1 裝設簡單以太網絡:硬件、佈線與資源共享
重點
- 能指出 網絡界面卡(NIC)、交換器(switch)、路由器(router) 在以太網(Ethernet)中的分工。
- 能分辨 區域網絡(LAN) 與 廣域網絡(WAN),並理解「WAN 口/LAN 口」的實際含義。
- 明白「插好網線」並不等於「一定可上網」:互聯網協定(IP)位址、子網遮罩、預設閘道、網域名稱系統(DNS)都缺一不可。
- 能以「硬件/檔案/軟件(服務)」三個角度,說明網絡如何支援共用網絡資源,並指出常見風險(誤刪、越權、洩密)。
- 能在模擬器中完成基本「家居佈線」任務:建立 LAN、設定 IP、測試連線與存取共享資源。
以太網(Ethernet)是最常見的「有線」區域網絡(LAN)技術。它利用網線把多部裝置接入同一個網絡,讓裝置之間能傳送資料與共用資源。
「裝設簡單以太網絡」通常包含三部分:
- 硬件:網絡界面卡(NIC)、網線/水晶頭、交換器、(需要對外時)路由器。
- 連接:把裝置以正確拓撲接駁(例如:多部電腦 → 交換器 → 路由器)。
- 配置與測試:確認 IP/子網遮罩/預設閘道/DNS 正確,並用 Ping 等方法檢查連線。
定義:網絡界面卡(Network Interface Card, NIC)是裝置連接網絡的硬件,可為內置或外置。
原理/運作:
- NIC 主要在資料鏈路層工作,擁有獨一無二的媒介接達控制(MAC)位址(可理解為「硬件身份」)。
- 它把資料封裝成以太網幀(frame)在 LAN 內收發,並負責協調收發時序、錯誤檢測等。
- 速度常見為 1Gbps/2.5Gbps/10Gbps;多數支援自動協商(auto‑negotiation)與全雙工(full‑duplex)。
例子:桌上電腦的 RJ‑45 網口、USB‑to‑Ethernet 外置網卡。
比較:NIC 像「車輪」,負責把車(電腦)開上道路(網絡);但道路是否通往目的地,仍取決於交換器/路由器及配置。
常見錯誤:驅動程式(driver)不正確會出現「插線但不能連線」;或誤以為 NIC 有燈號就代表已可上網。
定義:交換器用於在同一個 LAN 內連接多部有線裝置,並把資料幀轉送到正確端口。
原理/運作:
- 交換器主要依賴MAC 位址表(MAC table)學習「哪個 MAC 連在哪個端口」。
- 同一 LAN 內的電腦互傳資料、共享檔案、共享打印機,多數由交換器完成資料轉送。
- 一般家用交換器屬「即插即用」,但它不負責把 LAN 連到互聯網,也不做 NAT。
例子:家中需要更多 LAN 口時,使用 8‑port 交換器接駁多部電腦。
比較:交換器處理「同一網段內」的轉送;路由器負責「跨網段」的路由。
常見錯誤:把交換器當成「上網設備」:只有交換器沒有路由器/閘道,通常不能到達其他網絡。
定義:路由器負責連接不同網絡,並按 IP 位址與路由表決定資料往哪個網絡送出。
原理/運作:
- 路由器主要在網絡層工作,以 IP 位址作判斷依據。
- 家用路由器通常同時內置:網址端轉換(NAT)、動態主機配置協定(DHCP)、基本防火牆、以及無線功能。
- 「預設閘道(default gateway)」通常就是 LAN 內那個路由器介面 IP(例如 192.168.1.1)。
例子:把家中 LAN 連到 ISP 的 WAN;或在校園內把不同子網段互相連接。
比較:路由器像「出入口/關口」:LAN 內部交流不一定需要它,但要到另一個網段(或互聯網)就需要它。
常見錯誤:WAN/LAN 插錯、閘道或 DNS 設錯,會出現「內網互通但不能開網頁」等問題。
市面常見的「無線路由器」多為多功能一體機,常把下列功能放在同一部機內:
- 路由器:LAN ↔ WAN 路由、NAT(網址端轉換)。
- 交換器:提供多個 LAN 口。
- 網絡接達點(AP):提供 Wi‑Fi(SSID)。
- DHCP 伺服器:自動派發 IP/子網遮罩/預設閘道/DNS。
易混淆點:「有 Wi‑Fi」不代表一定有路由功能;Wi‑Fi 只代表 AP 功能存在,真正讓你「出網」的是路由/NAT 與正確閘道設定。
典型接駁:(ISP)→ 數據機 →(WAN)路由器(LAN)→ 交換器 → 多部電腦/工作站
共享資源:同一 LAN 內可共用文件伺服器、網絡打印機;路由器可讓多部裝置共用同一條互聯網連線。
臨時網絡例子:小型展覽/活動:路由器 + 交換器 + 兩個 AP,為攤位電腦與流動裝置提供內聯網與上網連線。
- 只測「有沒有連上 Wi‑Fi/插線」:連上只是第一步,仍要檢查 IP、子網遮罩、預設閘道、DNS。
- DNS 留空或錯誤:可能出現「Ping 到 IP 可以,但打網址開不到」的情況。
- 同一網段概念混亂:IP 與子網遮罩不匹配,導致裝置互相找不到。
- 把交換器當作路由器:LAN 內可互通,但無法到達其他網段。
- 忽略安全:共享資料夾未設權限、Wi‑Fi 使用弱加密,容易造成洩密或被入侵。
中等程度介紹
以太網是最常見的有線區域網絡技術。在家居或小型活動中,最基本的做法是:先確保每部電腦或工作站具備網絡界面卡(NIC),再以網線把多部裝置接到交換器;如需要連接其他網段或互聯網,則必須再接上路由器作為「預設閘道」。
不少同學會把「物理接駁」與「網絡配置」混為一談:即使網線已插好,裝置仍需要正確的 IP 位址、子網遮罩及預設閘道,才能找到「下一跳」;同時也需要網域名稱系統(DNS),才可把網址轉換為 IP 位址,以便瀏覽網頁。換言之,硬件連上並不必然代表網絡可用。
學習基本網絡實施的價值,在於能把「設備角色」串成一條完整流程:工作站透過 NIC 送出幀,交換器按 MAC 位址表轉送到正確端口;而到達其他網段時,則交由路由器按 IP 位址作路由決策。理解這條流程後,面對「上不到網」或「找不到共享資源」等情況,就能有系統地逐步排查。
為何需要網絡:共用網絡資源(硬件/檔案/服務)
在真實環境中,建立網絡的核心目的通常不是「讓每部裝置各自獨立運作」,而是讓多部裝置能共用同一批資源,提升效率與可管理性。
1) 硬件共享(Hardware Sharing)
- 共享打印機:多部工作站使用同一部網絡打印機。
- 共享儲存:以 NAS/文件伺服器集中存放資料。
常見風險:單點故障(設備壞了多人受影響);要做好權限與備份。
2) 檔案共享(File Sharing)
- 教材、專題、相片集中在共享資料夾,便於協作。
- 配合權限:誰可讀、誰可改、誰可刪,避免誤刪或洩密。
常見風險:權限過鬆導致越權存取;缺乏版本與備份導致資料損失。
3) 軟件/服務共享(Service Sharing)
- 例如:萬維網服務、數據庫服務、校內平台。
- 用戶端只需瀏覽器或簡單程式即可使用。
常見風險:伺服器停機影響多人;需處理帳戶管理與安全漏洞。
小遊戲:家居佈線(模擬器)
下面的小遊戲以「拖放+連線」方式練習基本佈線與配置。模擬器主要聚焦於 LAN 內部的佈線、IP 與服務配置;現實中的「數據機 → ISP」部分,會以「連接另一個網段」作替代示範。
任務(由易到難)
- 建立同一個 LAN:加入 1 部交換器+2 部工作站,全部以網線連到交換器;為兩部工作站設定同一網段的 IP(例如 192.168.10.11/24、192.168.10.12/24),用 Ping 測試互通。
- 加入「出入口」概念:加入 1 部路由器,讓工作站所在網段接到路由器介面(例如 192.168.10.1/24);再建立第二個網段(例如 10.0.0.0/24)並放置一部伺服器作「外部服務」,測試跨網段 Ping。
- 加入「共享資源」:在伺服器啟用一項服務(例如文件伺服器或萬維網服務),讓兩部工作站以瀏覽器/檔案存取方式使用該資源。
提示:若遇到「Ping 不通」,先檢查兩端 IP/子網遮罩是否在同一網段;若跨網段,則檢查預設閘道及路由器介面設定。
Check Point 1:以太網絡與佈線
完成小測後,應能準確分辨 NIC/交換器/路由器的角色,並理解 IP/閘道/DNS 的必要性。
2 裝設簡單無線網絡:路由器+兩個網絡接達點(AP)+Wi‑Fi 漫遊
重點
- 能解釋 SSID(Wi‑Fi 網絡名稱)、密碼(PSK)與加密的關係,並說明為何需要加密保護。
- 能分辨「路由器」與「網絡接達點(AP)」:路由器負責閘道/路由;AP 主要提供無線接入。
- 理解兩個 AP 要支援「漫遊」,通常需要使用相同 SSID、相同加密方式、相同密碼(亦需考慮訊號覆蓋與裝置行為)。
- 能指出常見無線風險:弱加密/公用密碼/訪客網絡未隔離等。
無線網絡(Wi‑Fi)是以無線電波連接裝置的網絡技術,常見於家居、校園與活動場地。它通常仍會「回到」有線 LAN(例如經交換器)再連到路由器或伺服器。
網絡接達點(Access Point, AP)的核心角色是「讓無線裝置接入同一個 LAN」。
- SSID:Wi‑Fi 的網絡名稱,用戶在清單中看到的就是 SSID。
- 加密:保護無線傳輸內容,避免旁人截取資料。常見做法是 WPA2‑PSK 或 WPA3。
- 密碼(PSK):讓裝置取得加入網絡所需的憑證;沒有正確密碼(或憑證)就不能成功連線。
- 訪客網絡:把訪客與內部裝置分隔,減少安全風險(例如避免訪客掃描內部共享資料夾)。
在小型展覽/特別活動中,常見做法是:
- 1 部路由器(作閘道、NAT、DHCP)
- 2 部 AP(分別覆蓋不同角落,並以網線接回交換器)
- 流動裝置在場內走動時,訊號變弱便切換到較強的 AP,維持連線體驗。
- AP:提供 Wi‑Fi 接入,通常不做路由/NAT。
- 路由器:連接不同網絡、提供預設閘道;家用型常同時內置 AP 與交換器。
- 一體機:把路由+交換+AP+DHCP 放在同一部機內,使用方便,但概念較易混淆。
- 兩個 AP 設定不一致:SSID 或加密/密碼不同,會導致漫遊失敗或頻繁斷線。
- 使用弱加密:例如有線等效加密(WEP)安全性很弱,應避免使用。
- 把 AP 當作路由器:AP 只提供接入;若沒有正確閘道/DHCP,裝置可能「連上 Wi‑Fi 但不能上網」。
- 密碼管理鬆散:公用密碼長期不換、貼在牆上,容易造成未授權存取。
中等程度介紹
無線網絡讓流動裝置不需拉網線也能加入網絡,但無線連線本質上更容易受到距離、阻擋物、干擾等因素影響,因此部署時往往需要多個網絡接達點(AP)分區覆蓋。AP 透過網線接回交換器或路由器的 LAN 口,讓無線裝置最終仍回到同一個 LAN 中。
無線網絡的設定核心包含三項:SSID(網絡名稱)、加密方式、以及密碼(或其他認證方式)。其中加密尤為重要,因為無線訊號會「在空氣中廣播」,沒有加密就等於把資料直接暴露給周遭可能的竊聽者。部署完成後,應再以實際連線測試與訊號觀察,確保覆蓋範圍符合需要。
若場地較大而需要兩個或以上 AP,常見目標是支援「漫遊」:同一部流動裝置在走動時,能在訊號變弱時切換到較強的 AP,而不需要用戶手動重新選網絡。要達到這點,最基本要求是多個 AP 使用相同 SSID 與一致的安全設定。
小遊戲:兩個 AP+Wi‑Fi 漫遊示範(模擬器)
任務(建議流程)
- 建立骨幹:先建立一個有線 LAN(交換器+路由器或伺服器)。
- 加入兩個 AP:把 AP1、AP2 以網線接到交換器。
- 設定 Wi‑Fi:為兩個 AP 設定相同 SSID與相同密碼(教學上視作相同加密)。
- 加入流動裝置:讓流動裝置連上 Wi‑Fi,然後拖動位置觀察訊號強度與漫遊提示。
- 故意製造錯誤再修正:把 AP2 的 SSID 改成不同名稱,觀察漫遊失敗;再改回一致設定。
提示:漫遊是否發生,除了 AP 設定,亦與裝置的漫遊門檻(訊號低到某程度才切換)有關;因此在現實中仍需實地測試。
Check Point 2:無線網絡與漫遊
完成小測後,應能說明 SSID/加密/AP 漫遊的關鍵條件與常見風險。
3 文件夾/檔案共享權限:讀取、寫入、執行與最少權限原則
重點
- 能分辨常見權限:讀取、寫入、修改、刪除、執行、完全控制(並理解其對應操作)。
- 理解「權限不是用來麻煩人」,而是為了防止誤刪/洩密/越權修改,同時支援協作。
- 掌握兩個進階概念:繼承(父資料夾影響子項目)與群組(以群組指派更易維護)。
- 能運用最少權限原則:只給完成工作所需的最低權限。
共享權限用於控制不同用戶(或群組)在共享資料夾/檔案上的可行操作,例如:可否讀取內容、可否修改、可否刪除、可否執行程式。
它的目標是同時做到兩件事:協作方便與安全可控。
- 讀取(Read):可開啟/查看內容、列出檔案清單。
- 寫入(Write):可建立新檔案、把修改後的內容寫入檔案(儲存)。
- 修改(Modify):通常包含讀取+寫入,並允許改動內容(實務上常連帶刪除權限)。
- 刪除(Delete):可刪除檔案/資料夾。
- 執行(Execute):可運行可執行檔或腳本。
- 完全控制(Full Control):包含以上全部,並通常可變更權限設定。
「共享教材」資料夾的合理做法:
- 學生:讀取(可下載教材)
- 科任老師:讀取+寫入(可上傳、更新教材)
- 管理員:完全控制(可處理權限、備份、審計)
這樣既可協作,又能避免所有人都有刪除權限而導致誤刪。
- 群組指派:把權限給「老師群組」「學生群組」等,日後加減人員只需改群組成員,不需逐一改每個資料夾。
- 個人指派:較快但難維護,容易出現「漏改」「重複設定」。
- 繼承:上層資料夾權限自動套用到子資料夾/檔案,省時但要小心「過度開放」。
- 顯式設定:只對指定資料夾/檔案生效,較精準但較繁瑣。
- 把「所有人可寫入」當作方便:最容易導致誤刪、惡意修改、勒索軟件擴散。
- 忘記繼承效果:上層資料夾一旦開放,子資料夾可能全部變成可寫入。
- 只用帳戶不設群組:日後人員變動時容易遺漏,造成越權存取。
- 未設備份:權限再嚴也擋不住硬碟損壞或人為誤刪,仍需備份。
中等程度介紹
在網絡上共享資料夾或檔案時,權限設定是「能否安全協作」的關鍵。若沒有權限控制,任何人都可能讀取或刪除不屬於自己的資料;但若權限過於嚴格,又會令正常工作受阻。因此,設定權限需要在「方便」與「安全」之間取得平衡。
權限可理解為一套「允許做甚麼」的規則:讀取代表可查看內容;寫入代表可新增或保存修改;執行代表可運行程式。當你看到「存取被拒」時,不應只把它視為錯誤訊息,而應把它當作提示:你缺少了完成該操作所需的權限。
在實務環境中,權限多以「群組」方式分配,並利用「繼承」把上層的策略套用到下層資料夾,減少重複設定。同學在練習時,應刻意比較不同身分的結果,建立「同一個檔案,不同人看到的權限與結果可以完全不同」的概念。
小遊戲:左右分屏「權限實驗」
下面的模擬平台提供「左邊設定權限、右邊以不同用戶操作」的實驗環境,讓你即時觀察每個權限對操作的影響(允許/拒絕及原因)。
建議任務
- 觀察差異:分別以 guest 與 staff01 登入,嘗試進入
/public與/private,比較「能看到」「能開啟」「能修改」「能刪除」的差別。 - 執行權限:到
/private/公用檔案嘗試執行可執行檔,對比 manager 與 staff01 的結果,理解「執行」與群組規則的影響。 - 調整權限:把某個資料夾設定為「學生只可讀取、老師可修改」,然後立即在右邊測試效果。
- 繼承實驗:嘗試停用繼承,觀察子資料夾是否仍受上層影響;再把繼承複製為顯式設定,比較差異。
提示:權限的目標是「可控地共享」,不是「完全禁止」;做設定前先想清楚:誰需要做甚麼?是否有刪除權限的必要?
(延伸)用偽代碼/Python理解「權限判斷」的流程
下例以簡化版本示範:先處理拒絕(Deny),再處理允許(Allow),並以「群組」作判斷單位。此例用於訓練思維,不等同任何特定系統的完整實作。
INPUT: userGroups, aclEntries, actionRight
# aclEntries: list of {target, type(allow/deny), rightsSet}
denied = false
allowed = false
FOR each entry IN aclEntries:
IF entry.target in userGroups OR entry.target == "user":
IF actionRight in entry.rightsSet:
IF entry.type == "deny":
denied = true
IF denied == true:
RETURN "DENY"
FOR each entry IN aclEntries:
IF entry.target in userGroups OR entry.target == "user":
IF actionRight in entry.rightsSet AND entry.type == "allow":
allowed = true
IF allowed == true:
RETURN "ALLOW"
ELSE:
RETURN "DENY"提示:這個模型刻意忽略繼承、顯式/繼承優先序等細節;你可在模擬器中進一步觀察更完整的情況。
Check Point 3:共享權限
完成小測後,應能把「操作」對應到需要的權限,並理解最少權限原則與繼承概念。
4 基本網絡服務:功能、好處與風險
重點
- 理解「網絡服務」的概念:以伺服器集中提供功能,用戶端透過網絡存取。
- 能按同一框架說明各服務的功能 → 好處 → 壞處/風險 → 例子。
- 能指出服務與安全/管理的關係:帳戶、權限、備份、審計、停機風險。
- 能辨認常見服務:萬維網服務、數據庫服務、文件伺服器、DHCP、網域控制、代理伺服器、預設閘道。
網絡服務是指:某部伺服器或設備在網絡上提供特定功能,其他裝置以網絡方式存取該功能。例如:萬維網服務提供網頁、文件伺服器提供共享資料夾。
- 伺服器(Server):集中提供資源或功能(例如網頁、資料、檔案、登入驗證)。
- 用戶端(Client):透過網絡向伺服器提出請求(request),接收回應(response)。
- 好處:集中管理、容易更新、支援多人同時使用。
- 代價:單點故障、權限與安全風險、需要備份與監控。
「校內平台」常見結構:
- 萬維網服務(Web Server)提供登入頁面與功能介面。
- 數據庫服務(Database Server)儲存帳戶、作業、成績等資料。
- 文件伺服器(File Server)存放上載的文件。
三者分工清晰,有利擴充與維護,但也需要更嚴謹的權限與備份策略。
- 集中服務:統一更新與備份,易管理;但停機影響大。
- 分散部署:每部電腦各自保存資料,停機影響較局部;但版本分散、難管理、容易遺漏備份。
- 只顧功能,不顧權限:服務雖可用,但資料容易被越權存取或誤刪。
- 沒有備份:文件伺服器或數據庫一旦損壞,後果嚴重。
- 忽略更新:未修補漏洞,容易被入侵。
- 缺乏監控與審計:出事後難追查「誰做過甚麼」。
中等程度介紹
「網絡服務」的核心概念是集中化:把某些功能放到伺服器或專用設備上,讓多部工作站透過網絡存取。這樣可以減少重複安裝與重複管理,例如:同一個校內網站可讓所有人以瀏覽器使用,而不需要每部電腦都各自存放一份資料。
集中化同時帶來責任:伺服器往往變成「高價值目標」,一旦權限設定不當或系統有漏洞,就可能造成大規模資料洩漏;而一旦停機,影響範圍也比單一電腦更大。因此,學習網絡服務不只要記住功能,更要懂得評估風險與基本管理措施(權限、備份、更新)。
以下選取一組常見服務作介紹。你可以用同一框架理解它們:它做甚麼?帶來甚麼好處?要付出甚麼代價或風險?在家居/學校/企業中通常如何出現?
常見網絡服務清單(逐個介紹)
1) 萬維網服務(Web Server)
功能:以 HTTP/HTTPS 提供網頁與網頁應用,回應用戶端(瀏覽器)的請求。
好處:跨平台(瀏覽器即可)、集中發布內容、更新容易、支援多人同時存取。
壞處/風險:常面對安全威脅(例如注入、越權、弱密碼);停機會影響所有用戶;需要更新與監控。
例子:學校網站、內聯網、學習平台(LMS)。
2) 數據庫服務(Database Server)
功能:集中儲存與查詢資料(例如帳戶、成績、庫存),並提供一致性與存取控制。
好處:多人可同時讀寫;資料一致;可做權限、索引、備份與復原。
壞處/風險:一旦洩漏影響重大;需要妥善設計權限與備份;效能與索引管理需要技巧。
例子:MySQL、PostgreSQL、SQL Server 等。
3) 文件伺服器(File Server)
功能:提供共享資料夾/檔案存取,並配合權限管理與審計。
好處:集中管理與備份;協作方便;可追蹤存取行為。
壞處/風險:權限設錯會洩密;勒索軟件可透過共享快速擴散;需要備份策略與版本保護。
例子:Windows 文件伺服器、NAS。
4) 動態主機配置協定(DHCP Server)
功能:自動派發 IP 位址、子網遮罩、預設閘道、DNS,避免人手逐部設定。
好處:減少配置錯誤;大量裝置加入網絡更方便;可集中管理租約(lease)。
壞處/風險:DHCP 故障會令新裝置取不到 IP;惡意 DHCP(rogue DHCP)可派錯閘道/DNS 導致全網混亂。
例子:家用路由器內置 DHCP;企業可用伺服器提供 DHCP。
5) 網域控制伺服器(Domain Controller, DC)
功能:集中帳戶登入與驗證、群組政策、資源存取控制(常見於企業環境)。
好處:統一帳戶與密碼政策;可集中管理用戶權限與電腦設定;支援審計與追蹤。
壞處/風險:屬高價值目標;一旦被攻破影響整個網域;需要較專業維護與備援。
例子:Active Directory(AD)。
6) 代理伺服器(Proxy Server)
功能:代替用戶端向外存取網絡資源,可做快取、內容過濾、記錄與控管。
好處:節省頻寬(快取);配合政策過濾不適當內容;可審計上網記錄。
壞處/風險:配置複雜;可能成為瓶頸;涉及私隱與合規;若被濫用亦可成為攻擊點。
例子:學校上網過濾、企業上網政策。
7) 網間連接器(Gateway)/預設閘道(Default Gateway)
功能:作為某網段的「出入口」,讓裝置能到達其他網段或互聯網;最常見就是每部裝置上的「預設閘道」。
好處:把 LAN 與其他網絡連接起來;讓跨網段通訊變得可行。
壞處/風險:設定錯誤會出現「同一 LAN 內可互通,但去不到外網」;亦需配合防火牆策略。
例子:家用路由器的 LAN IP(如 192.168.1.1)就是多數裝置的預設閘道。
Check Point 4:網絡服務
完成小測後,應能把常見服務與其功能、風險對應起來。