態地調整主機對群組查詢封包的響應時間(IGMP V1不可手動調整，默認為10秒)，也就是說Query Message中可允許Query router 指定最大的查詢回應時間，控制查詢響應的突發性和微調組成員離開組時的離開延時的過程。例如網路存在大量的Multicast Group，可能需要很長的時間來傳送reply。但是此機制可以發一個未經許可的report告知成員參加該群組，這個機制在沒有其他成員存在的情況時 減低了終端系統加入的延遲。
IGMP V2對查詢器的選擇由群播路由協議決定做了改進，規定同一網段上有多個群播路由器時，具有最小的IP地址的群播路由器被選舉出來充當查詢器。

IGMP V1/V2的缺點：
a.缺乏有效控制群播源的手段。
b.由於不知道群播源的位置，群播路徑的建立較困難。
c.發現一個唯一的群播位址十分困難，可能出現多個的群播組使用同一個群播位址的情況。

3. IGMP Version 3增進的功能：主要增加了過濾來源的機制，允許系統選擇想要接收的特定群播源或者排除不想接收的特定群播源。
使用IGMP V3之後，主機可指定要由特定的來源端接收群播的流量，可以是一部編碼器或是支援群播的視訊伺服器，也可以由指定特定來源以外的所有來源端接收群播流量。
Client可使用 IGMP Version 3 Report訊息，指定要由指定的Source接收群播的Stream，或是由指定Source以外的所有來源接收群播流量。防止啟用群播的路由將群播傳 輸傳遞到沒有Client的子網路。群播路由器用來每隔一段時間輪詢一次網路中的群組成員。路由器可使用 IGMP Version 3 Query，查詢Client是否要由指定的來源清單，接收群播流量。
IGMP Version 3主要改進的功能是可以允許主機指定它們想要在某個Multicast Group中只接收特定的Multicast Source。這個增強功能使得路由資源可以更加有效地被使用。IGMP Version 3新增了可以根據群播來源來過濾群播的功能。
IGMP Version 3不僅可向下相容於之前版本的IGMP通訊協定。為了維持與較舊版本IGMP系統的向下相容性，IGMP Version 3群播路由器必須也同時採用Version 1和Version 2的通訊協定。

名詞解釋：
1.IGMP Router Timeout：
一個IGMPV2的主機可以在子網路中放置在一個尚未升級成IGMP V2的查詢路由器。
要求如下： IGMPv1的路由器將發送的一般查詢封包與最大響應時間設置為0。預設值為100(10秒)。
當IGMP V1 路由器預計響應V1 Report封包，但是卻會忽略V2 Report 封包，所以必須在每個端口保持狀態變量，而由IGMP V1路由器依據設定timeout發出響應查詢，才能決定每個端口跑的類型。最大可設置到400秒。
2.IGMP Snooping：比方說port 3送了一個Join multicast 224.0.0.1的封包到switch，switch就偷偷地學起來等到從port 5收到multicast 224.0.0.1的封包時就知道只要傳給port 3就好了不用傳給別的port，透過IGMP snooping就不需要手動設定了而且也不會送到其他不屬於這個multicast group的port，進而實現群播封包的L2快速轉發。
3.IGMP Host Timeout：
保存主機組成員關係的計時器時間，也就是說設定一個時間來計算多久沒有收到report封包，就將該port從某個multicast group移除。

台灣 LTE WiMax 頻段表

NCC公布的資料：http://goo.gl/DyzdnL
(一) 700 MHz 頻段： Band 28
１、A1：上行703～713MHz；下行758 ～768MHz （上下行各10MHz）
２、A2：上行713～723MHz；下行768 ～778MHz （上下行各10MHz）
３、A3：上行723～733MHz；下行778 ～788MHz （上下行各10MHz）
４、A4：上行733～748MHz；下行788 ～803MHz （上下行各15MHz） (794-803MHz已有現存低功率射頻電機設備(低功率無線麥克風)）
(二) 900 MHz 頻段： Band 8
１、B1：上行885～895MHz；下行930 ～940MHz （上下行各10MHz） （2019年1月1日始有頻率使用權）
２、B2：上行895～905MHz；下行940 ～950MHz （上下行各10MHz） （2017年7月1日始有頻率使用權）
３、B3：上行905～915MHz；下行950 ～960MHz （上下行各10MHz） （2017年7月1日始有頻率使用權）
(三) 1800 MHz 頻段： Band 3
１、C1：上行1710～1725MHz；下行1805 ～1820MHz （上下行各15MHz） （2017年7月1日始有頻率使用權）
２、C2：上行1725～1735MHz；下行1820 ～1830MHz （上下行各10MHz） （2017年7月1日始有頻率使用權）
３、C3：上行1735～1745MHz；下行1830 ～1840MHz （上下行各10MHz） （2017年7月1日始有頻率使用權）
４、C4：上行1745～1755MHz；下行1840 ～1850MHz （上下行各10MHz） （2017年7月1日始有頻率使用權）
５、C5：上行1755～1770MHz；下行1850 ～1865MHz （上下行各15MHz） （最快今年年底可使用）
WiMax 頻段
執照A1：大眾電信 北區，2565~2595 MHz 對映到 LTE FDD Band 7 , TDD Band 41
執照A2：遠傳電信 南區，2565~2595 MHz
執照B1：全球一動 北區，2595~2625 MHz 對映到 LTE TDD Band 38, TDD Band 41
執照B2：大同電信 南區，2595~2625 MHz
執照C1：威邁思電信 北區，2660~2690 MHz 對映到 LTE FDD Band 7 , TDD Band 41
執照C2：威達有線電視 南區，2660~2690 MHz
目前似乎還有各家都還有 3G TDD 的頻段未使用可以釋出. 1915~1920Mhz, 1900-1915Mhz(TDD Band 33, 37, 39? ), 2010-2025Mhz(TDD Band 23,34),
Band 3, Band 7 , Band 17, Band 1 都是很熱門的頻段.
Ref.

您現在買的 4G LTE手機將來是否可以支援自己的電信業者嗎？

雖然台灣4G LTE即將於今年下半年開台, 坊間也推出不少宣稱支援4G/LTE功能的智慧型手機,不過國家通訊傳播委員會（NCC）日前發出新聞稿表示，現階段行動寬頻業務（4G/LTE）尚未開台，坊間已有手機業者宣稱其產品支援4G/LTE功能，請民眾購買時查明所支援之頻段是否涵蓋國內行動寬頻業務頻段，以避免消費爭議。
由於各手機業者或手機網站對於支援LTE規格大都猶抱琵琶半遮面,版主花點時間整理台灣目前標榜支援LTE功能的智慧型手機可以支援的行動寬頻業務頻段如下:
   
  Note: 僅供參考, 以業者公告為準.

現在買坊間LTE手機可以支援使用台灣的4G上網嗎? 這必須符合三個條件:手機要能支援台灣的4G頻段; 使用的電信業者必須該頻段的4G服務; 需更新韌體，讓手機知道當地電信商有4G服務. 如果隨便在 國外或台灣買一支號稱4G手機，即使國內4G開台，可能只能當3G手機或鬧鐘使用, 勢必引起消費爭議.
以下針對這三個條件加以詳細說明:
1.手機要能支援台灣的4G頻段:
目前全球的4G主流是LTE(長期演進技術, Long Term Evolution). Evolution代表這個技術正在演進中, 目前世界各國電信業者使用的頻段Band都不一樣. (各國業者採用頻段請看這裡)
 
台灣開放的4G頻段對照為Band 3 (1800mHz)、Band 8 ( 900mHz)、 Band 28 ( 700mHz).  
A.700MHz頻段(Band 28)：上行703-748MHz/下行758-803MHz
B.900MHz頻段(Band 8)：上行885-915MHz/下行930-960MHz
C.1800MHz頻段(Band 3)：上行1710-1770MHz/下行1805-1865MHz

其中, Band 3 (1800mHz)與Band 8 ( 900mHz)屬於國際主流規格, 可以支援的手機較多.  Band 28 ( 700mHz)則是屬於台灣領先全球開放的頻段. 簡單來說,  Band 3及Band 9, 或是未來將在釋出的2600Mhz(Wimax)頻段屬於國際級的高速公路, 未來可以進度飆速的跑車很多.但是台灣領先開放的700Mhz則可視為"鬼島七號國道", 目前只知道HTC,三星,郭董及中興對上鬼島國道七號有興趣, 會儘速推出可以支援的手機. 不過某知名手機業者高層表示:我們確定不上鬼島國道七號,不然車跑不快,會被以為車不好(其實是路有問題). 唉, 未來可 以登上台灣鬼島國道七號的4G手機將是機型少且貴森森.
2.使用的電信業者必須該頻段的4G服務:
因900/1800MHZ多數頻段仍是400多萬的2G用戶在使用, 目前可以開台的頻段只有中華的C5, A1~A4 的四家業者及還剩5Mhz頻寬的台灣之星(B1). 根據目前訊息, 除中華電信最慢可以在七月份以1800mHZ開台外, 遠傳與台灣大哥大都確定初期都將以700MHz開台, 1800mHz頻段是否可以提前換頻或是等106年7月1日才啟用仍在未定之數. 台灣之星(威寶)可望於今年Q3以900mHz開台; 亞太與國碁因計畫以VOLTE開台, 最快明年才有機會營運.
 

換言之, 目前購買標榜具備LTE手機, 除了中華電信用戶或部分威寶(台灣之星)今年可望可以直接升級使用4G外, 其餘業者用戶若今年就要使用原業者的4G服務, 都必須換機等Q2 HTC與Samsung推出可以支援鬼島七號頻率的手機, 才有辦法使用.

3.需更新韌體，讓手機知道當地電信商有4G服務:
雖然目前台灣目前已有不少手機可以支援1800Mhz/900mhz LTE服務, 但不代表中華電信或台灣之星4G開台後, 這些手機只要插入4G SIM就馬上可以使用4G服務. 要讓LTE手機可以使用4G服務，必須更新韌體，讓手機知道台灣已經有了4G服務. 不然, 手機仍只會選擇3G或2G 的訊號, 變成啞巴機. 因中華電信是台灣最大電信業者, 只要手機不是由國外直接帶回的,  軟體升級應該沒問題. 台灣之星部分, 版主就不敢打包票 了.

以下目前坊間以上是手機4G頻段可以支援電信業者的對照表.
  

聯發科日前宣布將於下半年推出真八核的LTE系統單晶片解決方案 - MT6595。 MT6595 將 Cortex-A17 與 A7s 這兩個四核整合為八核，其中四核 A7s 最高時脈達 1.7GHz，而四核 A17 最高時脈更 可達到 2.2 至 2.5GHz.  不過小編推測這顆處理器支援的4G LTE規格應該只有Band 1,3,7,(8), 38,39,40. 只有確定可以支援中華電信4G, 但台灣之星(Band 8)則不一定.
 

台灣4G要普及,手機一定要物美價廉選擇多. 是故, 版主呼籲大有為的政府,應該將號稱3年將投入300億加速4G普級的計畫優先邀請台灣優秀廠商共同開發可以適用台灣特殊的700mhz頻段的SoC處理器與手機, 把錢花在刀口上, 才是真正加速台灣4G普及的良方!

MS SQL的備份與還原

將資料庫備份是 DBA 最重要的任務之一。備份和仔細的還原計劃可在系統失效時將資料還原。DBA 的責任是保持系統的執行狀態，並在失效時盡快還原所有的服務。系統停止運作會造成許多不便，有時更要付出昂貴的代價，因此在系統停止運作時得很快的取得取得資料庫備份。 有些技術會對系統失效的還原有幫助，如叢集和容錯磁碟子系統，但是還是比不上一個好的計劃和可靠的備份。 備份、還原和復原資料庫的主題十分重要，本文中將學習如何還原資料庫，以及備份資料庫的幾種方法。另外不同資料庫之間的轉換，以MySQL資料庫匯入MSSQL資料庫為例，至於MSSQL資料庫匯出為MySQL資料庫則只要將目的與來源端交換即可。 備份和還原的3種方法：分為執行SQL指令碼、利用備份還原精靈及直接複製資料庫檔案再執行附加動作等3種方法

方法一、利用SQL指令碼 備份：對test資料庫進行備份，產生*.sql檔案 (1) 點選產生SQL指令碼

(2) 勾選編寫所有物件

(3) 檔案命名存檔即完成備份作業

還原：利用Query Analyzer工具開啟test.sql檔，對新增的tset資料庫執行SQL指令 (1) 新增test資料庫 (2) 利用Query Analyzer工具執行SQL指令碼

方法二、利用備份還原精靈 備份：對tset資料庫進行備份作業 (1) 點選備份資料庫

(2) 點選新增

(3) 設定裝置名稱及備份檔案名稱後點選確定即完成備份作業

還原：將產生的test01.BAK備份檔案，還原到新增的test資料庫 (1) 新增test資料庫 (2) 點選還原資料庫 (3) 選擇之前新增的資料庫後點選”選擇裝置”

(4) 點選新增

(5) 選擇備份檔案

(6) 點選確定

(7) 點選選項,可更改資料庫檔案路徑,後按確定即完成資料庫還原

方法三、利用附加資料庫檔案 備份：對test資料庫進行備份,先停用SQL server服務，到資料庫檔案存放路徑(預設為C:\Program Files\Microsoft SQL Server\MSSQL\Data)複製tset資料庫Data及Log檔案 (1) 先將SQL Server服務停止

(2) 將要備份的資料庫檔案及Log檔案複製

還原：啟用SQL server服務，將複製的資料庫檔案已附加方式還原 (1) 點選附加資料庫

(2) 選擇資料庫MDF檔，可自行更改資料庫存放路徑，指定擁有者後按確定即完成還原作業。

將MySQL資料庫匯入MSSQL資料庫 (1) 安裝MyODBC，讓MSSQL可透過ODBC技術來存取MySQL (2) 點選匯入資料

(3) 點選新增

(4) 選擇系統資料來源

(5) 選擇MySQL ODBC 3.51 Driver

(6) 命名DSN，輸入MySQL IP、資料庫名稱、user name及 密碼。

(7) 選擇剛剛新增的DSN後按下一步

(8) 選擇SQL Server，指定伺服器，輸入使用者名稱密碼，選擇要還原的資料庫後按下一步。

(9) 選擇複製來源資料庫

(10) 全選後按下一步

(11) 選擇立即執行後按下一步即完成匯入作業。

規劃VPN

企業經理人與MIS 隨著跨區、跨縣、跨國企業的發展，產業「地球村化」的時代已正式降臨，VPN漸成企業商業與協同應用的重要選擇。傳統上系統維護是由企業MIS人員負責， 然而，對於公司內的資訊部門人員而言，工作已有愈形複雜的趨勢。試想，一個100人規模的公司，MIS的人員配置可能只有2~3人，但是所要擔負的工作卻 異常繁瑣，包含著電腦週邊設備維護管理、網路正常運作的維護、資訊系統的開發與維護、網路安全的維護。每天還可能有一些意外的驚喜，讓MIS人員疲於奔 命。如果不幸該企業分公司的地點不止一個，而是遍佈台灣，甚至廣及世界各地，這還會嚴重影響到公司的生產力。為了降低MIS人力在可預期避免危機上的過度 浪費，使其人力得到充分運用，企業經理人必須未雨綢繆，一旦考慮採用VPN，就應該同時規劃當下與未來6到12個月該做的事，在未來評估 ROI(Return on Investment)和TCO(Total Cost of Ownership)、擬定決策、提升效益的流程中，才能順暢無阻。 VPN的規劃面向與思考邏輯 網路規劃並沒有所謂最完美的規劃，只有最適當的規劃。對於規劃VPN，企業經理人有四個必須自問的面向：效能、彈性、安全性、經濟性。 一 效能 目前常用的VPN 架構（產品）分成： 1. Frame Relay（Layer 2，Switching 架構）。 2. ATM（Layer 2，ATM Cell Switching 架構）。 3. MPLS（Layer 2+，IP Switching 架構）。 4. IPSec、L2TP、PPTP（這三種通訊協定皆為點對點邏輯隧道技術，包含資料加密、身分認證技術、密鑰管理技術等結合）。 企業經理人能選用的架構雖然多，但是目前以IP Base的MPLS技術較被重視採用，其原因如下： Standard－適用於現有網路架構標準（設備無須更新） Simple－客戶端架構簡單，適用於大型至小型的VPN需求、維護管理成本低 Security－具有訊框傳送（Frame Relay）同等級的安全性 Future－整合 IP Qos 與 流量控管工程（Traffic Engineering） Felix－無須提供虛擬電路（相對於FR/ATM） 效能上頻寬是另一常見考量。一旦頻寬使用率持續居高不下，企業經理人第一時間該考慮的是清查網管系統的流量紀錄，去除不必要流量並嘗試重導封包傳輸；必要時可採用負載平衡的設備，透過多條對外頻寬以處理頻寬不足問題。效益考量下，經理人不應無前提且無限制的擴充電路頻寬。 二 彈性 VPN的迷人之處，在於相較Internet環境，VPN提供了一個品質保障的頻寬來滿足語音與視訊的傳輸需求，也相對的降低電話費、差旅費的耗用，並增 加溝通（包含教育訓練）頻率，藉以提升公司的競爭力；建置初期，當然不見得也不建議將所有的加值服務一口氣囫圇吞棗建置完畢，但企業經理人必須清楚其 VPN未來是否能彈性的擴充語音與視訊等加值服務，並且自問，長期來看，數據、視訊與語音是分開好，還是整合在單一的VPN解決方案上較符合需求。 三 安全性 雖然VPN是一個完全封閉式的網路，但是企業經理人要明瞭，並非建立起VPN的網路環境後就可以高枕無憂，仍需要許多的配套措施來完成網路安全的防禦機制，原因如下： 1. 對外Internet 需要出口：出口必須透過防火牆（firewall）與Internet 做接觸，所以Internet 上的入侵攻擊事件仍有可能穿透防火牆。目前駭客的入侵手法不斷翻新，經理人除了必須確保VPN架構在企業做內部資料傳輸的安全性，還需要考慮安全上其他可能入侵的管道。 2. E-mail , Web server 對外（對內）的service 需要開放：所以這方面的相關防禦機制仍需建立。 3. Extranet 的通道需要規劃：越來越多企業擁有B2B的網路架構環境，處理自己內部的資料安全固然刻不容緩，如何規劃一個安全的Extranet 環境也是一個重要的課題。簡單而言，該以企業既有的防火牆兼顧Extranet的潛在危機，還是另外購置一套防火牆保護？這是企業遲早必須面臨的課題。 4. 移動式的辦公環境需要防護：隨著筆記型電腦的普及，辦公室內潛在的移動式上網設備與管道，都有可能成為病毒與入侵攻擊事件的跳板。 四 經濟性 規劃網路時，首重成本效益分析。就企業VPN整體建置而言，確實能為企業降低總持有成本，並相對提升資訊的應用效能。以擴充性來檢視VPN，新增節點的成本相較於專線而言便宜50%以上，維護的成本也較低。以MPLS VPN來看，新增一點只需要一路專線（或ADSL）加入，在單純的IP環境下，透過ISP的IP管理即可（如圖）。

網路整體的政策，需配合公司整體維運的考量而設計，事前做好資產評估與風險評估，甚至災難復原計畫。因為資訊化的腳步不斷往前，許多公司賴以生存的關鍵技術或資料都已經資訊化，應該要有相當的投資去建置這樣的系統與政策。 VPN 產業別的特殊需要 市場上不同產業別對於VPN會有不同觀點與衍生需求，這點企業經理人在歸劃本身產業的VPN建置時應有自覺： 製造業 製造業多半在許多地點有不同的生產線，常涵蓋台灣本島甚或全球其他國家，再以總部設在台灣的方式掌控全局。透過VPN可以導入ERP、語音服務、視訊服務，並以此降低營運成本，減少差旅的費用與風險。 服務業 包括餐飲業、百貨零售業、連鎖便利商店的服務業，每天的進出貨、庫存狀況，可透過VPN連線建置，做即時資料處理，若有導入POS系統，更可以在VPN上 做安全與快速的資料交換。此外，導入語音整合的服務可以突顯出VPN建置的邊際效益，讓點對點電話互撥免費。 物流業 物流業有其產業的獨特性，必須全省（跨國）分佈據點，掌控供需時間的敏感度必須極高，也因此資料的快速傳遞，乃是物流業競爭力的展現。導入VPN以後，可 以用最少的人力，建置100個點以上的VPN網路環境。透過有經驗的ISP，能讓複雜度高的網路環境更易於維護。 實際應用 以下為某跨國製造業（A公司）在VPN建置上的實例與架構－ 該公司為傳統製造業，生產工廠在大陸、美洲、東南亞（下方圖形只舉一個工廠做說明），既有網路環境以Internet 方式做資料傳遞，並有遠端連線上來的user 做線上查詢。 其產業挑戰為： 1. Internet 資料安全問題。 2. 大陸工廠的ERP資料有回傳台灣需求。 3. 總公司資料量太大，對外頻寬不容斷線。 4. 有資料庫異地備援與分散流量需求。 5. 各點透過不同ISP 申請Internet，管理不易。

該公司企業經理人與ISP（Seednet）經過討論後，其規劃決策如下： 1. 建立大陸工廠連回台灣的VPN網路環境（如下圖所示）。 2. 總公司與分公司透過 MPLS VPN 整合。 3. 總公司為因應其他分公司的資料量，另外透過一路市內專線承接分公司來的流量，將資料量與通往大陸端的國際加值VPN流量分開。 4. 原有設備（router、firewall）可以繼續沿用。 5. 資料庫主機代管在同一ISP，並透過 IDC－MPLS VPN 與各點界接，如此一來可以確保各分公司存取資料庫的品質，達到分散流量的目的。 6. 資料庫主機代管在透過ISP的專屬式防火牆服務（IDC Firewall service）讓Internet user 進來存取資料。 7. 總公司內設置另一部資料庫主機作為備援系統，藉以達到異地備援的目的。 8. 該ISP具有產品整合經驗，透過7x24小時的網管監控服務，其主機代管、MPLS VPN、防火牆代管與兩岸VPN能單一窗口進行障礙排除。

結論： 企業經理人並非全知全能，也不必要做到全知全能，在決策過程中，首先要確定建置VPN所必須達到的目標重點，並規劃其每項建置目標在時間軸上的優先順序， 其次，要懂得去借重ISP的建置經驗。麻煩的是，雖然每家ISP都會搬弄ROI的公式，但是樣板化公式很難同時適用於各企業獨一無二的網路架構；每個人都 知道MPLS VPN應該是種最經濟的VPN建置方式，但就是有些ISP在結果上讓它更複雜且更難以維護，反而提高了持有成本。因此，找尋一個對VPN產品組合有豐富規 劃建置經驗的ISP就是一件最重要的大事。 第一課：節費之道在於簡化。選擇一個簡化便於維護的VPN架構，就能揮別MIS人力的不必要浪費。簡化流程，跳脫事必躬親的決策思維，讓一個有豐富經驗的ISP，協助你將觸角深入經濟效益的核心。 http://eservice.seed.net.tw/class/class47.html

VPN 新趨勢 MPLS VPN(1)

何謂VPN？ 「虛擬私有網路(VPN)」，簡單的說，就是指在公眾網路架構上所建立的企業網路，且此企業網路擁有與私有網路相同的安全、管理及效能等條件。VPN乃是原有專線式企業私有廣域網路的替代方案。
企業VPN解決方案的種類
《一》私有網路(Private Network) 以租用實體電路的方式，建立企業內點對點的通訊網路，頻寬使用效能低(通常不超過50%)，須自行管理的封閉網路，總公司埠(port)密度高，建置成本昂貴。
《二》虛擬私有網路(Virtual Private Network) ISP建置X.25、Frame-Relay或ATM的網路架構，以虛擬電路(Virtual Circuit)在實體電路上建立連線，達到end to end VPN，連結可提供頻寬保證(CIR)，但不易替客戶建置完全網狀連結(Fully-Meshed)之網路架構，並且缺乏Intranet、Extranet、Remote Access的完成整合能力。
《三》IP VPN IP網路環境中結合Tunneling、Encryption、Authentication Access技術建立的虛擬內部網路。可輕鬆建置完全網狀連結(Fully-Meshed)容易擴充，並且具備Intranet、Extranet或 Remote Access的完全整合能力。這種Layer 3 VPN的解決方案是透過IP Tunnel 建立VPN連線，而IP tunnel技術是將Private IP包在Public IP之後，透過一個公眾網路連結，但還是有Security問題，因此利用IP Security機制將資料封包加密，以達到資料保密的功能。
《四》MPLS VPN 上述企業VPN解決方案的Function都有一些不完美之處，傳統VPN 都是建構在Layer 2的ATM or Frame-Relay網路上，所以服務提供者(ISP)需要建構其Layer 2 Backbone。在IP網路越來越普遍的今天，實在不需再做此方面的擴充，另外在Layer 2骨幹網路提供的VPN解決方案中，在建置及維護VC方面是比較複雜的同時如果要擴展Extranet的網路需求時，則會有相當的困難度。然而Layer 3的IP VPN解決方案，其Security 和QoS上在透過公眾網路時將無法確知效果，所以傳統Layer 2及Layer 3皆有其發展上的限制及問題，於是MPLS VPN解決方案應運而生，其結合了Layer 2及Layer 3的優勢，可以很容易的提供VPN/Intranet/Extranet/Inter-AS VPN，,並且透過MPLS TE(Traffic Engineering)及MPLS Qos的功能保障傳輸的品質。
MPLS VPN Connection Model
P router(LSR)：MPLS網路中的core，負責做 Label Switching。 PE router(ELSR)：MPLS網路中的edge，負責連接客戶端router，負責將客戶的Packet加上Label。 CE router：客戶端router。
PE Router維護兩份獨立的Routing Table
《一》Global Routing Table 和骨幹網路透過IGP交換彼此的路由資訊，包含了所有PE Router、P Router的Routes。 《二》VRF(VPN Routing & Forwarding) 每個VRF對應到各自VPN客戶的Routes，每個VPN客戶的Routes是各自分開獨立的，也就是說PE Router會根據不同的VPN客戶切割分配不同的Routing Table給它，彼此不會互相影響。
分散在各地的PE Router如何交換客戶VPN的Routing information？
《Solution 1》 對於每個客戶獨立執行一個IGP的路由協定，來攜帶客戶的VPN routing information通過骨幹P Router 到達另一節點的PE router交換彼此資訊。
缺點： not scale而且P router需要擁有所有客戶的routing information浪費資源。
《Solution 2》 執行一個路由協定，攜帶所有客戶的VPN routing information通過骨幹P Router到達另一節點的PE router交換彼此資訊。
缺點： P router需要擁有所有客戶的routing information浪費資源。
《Solution 3》 執行一個路由協定，攜帶所有客戶的VPN routing information直接和另一節點的PE router交換彼此資訊，並在骨幹中利用MPLS label來交換PE router間的封包。
優點： P router不需要擁有客戶的routing information，而且可以達成具有Scalability的目的。
選用那一種路由協定來攜帶及交換PE Router間客戶VPN路由資訊？
客戶的routing Information是很多的，唯一能攜帶大量routing information的路由協定就只有BGP，而且BGP也可以直接在PE router間交換客戶的routes。
《一》RD(Route Distinguisher)值簡介 在企業VPN中，很多的情況都有IP重覆使用的問題，如果有兩個VPN客戶使用了相同的網段，那要如何在使用單一路由協定(BGP)下的PE router，區分是不同的客戶的網段，因此在BGP路由協定中加入一些新的Attribute(屬性)，將原來客戶的routing information延伸附加RD這個屬性值，使其客戶的routing information是唯一的。 RD是一個長度64bits的數字，附加於IPv4位址的前面使其達到絕對唯一(global unique)，這樣組合長度為96bits的位址表示法稱為VPNv4。這種VPNv4的位址表示法，只用於PE router之間藉由BGP路由協定來交換，而這種BGP路由協定能支援除了IPv4位址表示法外的其他位址表示法(VPNv4)我們稱之為Multi-protocol BGP。所以在一個簡單的企業VPN架構中，每個客戶都需要有一個RD值，藉以區分每個客戶。
《二》RT(Route Targets)值簡介 Route Targets是額外附加在VPNv4 BGP routes的Attribute(屬性)，用來表示所屬的VPN，例如某一個客戶端的site可能需要參與或加入一個以上的VPN，而RD值無法顯示出 要參與或加入那些VPN，所以需要一個新的方法來顯示出這個VPNv4 BGP routes所屬的VPN，RT這個屬性值就是用在MPLS VPN結構中，支援複雜的VPN型態。 Route Targets是利用延伸原本BGP communities的屬性來使用，我們稱這個屬性為Extended communities。
《三》RT(Route Targets)如何運作
Export route targets 表示其加入成為那一個VPN的成員，也就是說當客戶的routes被轉換成VPNv4時會再附加這個屬性。 Import route targets 每個MPLS VPN客戶的VRF都可選擇要收入什麼樣的routing進入這個VPN客戶的virtual routing table。
結語
本篇文章先描述了現行企業VPN的各種解決方案的特性及優缺點，並且說明發展MPLS VPN技術的原因及其在未來的優勢，接著進一步詳述MPLS VPN的Connection Model及其中P router和PE router的角色。在PE router中為了使企業客戶的routing information各自獨立，設計了VRF的概念，另外更進一步探討如何利用Modified 的BGP路由協定(MP-BGP)來攜帶及交換各節點PE router所擁有的企業VPN routing information，使企業VPN客戶位於全省各節點的網路能夠互通，此外為了解決不同企業VPN客戶中，有很多的情況都有IP重覆使用的問題，因此在routing information中加入了RD的屬性，最後描述為了更彈性的規劃客戶的某個節點可以加入一個以上的VPN群組，而新增了RT這個屬性，由RT值來決定某個節點是否要和另一個節點網路互通，這個概念類似於區域網路的VLAN。 http://eservice.seed.net.tw/class/class14-1.html

VPN 新趨勢 MPLS VPN(2)

MPLS VPN相對於IP VPN的優勢

MPLS VPN很容易provisioning，而且有最佳化的routing，RD的設計可以避免不同VPN客戶IP位址重覆的問題，RT值的加入可規劃複雜型式的VPN架構，是其他企業VPN解決方案所無法做到的。

MPLS VPN routing information建立的過程

《一》IP網路路由的建立 利用routing protocol(例如IGP)交換各個router的routing information。

《二》MPLS網路的建立 MPLS網路中的PE router或P router間利用LDP(Label Distribution Protocol)來交換彼此的Label Information，PE1到PE2 的LSP(Label Switching Path)在Packet傳送前就已決定。

《三》MPLS VPN網路的建立 利用MP-BGP的路由協定來攜帶及交換不同PE router間的客戶VPN routes。PE2將收到CE2的MPLS VPN routes(10.1.1.0/24)放入VRF VPN-A中，並將此VPN routes加上RD值組成VPNv4的format，另外再加上RT值，VPN label等屬性值以Mp-iBGP的協定傳送給PE1 router，PE1 router收到來自PE2 router的VPN-v4 updat將其中的IP address取出放入VRF VPN-A的routing table內並且advertised to CE1。

MPLS VPN封包傳遞的過程

《一》在PE1將進入MPLS網路的客戶端Packet加上VPN label及IGP label 當PE1收到來自CE1的IP packet，得知Packet的Destination IP是10.1.1.27立刻查詢VPN-A的VRF routing table，發現要到10.1.1.0/24的next-hop ip是192.72.238.1，而且要在IP header的前端加上VPN label以區別是來自不同的VPN客戶。另外再根據Label Forwarding Table可以查出要到next-hop ip 192.72.238.1要使用IGP label=41才能Forwarding到MPLS的網路中，所以在VPN label的前端再加上IGP label，這樣才能順利的依循著之前定好的LSP(Label Switching Path)將Packet送達PE2。

《二》在MPLS網路中P router負責做Label Swap P1 routers收到來自PE1的Packet，先查看Packet中最外面的Label header也就是IGP label其值為41，再根據本身的Label Forwarding Table得知，凡是In的Packet IGP Label=41的Packet要送出P1 router到下一個節點P2時，要將IGP label 41置換成31再送出Packet。

《三》Penultimate Hop Popping 在PE1到PE2的LSP path中P2是penultimate hop的角色，他會收到來自PE2透過LDP協定的通知說要把Packet中外層的IGP label先拿掉，以減輕PE2工作的負擔。

《四》PE2負責去除VPN label並送到所屬VPN客戶的interface 當PE2收到來自P2的封包，先查詢得知其VPN label=28，並得知此VPN label=28相對應的VRF為VPN-A這個客戶，進一步得知要將Packets送往那一個interface，因此PE2的工作程序是One single lookup、Label is popped and packet sent to IP neighbor。

結語

本篇文章主要是詳細介紹MPLS VPN如何利用MP-iBGP這個協定來交換各個PE router間客戶的VPN routes，其中應用了新的format VPNv4來攜帶客戶的VPN routes，另外引進了BGP extended community的觀念做Modified，產生了RT這個屬性值以做為建立不同企業或合作夥伴間彈性的Extranet網路架構，最後舉例說明一個 MPLS VPN客戶的Packets如何在MPLS網路中傳送，並到達客戶的另一節點的區域網路，其中可以看到MPLS VPN技術利用VPN label來區別來自不同的VPN客戶的封包，以達到VPN客戶的網路私密性。

http://eservice.seed.net.tw/class/class14-2.html