東森新聞速報

2008年7月2日 星期三

什麼是「IPOX 070 」?

什麼是「IPOX 070 」?

網路電話的普及將使得包括視訊電話、視訊會議,甚至是各種網路監控、保全、照護、教學等應用得以快速普及落實,使得市民能以更低廉的成本享受更高質量的生活,企業也能夠取得更低的溝通成本,提供更好的服務,進而提升競爭力。

IPOX 070 是自 2003 年下半年開始推廣網路電話互聯互通的概念,它運作的方式,簡單的說,就是某一個網路電話服務商的寬頻用戶,只要撥打 070 的網路電話專屬門號,透過 IPOX 中心 SIP/Enum 技 術架構操作下,就能夠與另外一個網路服務商的寬頻用戶,進行網路電話互聯互通,它的運作與傳統電話非常相似,只不過是透過網際網路來互相撥打,這樣可以大 大提升你的網路電話使用效益。請試者想想看,若是全世界只有你一個人在使用電話,那麼電話用處就不大,假使大家都有電話,它的使用效益就會很大。


使用「IPOX 070」,您有兩種撥打對象

「IPOX 070 網內互通:對於同樣是屬於「IPOX 070」的使用者,另外的撥打對象是跟您使用的的網路電話服務商即使不是同一家,或者是各縣市政府、各縣市中小學,您撥打給他,或是他撥給您,都是免費互通。有關「IPOX 070 」的免費互通對象,請 隨時查閱相關網站

「IPOX 070」撥到一般電話:參與「IPOX 070 」聯盟的網路電話服務商多半會提供從網路電話撥打到市內、長途、國際、行動電話的「網外」服務,這部份各家業者會提供您不同的訂價與撥打範圍,並不屬於「IPOX 070 」標準服務,但您仍可以根據自身的需要向提供服務的網路電話服務商申購。


「IPOX 070」是一個獨立於現有電話網路之外的網路電話網( VoIP Inter-Network ),雖然它的號碼形式跟現有電話號碼形式類似,但它跟目前現有電話系統是互不相通的,參加「IPOX 070」的網路電話服務業者本身如果同時經營網路電話語音轉售業務( ISR ),會同時提供從「IPOX 070」撥到一般電話的服務,IPOX會視未來的發展,與各業者合作提供一般電話撥入「IPOX 070」網路電話。


「 IPOX 聯盟 」 自 2003 年下半年開始推廣網路電話互聯互通的概念,它運作的方式簡單地說,就是某一個網路電話服務商 (ITSP) 的寬頻用戶,只要撥打 070 的門號,透過 IPOX 中心「 SIP/Enum 技術架構」操作下,就能夠與另外一個網路服務商的寬頻用戶,進行網路電話互聯互通,它的運作與傳統電話非常相似,只不過是透過網際網路來互相撥打,這樣可以大大提升你的網路電話使用效益。請試著想想看,若是全世界只有你一個人在使用電話,那麼電話用處就不大,假使大家都有電話,它的使用效益就會很大,而 IPOX 聯盟的目的就是要促成大家都用網路電話。

截至目前計有 25 家網路服務商向 IPOX 申請了 85 萬門號,已經與 IPOX 聯盟完成系統互聯測試的有 6 家業者,由於技術或者策略上的考量,實際上的 070 商業化產品並未正式推廣。目前已經完成互聯測試,並且開始針對 070 網路電話商品進行商業化銷售的有台灣電訊、北台數網、瑪凱電信 … 等等。詳細狀況請看附表或網站 www.ipox.org.tw 。


E.164 是國際電信組織制定的通信編碼格式,所以現行電信編碼的方式,內含有「國碼」 + 「區碼」 + 「電話號碼」的格式都算 E.164 編碼。這種電信碼的好處是符合國際標準規格,使用者可以跟全球的電信使用者互打。而非 E.164 簡單的說就是不符合 E.164 編碼原則的電信碼。從字義上來看,好像是 E.164 電信碼的編碼格式的功能遠超過非 E.164 編碼格式,但事實上並不是這樣的。例如一個大型企業的內部電話、內部分機的編碼,都是屬於非 E.164 的編碼;另外,隨著 Internet 的盛行,提供網路語音服務逐漸成為重要的網路服務功能,於是形成新的編碼方式有助於相互的聯絡,例如: SKYPE 的編碼方式或者 IPOX 070 的編碼方式;更嚴格的來說,這種網路上的編碼方式,對電腦或網路而言,就像 E-mail 或者 IP 一般,沒什麼不同,只是網路世界的一個位址而已,有些是以 E-mail 的格式呈現,有些是以號碼的格式呈現而有所不同罷了!

IPOX 聯盟在 2003 年下半年推廣網路電話互聯互通概念,並於 2004 年上半年,在與當時的電信總局報備及溝通下,提出 070 十碼的編碼架構,開始推動二類電信業者的網際網路語音互聯互通服務;之後,隨著 SKYPE 的出現,社會上對網路電話的接受度更為提高。電信總局於 2005 年底頒布「網路電話管理規則」將網路電話服務區分為「 E.164 」和「非 E.164 」兩類。當時電信總局有鑒於 070 已經成為網路電話的代稱,因而也沿用 070 字頭,但是思考上認為將來網路電話的用戶,可能會一個人好幾個號碼,因而定義了 E.164 十一碼的 070 網路電話編碼架構。至於其他碼長的 070 號碼,就應該視為個別公司的非 E.164 編碼。

這個可以用早年的傳真機來作比喻,當只有一台傳真機的時候,這台傳真機是毫無用處的,但是隨著傳真機的數量不斷的增加,傳真機的使用價值就不斷的提高,最後傳真機就成為經營企業的必備品。而網路電話也是這樣,前幾年網路電話還只是強調點對點的聯絡,或是設定在企業總部與分支機構間的聯絡而已,這樣的效益就非常有限。透過 IPOX 的編碼及運作機制,你的網路電話就可跟每一個符合同樣編碼方式的網路電話互通,這樣將大大提高您的使用效益。隨著使用人口的增加,使用價值將不斷的增值。

所謂網內電話係指 IPOX 070 網路電話用戶,撥打給另外一位 IPOX 070 網路電話用戶,它的範圍涵蓋整個 internet 之內,跟這位用戶所在地點沒有任何關聯;例如台北的 IPOX 070 用戶打給在歐洲、或者是在美國的 IPOX 070 用戶,都屬於網內電話,現階段網內電話都是免收通話費 。 所謂「網外電話( off-net call )」 係指持 IPOX 070 網路電話用戶撥打傳統電話用戶(包括一般市話、行動電話、國際電話、長途電話)。由於現階段依據相關法規, IPOX 網路電話中心仍然無法和傳統電話體系介接,因此,若您有相關的需求,可以跟您的網路電話服務商( ITSP )聯絡以提供 「網外電話( off-net call )」 服務,也就是俗稱的網路語音下車服務,它的價格非常優惠,可多加利用。

在 IPOX 070 互聯互通基礎上,所提供的網路電話服務,因此您只要認明有 IPOX 070 廠商所提供的產品或服務,都可以和具有 IPOX070 網路電話用戶互通,也可以跟各縣市政府各級學校,或者是各縣市政府公務機關聯絡,

大幅提高您的網路電話使用價值。

符合以下特質的人,都應趕緊申裝 IPOX 070 網路電話:

• 完全無法忍受每月高額電話費者

• 相隔兩地的情人且每日情話綿綿

• 子女在海外且須每日叮嚀及關懷的慈愛長者

• 海外遊子仍不時惦念著家中父母且須每日請安、問好表達孝心者

• 全球各地台商,透過 070 來解鄉愁

• 全球華人心繫台灣的人

只要您的家裏或宿舍有 ADSL 或 Cable 就可以安裝。

070電信法規通過後相關疑問

1.

目前電總何時會開放並提供 E.164 號碼?TTN 要如經營網路電話服務?
電總已經通過相關的二類電信法規修法,針對網路電話分為非E.164 與 E.164 的方式營運。主要差別在於E.164能與行動或市話雙向通話,而非E.164僅能單向撥打到行動或市話,再加上同樣是E.164用戶間通話不用錢,當用戶數夠多時,打的越多省的越多。TTN 已經積極申請 E.164 的門號申請,並且將成為台灣最有實力的網路電話營運業者。

2.

針對目前已經使用 Gogotalk 的用戶將會有何種影響?先前儲值的費用是否會不見?
這點請用戶不要擔心,TTN 將會設計數種E.164號碼換發的方案,讓客戶選擇,讓你功能大升級,發話省錢有一套,隨身號碼受話真方便。對於通話儲值的費用,不會受到影響,我們會原封不動的為你保留,所以請安心購買、儲值與使用 gogotalk 服務。

3.

為何不能直接利用070 的號碼繼續使用?(能夠不換碼嗎?)
原有的070號溤為測試號碼,僅有10碼,而且僅能單向撥打,在電信總局的規劃下,新的 070 號碼共有11碼,除了既有使用舊的 070 號碼的好處節省通話費用外,新的 070 號碼更可以與既有公眾電話網路與手機電話網路介接,讓你除了發話外,有可以受話,讓你網路電話的優勢真正發揮

4.

請問何時才能完成互聯,何時才可以由公眾電話發話,網路電話受話?
電信業者的互聯茲事體大,每家電信業者間都要有實際電路接入,還要測試帳務與話務品質都能正確無誤,所以即使電總已經加快互聯的腳步,但是仍需要業者協商與實際的作業時間,所以請用戶不用擔心,一旦互聯完成,將會於第一時間通知用戶,讓用戶享受網際網路電話的便利

5.

何謂 E.164 網路電話號碼?與其他電話號碼有不同嗎?
E.164 是國際電信組織制定的通信編碼格式,基本上只要符合「國碼」+「區碼」+「電話號碼」的格式都算 E.164 編碼。所以一般我們熟知的 886-2-87883728 也是 E.164 編碼的一種。電總對於網路電話所開放的 E.164 網路電話號碼是以 070 為首的11碼數字。未來互聯後,就可以直接相互發話與通話。

6.

新的E.164 網路電話號碼是否還是可以帶出國使用?(台商節費)
電總規定,台灣的E.164 號碼只能在中華民國境內銷售,不能直接或透過經銷商、代理商在境外銷售,但針對境內用戶依據正常管道與合法的雙證申請取得的網路電話設備與號碼,並無相關的攜出管制,請用戶也安心的購買與使用。

7.

雙向開通時撥給070門號話費計費的問題? 如當我用市話撥給070門號的計價費率?
用手機撥給070門號的計價費率?還有070門號接聽網外來電是否需要付費?

可以確定的是接聽傳統市話(PSTN)和行動電話(PLMN)的來電是不需要收費的。但目前傳統市話撥打 070 或 手機撥打 070 尚需要與固網業者洽談互聯的作業,才能確認相關費用的發生,目前定價部分尚未釐清

8.

目前已經擁有10碼的070門號用戶,如何將10碼升級到11碼,需要哪些手續或證件,時間大約何時開始?
昇碼流程目前TTN台灣電訊正在積極規劃中,一旦確定後,將於第一時間通知用戶,以保障用戶權益



下半年度將正式問世的○七○網路電話,民眾只需要在可以上網的環境,不管手機或PDA,均可使用,而家用電話或市內電話亦可在透過設備連接網路後使用。如果用戶需要出門或出國,只要隨身攜帶 Voice Gateway(語音匝道器)連上網路,就算人在國外,都可以透過用戶端的網路電話設備來撥打電話,不用申請漫遊服務。

換句話說,用戶只要有一組號碼和一台機器,就可以暢遊世界,省去不少通訊上的麻煩。而且因為是透過網路,費率預估會比目前的市話撥號低上三到四成左右。

此外,○七○網路電話和目前使用率最高的Skype最大的不同在於,用Skype撥電話出去,受話方無法根據Skype顯示的來電號碼回撥,但○七○網路電話,發話方本身就擁有一個十一碼的數字,用戶除了可以撥號,也可以回撥。若是漏接電話,還可以再打回去。彌補了Skype只能打出去,受話對方無法打進來的缺點。


原始連結 原始連結1




何謂網路電話

網路電話又稱 VoIP(Voice over IP)或 IP telephony,簡單的說,即是透過網路撥打電話。
網路電話的通訊原理是將語音訊號壓縮成數據資料封包後,在數據網路上即時傳遞,也就是將原為聲音的類比訊號數位化後,透過網路上各相關通訊協定,做點對點的即時通訊。

FTP 的工作原理

FTP 是所有通訊協定裡最特殊的,其他的通訊協定例如 HTTP、SMTP、POP3...都只需要一條連線、一個通訊埠,然而 FTP 卻需要兩條連線、兩個通訊埠。FTP的連線包括兩種不同用途,一個是傳遞客戶端與伺服器之間的Command的,也就是一般我們在設定的FTP通訊埠(預設21)。另一個是資料傳送的連線,FTP資料傳送的模式又分二種:PORT、PASV。兩者主要分別在於它們會向FTP伺服器發出不同的FTP Command。

為了釐清者兩者的差別,以及其工作原理,特別撰寫這篇文章加以說明。

以下的文章,將由 FTP 的工作原理開始介紹,希望能清楚的描述兩者的差別以及正確的設定方式。文章中,我們也將透過實際連線,了解不同模式所傳遞的訊息,這將有助於您未來的故障排除能力。

【基本原理】

FTP 是屬於 TCP 服務的一種, FTP 是所有通訊協定裡最特殊的,其他的通訊協定例如 HTTP、SMTP、POP3...都只需要一個通訊埠,然而 FTP 卻需要兩個通訊埠,一個用來傳遞客戶端與伺服器之間的命令,一般設在 port 21,稱之為命令通訊埠(Command Port);另一個是真正用來傳遞資料的,一般都設在 port 20,稱之為資料通訊埠(Data Port)。

而問題就出在 Data Port !

因為初期定義 FTP 通訊定的時候,並沒有考慮到後來防火牆的發展,使得傳統的 FTP 的工作原理無法完全適用在網際網路環境,因此就發展出了另外一種替代模式的 FTP 連線方式,在這種模式底下,Data Port 不再只是 20,也因此造成很多讀到舊資料的人,認為只要將 20, 21 兩個通訊埠打開,FTP Server 就能正常運作這樣的錯誤觀念。 以下就由傳統模式開始介紹。

【主動式 FTP】

傳統式 FTP 連線方式是採用主動模式,由用戶端隨機使用一個大於 1023 (也就是1024以上)的通訊埠(為了方便說明我們以 port N 來代表),與 FTP 伺服器的命令通訊埠(port 21) 建立連線,同時用戶端自己開啟一個 N+1 的通訊埠等待伺服器連線。伺服器接到用戶端的命令之後,便使用資料通訊埠(port 20)主動與用戶端的 port N+1 建立資料連線。

這樣的模式有點像我們開車去加油的溝通方式,駕駛打開窗戶(port N)對著服務人員(port 21)要求加油命令,同時打開油箱蓋、露出加油孔(port N+1),服務人員及拿著油槍(port 20)對著加油孔(port N+1)加油。

所謂的主動式,是以伺服器的觀點來看。要完成一個主動式連線,伺服器必須提供以下幾個溝通管道:

FTP 伺服器開啟 port 21 接受來自外部任意通訊埠的連線(由用戶端要求建立連線)
FTP 伺服器使用 port 21 連線到外部任一大於 1023 的通訊埠(回應用戶端的命令埠)
FTP 伺服器使用 port 20 連線到外部任一大於 1023 的通訊埠(伺服器主動建立資料連線)
FTP 伺服器開啟 port 20 接受來自外部任一大於 1023 的通訊埠連線 (用戶端回覆伺服器資料連線)

以下我們利用一張圖來做說明:



步驟一、用戶端使用 port 1024 與伺服器建立連線,並提供 port 1025 的資訊給伺服器。

步驟二、伺服器回應用戶端的連線。

步驟三、伺服器主動與用戶端的 port 1025 建立連線。

步驟四、用戶端回覆伺服器。

由以上的說明可以理解,主動式連線的真正問題不在於伺服器,而是在於用戶端的防火牆。由於用戶端程式並不是自行建立資料連線,而是自己開啟一個通訊埠,要求伺服器連線進來,這對用戶端的防火牆來說是一個危險的安全警訊,大部分的網路環境,都不允許防火牆外部的系統連線到內部的用戶端電腦。

以下為實際的主動式 FTP 連線範例,我們以Rainbow FTP Server 與 ezFTP 用戶端程式為例,觀察其連線的訊息。




圖中出現的 PORT 192,168,1,100,6,160 代表用戶端 IP 192.168.1.100, 通訊埠 256*6 + 160,也就是有用戶端只定通訊埠。這和後面要介紹的被動模式完全不同。

【被動式 FTP (PASV)】

為了解決由伺服器連線到用戶端所產生的安全疑慮,因此發展出了另一種不同的連線模式,稱之為被動模式(Passive Mode, PASV)。讓用戶端程式可以在連線的時候,通知伺服器使用動模式連線。

使用被動模式 FTP ,不論命令連線或是資料連線都是由用戶端建立,以解決防火牆以及相關資安問題。當用戶端開啟 FTP 連線時,用戶端程式先在本機開兩個大於1023的通訊埠(N, N+1),利用 port N 與伺服器的 port 21 建立連線。不同於主動模式的連線方式,用戶端這次不再提供 N+1 port 與 IP 位址給伺服器,而是送出 PASV 的命令。伺服器收到 PASV 的命令之後,即開啟一個大於 1023 的通訊埠相機,並將這個通訊埠連同伺服器 IP 回覆給用戶端,被動等待用戶端連線,用戶端即利用 port N+1與伺服器所提供的 port P 建立資料連線。

以伺服器的觀點來看,要完成一個被動式連線,伺服器必須提供以下幾個溝通管道:

FTP 伺服器開啟 port 21 接受來自外部任意通訊埠的連線(由用戶端要求建立連線)
FTP 伺服器使用 port 21 連線到外部任一大於 1023 的通訊埠(回應用戶端的命令埠)
FTP 伺服器開啟一個大於 1023 的通訊埠,接受來自外部任一大於 1023 的通訊埠連線 (用戶端與伺服器建立資料連線)
FTP 伺服器使用一個大於 1023 的通訊埠,連線到外部任一大於 1023 的通訊埠(伺服器回復資料給用戶端)
以下我們利用一張圖來做說明:



步驟一、用戶端使用 port 1024 與伺服器建立連線,並發出 PASV 的要求。
步驟二、伺服器回應用戶端的連線,並通知用戶端,伺服器已開啟 port 1120 等待資料連線。
步驟三、用戶端使用 port 1025 與伺服器的 port 1120 建立資料連線。
步驟四、伺服器回覆用戶端。

使用被動模式雖然解決了用戶端的問題,卻也為伺服器帶來了一些問題,最大的問題在於伺服器必須開啟一定範圍的通訊埠供用戶端連線,好在目前絕大部分的 FTP 伺服器軟體,皆可以由管理者決定開啟哪些範圍的通訊埠。

另一個問題則是部分作業系統提供的的FTP命令列,不支援被動模式,因此必須使用其他的用戶端程式。

以下為實際的被動式 FTP 連線範例,我們以Rainbow FTP Server 與 ezFTP 用戶端程式為例,觀察其連線的訊息。



請注意紅色箭頭標式的部份,前一行用戶端程式發出 PASV 的命令,伺服器則回應 210,202,94,228,8,0,也就是由伺服器開啟 256*8 +0 這個通訊埠,等待用戶端連線。



以下做個簡單的總結:

主動式 FTP :

命令連線: 用戶端 port N --> 伺服器 port 21

資料連線: 伺服器 port 20 --> 用戶端 N+1

被動式 FTP :

命令連線: 用戶端 port N --> 伺服器 port 21

資料連線: 用戶端 port N+1 --> 伺服器 port P

其中 N、P 都必須大於 1023

兩種模式各有優缺點,主動模式對伺服器來說比較安全,但對用戶端來說卻是可能帶來危險,因此很可能被用戶端的防火牆所阻擋了。使用被動模式雖然解決了用戶端的問題,但相對的伺服器必須開啟一定範圍的通訊埠供用戶端連線,好在目前絕大部分的 FTP 伺服器軟體,皆可以由管理者決定開啟哪些範圍的通訊埠。

特別注意的是,要使用那種模式連線是由用戶端決定(發出 PORT 或是 PASV 命令),但是伺服器卻可決定要不要支援這種模式的連線。


目前絕大部分的用戶端都不允許外部連線進來,因此如果您要提供給外部連線,您的 FTP Server 最好支援 PASV 模式,否則您的客戶可能無法正常連線。
症狀:登入成功,但是一片空白,或是告訴您權限不夠...

使用 PASV 模式,Server 必須開啟 1024 ~65535 之間的通訊部,不過目前的 FTP Server 都允取設定一定範圍,例如平常最大連線只有 10 個人,那就開 1024~1033 就好了(這是理論值),如果要讓連線順暢,最好開個兩倍以上,例如 1024~1048,這樣 Server 就會在這範圍內開啟資料連線通訊部(DATA PORT)。

Server 設定好之後,您必須設定防火牆或寬頻分享器,將這些 Port 對應到您的 FTP Server。

有關寬頻分享器的設定,您可以參考線上教學課程。

以下幾項重點請參考:
1.使用什麼模式,是由 Client 決定,所以開啟 PASV 模式,只是代表 Server [可以]接受這種模式,原有 PORT 模式還使可以用。

2.如果是在 Lan 裡面使用,因為都在防火牆內,可以不需要使用 PASV 模式,全部使用 PORT 模式。不過因為作業系統防火牆的問題,Client 端將會出現警告訊息

這是因為 Server要連線到Client的原因。您必須解除封鎖。

3. IE 預設是 PASV 模式,因此鄉民流傳一句話[IE很爛,不要用它當作 FTP Client],雖然有點爛,但不能全部叫他背黑鍋,原因在於很多人的 FTP Server 不支援或是沒設定好 PASV 模式,但是 IE 預設又是 PASV ,所以不通,只要到IE的 [工具] -> [網際網路選項] ->[進階] 往下拉找到 [瀏覽],其中有一個選項[使用被動式 FTP],把勾勾取消就變成 PORT 模式了。

原文網址

2008年6月30日 星期一

DNS Report 所有訊息詳細說明

DNS Report 所有訊息詳細說明
---------------------------
**官方網站 http://www.dnsreport.com **
DNS Report的分析分為6大部份, 共有51個小項
第一大項: Parent (網域根節點), 有五個小項:

1. Missing Direct Parent check: 檢查看看你有沒有上層網域的設定(這設定不是你的
DNS可以動的,主要是看你申請網名的上層網域的設定).
2. NS Records at parent servers: 檢查Root 伺服器看看有沒有你這個網域
的設定值,通常這個部分都不會錯,不然你的網域就沒人找的到了.
3. Parent nameservers have your nameservers listed: 跟第二個選項一樣,只是第二個選
項會把資料顯示出來.
4. Glue at parent nameservers: 檢查你在Root 伺服器設定的IP跟Hostname實際連線的測試.
5. DNS servers have A records: 檢查你的DNS Server是不是有主機設定的紀錄.

**第二大項: NS (Name Server, 網域伺服器主機),有16小項:**

1. NS records at your nameservers: 檢查你的伺服器上面的NS紀錄,有紀錄的話會列出來.
2. Mismatched glue:檢查你所提供的DNS紀錄是否有錯誤.
3. No NS A records at nameservers: 檢查nameserver上是否有不適當的NS的A紀錄.
4. All nameservers report identical NS records: 檢查所有nameserver與Root 伺服器上面所有NS紀錄的分析.
PS:常見的問題是幾個伺服器的設定值沒有相同,或是沒有NS紀錄(補上就好了)
5. All nameservers respond: 檢查所有的伺服器是不是有回應,只要其中之一有回應就好了.
6. Nameserver name validity : 檢查NS紀錄有沒有問題,大部分不會出錯.
7. Number of nameservers : 檢查NS的個數,一般來說會要求你設定3個,但其實一個就可以了,不放心的話多給他一個Name就好.
8. Lame nameservers: 檢查是否有沒用的nameserver,就是只設定為NS,可是卻沒有放任何實際的資料在上面.
9. Missing (stealth) nameservers: 檢查nameserver的資料是否正確.
10. Missing nameservers 2: 檢查是不是有沒有回應的nameserver資料,如果Root伺服器上面登
記的Name Server有很多個,但有幾個是沒有回應的,就會被列在這兒.
11. No CNAMEs for domain: 檢查你的Domain 是不是使用別名設定.
12. No NSs with CNAMEs: 檢查你的NS是否有使用別名.
13. Nameservers on separate class C''s: 檢查你的Nameserver是不是都在同一個Class C的網路,
不要把所有的DNS放在同一個Class C的網路裡面比較好,免得你網路一掛就什麼都沒了.
14. All NS IPs public: 檢查所有的 NS是否都是真實IP.
15. Nameservers versions: 檢查 Nameserver的版本.
16. Stealth NS record leakage: 檢查你的 DNS Server是否有洩漏SOA的紀錄.

第三大項: SOA (網域紀錄) 共有9小項:
1. SOA record: 檢查是否有SOA紀錄,這個不會有問題的,有問題的話你的網域就不存在了.
2. NS agreement on SOA serial #: 檢查SOA紀錄裡面的版本號碼,各個DNS的回報必須一樣,表示所有的DNS Server資料版本一致,
這也不致出錯, 除非你剛更新紀錄.
3. SOA MNAME Check: 檢查 SOA的主控機器名稱是不是跟Root DNS登記的一
致,如果不一致會警告你(不一致也不會怎樣),通常用Windows Server比較會不一致,
因為他會用WINS抓自己的名字來放MName這個欄位, MName就是DNSD新增一個網域那個對話盒裡面的 "網域主控機器名稱"這個欄位.
4. SOA RNAME Check: 檢查 SOA的命名是不是有一個可以聯絡的Email位址,
但是不要在裡面使用 ''@'' 這個字元喔, 要用 ''.'' 代替 ''@''
5. SOA Serial Number: 檢查 SOA的序號, 通常序號都是用日期來表
示, DNSD這個部分是絕不會出錯的.因為是自動產生的.
6. SOA REFRESH value : 檢查 SOA 更新的反應時間, 通常依照RFC的建議值是
3600到7200秒之間,但實際上,短一點也不會怎樣.
7. SOA RETRY value: 檢查 SOA 重試的反應時間, 通常依照RFC的建議值是
120到7200秒之間,但實際上,短一點也不會怎樣.
8. SOA EXPIRE value: 檢查 SOA 終止回應的反應時間,通常依照RFC的建議值是
1209600到2419200秒之間,但實際上,短一點也不會怎樣.
9. SOA MINIMUM TTL value: 檢查 SOA 最小值的反應時間,通常依照RFC的建議值
是86400秒, 但實際上,短一點也不會怎樣.

第四大項: MX (郵件交換紀錄) 共有10小項:

1. MX Record: 檢查看有沒有MX紀錄,有的話則列出.
2. Invalid characters: 檢查是否有無效的郵件主機的MX紀錄.
3. All MX IPs public: 查看是否所有的MX紀錄都有真實的IP位址.
4. MX records are not CNAMEs: 檢查你的MX紀錄裡面的郵件主機是不是用別名來設
定的.
5. MX A lookups have no CNAMEs: 檢查是不是有MX的A紀錄,而不是用別名來設定的.
6. MX is host name, not IP: 檢查你的MX紀錄是不是完整的FQDN,而不是IP位址,這在DNSD裡面就是一個檢查的要項.
7. Multiple MX records: 檢查你是不是設定了多個MX紀錄,以免第一個郵件主機掛了以後沒人承接你的郵件.
8.Differing MX-A records: 檢查是否有不同的IP有你MX的A紀錄.
9.Duplicate MX records: 檢查是否有不同的IP有你MX紀錄.
10. Reverse DNS entries for MX records: 檢查你的郵件主機的IP紀錄有
沒有設定反查紀錄, 沒有的話請補上, 雖然不會造成什麼影響, 只是有的ISP的郵件若沒有設定反查紀錄會不收你的信.

第五大項: Mail (檢查你的 Mail Server) 有8小項:

1. Connect to mail servers: 檢查看與你的郵件主機連結是否有問題.
2. Mail server host name in greeting: 檢查看你設定的郵件主機的名稱有
沒有在郵件服務的第一個時間內,回應正確的訊息.
3. Acceptance of NULL <> sender: 檢查是否可以接受以尖括號 括起來的Email帳號.
4. Acceptance of postmaster address: 檢查你的Mail Server裡面有沒
有postmaster這個帳號,這是在RFC裡面建議要加的,不過不加也不會怎樣.
5. Acceptance of abuse address: 檢查你的Mail Server裡面有沒
有abuse這個帳號,這是在RFC裡面建議要加的,不過不加也不會怎樣.
6.Acceptance of domain literals: 查看是否有建立帳號管理員帳號(postmaster帳號),
以方便當信件有問題時,可以寄送到帳號管理員(postmaster帳號).
7. Open relay test: 檢查你的Mail Server有沒有代轉信件的功能(Relay).
8. SPF record: 檢查你是否有SPF紀錄,也就是查看你有沒有第三方寄發管理機制的機構,
通常一般公司都不會去申請第三方寄發管理機制.

第六大項: WWW (查詢你的WWW紀錄) 共有3小項:

1. WWW Record: 看看你的紀錄裡面有沒有 www這個名稱的紀錄.
2. All WWW IPs public: 查看你是否有設定WWW的紀錄.
3. CNAME Lookup : 看看你的WWW名稱是不是用別名, 因為別名會多查一次, 多佔一些些的頻寬,建議用A紀錄來做.

2008年6月29日 星期日

IEEE802.1p QoS

端到端QoS技術    ASIC技術的高速發展使低端設備具備強大的QoS能力成為可能,網路的QoS開始從集中保證逐漸向端到端保證過渡。現在,網路邊緣設備已經可以根據埠、 MAC位址、VLAN資訊、IP位址甚至更高層的資訊來識別應用類型,為資料包打上優先順序標記(如修改IEEE802。1p或IPDiffServ 域),核心設備不用對應用進行識別,只需根據IPDiffServ和IEEE802。1P進行交換,並提供服務品質即可。這種智慧的QoS功能也是基於晶 片的64位元組以上的處理深度發展起來的。


基于端口的划分流量优先级服务

  交换机所有端口都支持两个优先级的队列:低优先级队列和高优先级队列,通过对端口

  进行优先级的划分,可以确保重要的应用能够优先得到服务。

  基于端口划分的流量优先级服务只对没有标记的数据帧起作用,基于IEEE802.1p标准来

  划分服务优先级只对标记的数据帧起作用。这两种划分方法互相补充,交换机都支持。

  但当使用两种标准时,只在当数据帧离开交换机时起作用。

  注:标记的数据帧指当采用IEEE802.1p/Q,ISL或其它技术时,当数据帧经过交换机时,

  会被交换机标记(增加标记的区域)。

關於IEEE802.1p QoS 設置

請問設置QOS的值是越大優先級越高還是小的級別高

越大優先級越高,優先級為0是最小的級別。



IEEE802.1p的運作原理

從上面這張圖我們可以很清楚看到
在正常封包格式中加入一個4 BYTES 的 TAG CONTROL INFO
叫做802.3ac標籤格式

在這個 4 BYTES的TAG中
前面 2 BYTES固定是 8100h
這個用意是告訴所有的網路設備
1.我是一個具備802.3ac標籤格式的封包
不是一個不標準的封包
請不要拋棄我

2.我是一個帶有802.1p/Q資訊的封包
請來讀相關的資訊並且根據設定的資訊辦事

看不懂8100h會把封包當不正常封包丟掉的設備就是不相容不支援802.1p/Q
看的懂8100h不會丟封包但卻不會照資訊辦事的網路設備就是相容802.1p/Q
看的懂8100h不會丟封包也會照資訊辦事的網路設備就是支援802.1p/Q
會特別寫出第2行的相容是因為在當初標準剛出來時
有些過渡性的產品就是這樣亂搞的

接下來我們來看後面 2 個 BYTES
前面 3 個 bits就是放IEEE802.1p設定資訊的地方
大家都知道 2 的 3 次方是 8
所以這裡總共可以表現出0-7共八個優先權等級
於是封包之間的優先權就被區分出來

當優先權被區分出來時
就要靠網路設備上的佇列來實現先後的順序
以上面這張圖為例
網路卡上有2個佇列
當封包內的802.1p資訊設定為0-3時就走一般佇列
當封包內的802.1p資訊設定為4-7時就走高優先權佇列
一般的網路設備都會有2個/4個/8個佇列就是為了實現這八個優先權等級
看到這兒各位看倌應該就了解整個IEEE802.1p的運作原理吧



IP Type of Service

This classification type is based on an exact match of the one-byte ToS/DSCP field contained in the IP header of a frame. The ToS (Type of Service) or DSCP (Diffserve Codepoint) value is defined by an 8-bit hexadecimal number between 0 and FF. Enter a value or click Select to open a window where you can generate a hex value. For information on how to generate a ToS or DSCP value, see ToS/DSCP Configuration window.

Type of Service can be used by applications to indicate priority and Quality of Service for each frame. The level of service is determined by a set of service parameters which provide a three way trade-off between low-delay, high-reliability, and high-throughput. The use of service parameters may increase the cost of service. In many networks, better performance for one of these parameters is coupled with worse performance on another. Except for very unusual cases, at most, two of the parameters should be set.

"IP precedence 使用前3bit; ToS 使用4-7 bit, 最后一位备用;"

"DSCP 使用0-5bit, 最后两位备用;"

For a ToS value, the 8-bit hexadecimal number breaks down as follows:

Bits 0-2: Precedence
Bit 3: 0=Normal Delay, 1=Low Delay
Bit 4: 0=Normal Throughput, 1=High Throughput
Bit 5: 0=Normal Reliability, 1=High Reliability
Bits 6-7: Explicit Congestion Notification

########################

0 1 2 3 4 5 6 7
+-----+-----+-----+-----+-----+-----+-----+-----+
| | | | | | |
| PRECEDENCE | D | T | R | 0 | 0 |
| | | | | | |
+-----+-----+-----+-----+-----+-----+-----+-----+

#########################

The precedence bits (bits 0-2) break down as follows:

111 - Network Control
110 - Internetwork Control
101 - CRITIC/ECP
100 - Flash Override
011 - Flash
010 - Immediate
001 - Priority
000 - Routine

The Network Control precedence designation is intended to be used within a network only. The actual use and control of that designation is up to each network. The Internetwork Control designation is intended for use by gateway originators only.

For a DSCP value, the value represents codepoints for two Differentiated Services (DS) Per-Hop-Behavior (PHB) groups called Expedited Forwarding (EF) and Assured Forwarding (AF). For more information on these PHB groups, refer to RFC 2597 and RFC 2598.

########################################################

在IP网络中,IPv4报文中有三种承载QoS优先级标签的方式,分别为基于二层的CoS字段(IEEE802.1p)的优先级、基于IP层的IP 优先级字段ToS优先级和基于IP层的DSCP(Differentiated Services Codepoint)字段优先级。每种优先级的定义如下:

  (1) IEEE802.1p优先级

  它是位于二层带标签的以太网帧的CoS字段,和VLAN ID在一起使用,在字节中的位置如下:

  其中:IEEE802.1p优先级:3bit(P2-P0)
  未用(CU):1bit
  VLAN ID:12bit(V11-V0)
   IEEE802.1p优先级值有8个(0-7),0优先级最低,7优先级最高。报文分为三种情况:带优先级和VLAN ID的标签报文,其优先级值是自身带的值;只带优先级的标签报文,此时VLAN ID为0,其优先级值是自身带的值;未带标签的报文,一般默认的优先级值为0,也可以进行更改指定新的优先级。

  (2) IP优先级

  它由IP分组报头中的服务类型(ToS)字节中的3位组成,其在字节中的位置如下:

  P2 P1 P0 T3 T2 T1 T0 CU

  其中:IP优先级:3bit(P2-P0)
  服务类型(ToS):4bit(T3-T0)
  未用(CU):1bit
  IP优先级值有8个(0-7),0优先级最低,7优先级最高。在默认情况下,IP优先级6和7用于网络控制通讯使用,不推荐用户使用。ToS字段的服务类型未能在现有的IP网络中普及使用。

  (3) DSCP优先级

  它由IP分组报头中的6位组成,使用的是ToS字节,因此在使用DSCP后,该字节也被称为DSCP字节。其在字节中的位置如下:

  DS5 DS4 DS3 DS2 DS1 DS0 CU CU

  其中:DSCP优先级:6bit(DS5-DS0)
  未用(CU):2bit
  DSCP优先级值有64个(0-63),0 优先级最低,63优先级最高。事实上DSCP字段是IP优先级字段的超集,DSCP字段的定义向后与IP优先级字段兼容。目前定义的DSCP有默认的 DSCP,值为0;类选择器DSCP,定义为向后与IP优先级兼容,值为(8,16,24,32,40,48,56);加速转发(EF),一般用于低延迟 的服务,推荐值为46(101110);确定转发(AF),定义了4个服务等级,每个服务等级有3个下降过程,因此使用了12个DSCP值 ((10,12,14),(18,20,22),(26,28,30),(34,36,38))。

#############################################

IP precedence和DSCP代码对照表


原文連結

http://drupal.morezman.com/?q=node/28

http://wordpress.morezman.com/?p=93
http://blog.chinaitlab.com/html/72/272272-160029.html
http://www.juniper.net/techpubs/software/junos/junos76/swconfig76-network-interfaces/html/interfaces-summary153.html

現在對外IP