網路設備及虛擬化

乙太網路 (Ethernet) 的功能架構#

乙太網路是目前最普遍的區域網路 (LAN) 技術，定義於 IEEE 802.3 標準，採用 CSMA/CD（Carrier Sense Multiple Access with Collision Detection）作為存取控制機制。

乙太網路訊框結構#

乙太網路以訊框 (Frame) 為傳輸單位，每個訊框包含標頭、資料與校驗碼。

flowchart LR
    A["前導碼\nPreamble\n8 bytes"] --> B["目的 MAC\nDest MAC\n6 bytes"]
    B --> C["來源 MAC\nSrc MAC\n6 bytes"]
    C --> D["類型/長度\nType/Length\n2 bytes"]
    D --> E["資料\nPayload\n46-1500 bytes"]
    E --> F["FCS\n4 bytes"]

欄位	說明
Preamble（前導碼）	用於同步接收端時脈，其中最後 1 byte 為 SFD（Start Frame Delimiter）標示訊框開始
目的/來源 MAC 位址	標示訊框的收發端硬體位址
Type/Length	指示上層協定類型（如 0x0800 為 IPv4、0x86DD 為 IPv6）或資料長度
Payload（承載資料）	實際傳輸的資料，最小 46 bytes（不足時補零），最大 1500 bytes（即 MTU）
FCS（Frame Check Sequence）	以 CRC-32 校驗訊框完整性

乙太網路速率演進#

標準	速率	介質	最大距離
10BASE-T	10 Mbps	Cat3 UTP	100 m
100BASE-TX	100 Mbps	Cat5 UTP	100 m
1000BASE-T	1 Gbps	Cat5e/Cat6 UTP	100 m
10GBASE-T	10 Gbps	Cat6a/Cat7 UTP	100 m
10GBASE-SR	10 Gbps	多模光纖	300 m
100GBASE-LR4	100 Gbps	單模光纖	10 km

乙太網路命名規則：速率 + BASE（基頻傳輸）+ 介質代號。例如 1000BASE-T 代表 1 Gbps、基頻、雙絞線 (Twisted pair)。

CSMA/CD 運作原理#

載波偵測 (Carrier Sense)：傳送前先偵測線路是否空閒
多重存取 (Multiple Access)：多台裝置共用同一傳輸媒介
碰撞偵測 (Collision Detection)：若偵測到碰撞，雙方停止傳送，各自等待隨機時間後重試

全雙工 (Full-duplex) 模式下，收發使用獨立通道，不會發生碰撞，因此 CSMA/CD 僅在半雙工 (Half-duplex) 環境下運作。現代交換式乙太網路幾乎皆為全雙工，CSMA/CD 已很少被實際觸發。

L2 交換器 (Layer 2 Switch)#

L2 交換器運作於 OSI 資料連結層，依據 MAC 位址表 (MAC Address Table) 進行訊框轉送，是建構區域網路的核心設備。

運作機制#

步驟	動作	說明
1	學習（Learning）	收到訊框時，記錄來源 MAC 位址與對應的連接埠
2	轉送（Forwarding）	查詢 MAC 位址表，將訊框送往目的 MAC 所在的連接埠
3	過濾（Filtering）	若來源與目的在同一連接埠，則不轉送（避免無謂流量）
4	泛洪（Flooding）	若目的 MAC 不在表中，則將訊框送往除來源埠以外的所有連接埠

flowchart TD
    A["收到訊框"] --> B["記錄來源 MAC\n與連接埠對應"]
    B --> C{"目的 MAC\n在表中？"}
    C -->|是| D{"來源埠 =\n目的埠？"}
    C -->|否| E["泛洪\n(Flooding)"]
    D -->|是| F["丟棄\n(Filtering)"]
    D -->|否| G["轉送至\n目的連接埠"]

L2 vs L3 交換器比較#

項目	L2 交換器	L3 交換器
運作層級	資料連結層 (Layer 2)	網路層 (Layer 3)
轉送依據	MAC 位址	IP 位址
路由功能	無	有（硬體路由）
VLAN 間通訊	需外接路由器	可直接路由
典型用途	接入層交換	核心/匯聚層交換

Spanning Tree Protocol (STP)：當網路存在冗餘路徑時，STP 會自動封鎖部分連接埠以消除迴圈 (Loop)，避免廣播風暴。RSTP（Rapid STP）可將收斂時間從 30-50 秒縮短至數秒。

無線區域網路 (Wireless LAN)#

無線區域網路依據 IEEE 802.11 系列標準運作，使用 CSMA/CA（Carrier Sense Multiple Access with Collision Avoidance）取代有線的 CSMA/CD，因為無線環境無法在傳送時同時偵測碰撞。

主要標準比較#

標準	頻段	最大速率	特性
802.11n (Wi-Fi 4)	2.4/5 GHz	600 Mbps	MIMO 技術
802.11ac (Wi-Fi 5)	5 GHz	6.9 Gbps	MU-MIMO、波束成形
802.11ax (Wi-Fi 6)	2.4/5 GHz	9.6 Gbps	OFDMA、BSS Coloring
802.11ax (Wi-Fi 6E)	6 GHz	9.6 Gbps	擴展至 6 GHz 頻段
802.11be (Wi-Fi 7)	2.4/5/6 GHz	46 Gbps	MLO、4096-QAM

無線網路核心元件#

元件	說明
AP（Access Point，無線存取點）	作為無線用戶端與有線網路之間的橋接設備
SSID（Service Set Identifier）	無線網路名稱，用戶端透過 SSID 識別並連線
BSS（Basic Service Set）	由一個 AP 涵蓋的無線服務區域
ESS（Extended Service Set）	多個 AP 透過有線網路串連，組成大範圍的無線服務區域，支援漫遊 (Roaming)

無線安全協定#

協定	加密方式	安全性	備註
WEP	RC4	極低（已破解）	不應使用
WPA	TKIP	低	過渡方案
WPA2	AES-CCMP	高	目前主流
WPA3	AES-GCMP / SAE	極高	建議採用

WEP 加密已被證實可在數分鐘內破解，任何仍使用 WEP 的環境應立即升級至 WPA2 或 WPA3。

Port based VLAN 與 Tag based VLAN#

VLAN（Virtual Local Area Network，虛擬區域網路）透過邏輯方式將一台實體交換器切割為多個獨立的廣播網域，無需額外實體設備即可隔離流量。

Port based VLAN（基於連接埠的 VLAN）#

以交換器的實體連接埠劃分 VLAN 歸屬，每個連接埠只能屬於一個 VLAN。

設定方式：管理員將連接埠靜態指定至特定 VLAN ID
優點：設定簡單直觀
限制：裝置移動至不同連接埠時需重新設定；跨交換器的同一 VLAN 需佔用額外連接埠

Tag based VLAN（基於標籤的 VLAN，IEEE 802.1Q）#

在訊框中插入 VLAN Tag（4 bytes） 標示 VLAN 歸屬，使同一條鏈路可承載多個 VLAN 的流量。

flowchart LR
    subgraph 原始訊框
        A1["目的 MAC"] --> A2["來源 MAC"] --> A3["Type"] --> A4["Payload"] --> A5["FCS"]
    end

    subgraph 802.1Q 標記訊框
        B1["目的 MAC"] --> B2["來源 MAC"] --> B3["802.1Q Tag\n(4 bytes)"] --> B4["Type"] --> B5["Payload"] --> B6["FCS"]
    end

TPID（Tag Protocol Identifier）：固定為 0x8100，標示此訊框含有 VLAN Tag
VID（VLAN Identifier）：12 bits，可表示 0-4095 共 4096 個 VLAN

兩種 VLAN 比較#

項目	Port based VLAN	Tag based VLAN (802.1Q)
劃分依據	實體連接埠	訊框內的 VLAN Tag
跨交換器支援	需為每個 VLAN 佔用獨立鏈路	透過 Trunk 鏈路承載多個 VLAN
連接埠類型	Access Port	Access Port + Trunk Port
彈性	低（依實體位置）	高（依邏輯標籤）
適用場景	小型網路、單一交換器	中大型網路、跨交換器 VLAN

Trunk 與 Access 連接埠#

Access Port：屬於單一 VLAN，連接終端裝置（PC、印表機），訊框不帶 Tag
Trunk Port：承載多個 VLAN 的流量，訊框帶有 802.1Q Tag，用於交換器之間的連線

Native VLAN：Trunk 連接埠上，未加標籤的訊框會被歸入 Native VLAN（預設為 VLAN 1）。為避免安全風險，建議將 Native VLAN 改為非預設值，且兩端交換器的 Native VLAN 必須一致。

VPN（Virtual Private Network，虛擬私人網路）#

VPN 透過加密與隧道 (Tunneling) 技術，在公用網路上建立安全的私有通訊通道，使遠端使用者或分支機構如同直接連線至內部網路。

VPN 核心技術#

技術	說明
隧道（Tunneling）	將原始封包封裝於新的協定標頭中，形成「通道中的通道」
加密（Encryption）	確保封裝後的資料在傳輸途中不可被竊聽
認證（Authentication）	驗證通訊雙方身分，防止偽冒

VPN 類型比較#

類型	運作層級	主要協定	適用場景
Site-to-Site VPN	L3	IPsec	據點對據點連線（總公司與分公司）
Remote Access VPN	L3-L4	IPsec / SSL	遠端使用者連回企業網路
SSL VPN	L4-L7	TLS/SSL	透過瀏覽器即可連線，無需專用客戶端
L2TP/IPsec	L2	L2TP + IPsec	結合 L2 隧道與 IPsec 加密
WireGuard	L3	WireGuard	輕量高效、現代化 VPN 方案

IPsec 的兩種模式#

傳輸模式 (Transport Mode)：僅加密原始封包的 Payload，IP 標頭保持不變；適用於端對端通訊
隧道模式 (Tunnel Mode)：加密整個原始封包並加上新的 IP 標頭；適用於閘道對閘道（Site-to-Site）

SSL VPN 的最大優勢在於只需瀏覽器即可使用，無需在用戶端安裝專用軟體，特別適合 BYOD（Bring Your Own Device）環境。

虛擬化 (Virtualization)#

虛擬化是將實體資源（伺服器、儲存、網路）抽象化為邏輯資源的技術，使多個虛擬環境可共享同一套實體硬體。

伺服器虛擬化#

在一台實體伺服器上執行多個虛擬機 (VM, Virtual Machine)，每個 VM 擁有獨立的作業系統與應用程式。

flowchart TB
    subgraph 實體伺服器
        HW["硬體\n(CPU / RAM / Storage / NIC)"]
        HV["Hypervisor\n(虛擬化層)"]
        HW --> HV
        HV --> VM1["VM 1\nOS + App"]
        HV --> VM2["VM 2\nOS + App"]
        HV --> VM3["VM 3\nOS + App"]
    end

Hypervisor 類型#

類型	說明	範例
Type 1（裸機型）	直接安裝於硬體上，效能最佳	VMware ESXi、Microsoft Hyper-V、KVM
Type 2（主機型）	安裝於現有作業系統之上	VirtualBox、VMware Workstation

容器 (Container) 與虛擬機比較#

項目	虛擬機 (VM)	容器 (Container)
隔離單位	完整 OS	應用程式與其相依套件
啟動速度	分鐘級	秒級
資源佔用	高（每個 VM 有完整 OS）	低（共用 Host OS 核心）
隔離性	強（硬體層級隔離）	中（核心層級隔離）
典型工具	VMware、Hyper-V	Docker、Podman
調度平台	vSphere、OpenStack	Kubernetes、Docker Swarm

虛擬化的核心價值在於資源整合與彈性調度。一台閒置率 90% 的實體伺服器，透過虛擬化可同時承載多個工作負載，大幅提升硬體使用率。

網路虛擬化#

技術	說明
vSwitch（虛擬交換器）	在 Hypervisor 內部模擬 L2 交換器，供 VM 間及 VM 對外通訊
NFV（Network Functions Virtualization）	將防火牆、負載平衡器、路由器等網路功能以軟體形式運行於通用伺服器上
SDN（Software-Defined Networking）	將網路的控制平面（Control Plane）與資料平面（Data Plane）分離，透過中央控制器以軟體方式管理網路

雲端 (Cloud) 架構#

雲端運算透過網路提供隨需 (On-demand) 的運算資源，使用者無需自行建置與維護實體基礎設施。

雲端部署模型#

模型	說明	適用對象
公有雲 (Public Cloud)	由雲端供應商營運，資源共享	一般企業、新創
私有雲 (Private Cloud)	專屬於單一組織，自建或代管	法規要求高的產業（金融、醫療）
混合雲 (Hybrid Cloud)	結合公有雲與私有雲	需兼顧彈性與合規的企業
多雲 (Multi-Cloud)	同時使用多家公有雲供應商	避免供應商鎖定 (Vendor Lock-in)

雲端服務分層架構#

flowchart TB
    subgraph 使用者管理範圍
        APP["應用程式"]
        DATA["資料"]
        RT["Runtime"]
        MW["Middleware"]
        OS["作業系統"]
    end

    subgraph 供應商管理範圍
        VIRT["虛擬化"]
        SRV["伺服器"]
        STR["儲存"]
        NET["網路"]
    end

    APP --> DATA --> RT --> MW --> OS --> VIRT --> SRV --> STR --> NET

上圖為完整的基礎設施堆疊。IaaS、PaaS、SaaS 三種服務模型的差異在於使用者與供應商之間的管理責任分界線在堆疊中的位置不同。

IaaS（Infrastructure as a Service，基礎設施即服務）#

IaaS 提供虛擬化的運算、儲存與網路等基礎設施資源，使用者自行管理作業系統以上的所有層級。

項目	說明
供應商負責	實體硬體、虛擬化層、網路基礎設施
使用者負責	作業系統、中介軟體、Runtime、應用程式、資料
代表服務	AWS EC2、Azure Virtual Machines、GCP Compute Engine
適用場景	需要完整控制 OS 與軟體堆疊的工作負載、自訂網路架構、合規需求

PaaS（Platform as a Service，平台即服務）#

PaaS 在 IaaS 基礎上進一步提供應用程式開發與部署平台，使用者只需專注於程式碼與資料。

項目	說明
供應商負責	硬體、虛擬化、OS、中介軟體、Runtime
使用者負責	應用程式、資料
代表服務	AWS Elastic Beanstalk、Azure App Service、Google App Engine、Heroku
適用場景	快速開發部署 Web 應用、API 服務，不需管理底層基礎設施

SaaS（Software as a Service，軟體即服務）#

SaaS 將完整的應用程式以服務形式透過網路提供，使用者直接使用軟體功能，無需安裝或維護。

項目	說明
供應商負責	全部堆疊（硬體至應用程式）
使用者負責	資料輸入與使用設定
代表服務	Google Workspace、Microsoft 365、Salesforce、Slack
適用場景	企業協作、郵件、CRM 等標準化軟體需求

IaaS / PaaS / SaaS 責任分界#

層級	On-Premises	IaaS	PaaS	SaaS
應用程式	使用者	使用者	使用者	供應商
資料	使用者	使用者	使用者	使用者
Runtime	使用者	使用者	供應商	供應商
中介軟體	使用者	使用者	供應商	供應商
作業系統	使用者	使用者	供應商	供應商
虛擬化	使用者	供應商	供應商	供應商
伺服器	使用者	供應商	供應商	供應商
儲存	使用者	供應商	供應商	供應商
網路	使用者	供應商	供應商	供應商

即使使用 SaaS，資料治理仍為使用者責任。備份策略、存取權限、合規稽核皆不可假手供應商。

雲端服務選擇決策參考

選擇 IaaS：需要完整控制 OS 及軟體環境、執行遺留系統 (Legacy System) 遷移、有自訂網路或安全需求
選擇 PaaS：專注於應用程式開發、希望減少維運負擔、團隊不具備基礎設施管理能力
選擇 SaaS：使用標準化商業軟體、快速導入無需開發、分散式團隊需要即時協作
一般原則：能用 SaaS 就用 SaaS，需要客製化再退到 PaaS，需要完整控制再退到 IaaS