網路概論

Network Administration

目錄 (點擊文字可以傳送到該章節)

實體層 & 鏈結層

網路層

傳輸層

應用層

上課之前

暖機一下

自介

喻慈恩(思諾)
一三北資學術
臺大資管大一升二
選修了以龐大作業量聞名的 NASA
(網路管理與系統管理)
被 NASA 痛扁後覺得這種好課不能只有我知道

開始之前要知道的

網路通訊架構
(可能)會嚇人的名詞

網路通訊架構 / 名詞一覽

層級	相關名詞
應用層 (Application)	HTTPS、DNS
傳輸層 (Transport)	UDP、TCP
網路層 (Internet)	路由器(router)、IP位址、ARP協定
鏈結層 (Link)	交換機(switch)、MAC位址
實體層 (Physical)	網路線、集線器(hub)

課堂上使用的是 TCP/IP 五層模型

有關專有名詞

如果你直接把"ARP協定" 丟去搜尋會有以下結果:

"位址解析協定（英語：Address Resolution Protocol，縮寫：ARP）是一個通過解析網路層位址來找尋資料鏈路層位址的網路傳輸協定。ARP最初在 ...。它通過網路位址來定位MAC位址。ARP已經在很多網路層和資料鏈結層之間得以實現，包括IPv4 ..."

查下去後反而多出更多看不懂的專有名詞

有關專有名詞

建議記住一個原則:

"每個技術都是為了解決上個架構留下的問題而生"

舉個例子:

集線器(hub)無法辨認不同電腦 -> 交換機(switch) + MAC位址

UDP 傳輸快但不夠穩定 -> TCP

IPv4 位址太少不夠用 -> IPv6 ~~別問IPv5在哪~~

網路通訊五層架構就是這樣疊出來的!

實體層(Physical) & 鏈結層(Link)

A如何把資料傳給B?

如何把A的資料傳到B?

一開始，我們有兩台很笨的電腦A和B

接一條線阿!

如何把A的資料傳到B?

接一條線阿!

你發明了網路線!

一開始，我們有兩台很笨的電腦A和B

接Cn取2條線似乎不是種好辦法

但電腦如果變多了...

你發明了集線器(hub)!

如果有一個可以集中管理的裝置 ...

要想辦法讓集線器知道每個端口接的是誰

但A要怎麼知道B在哪?

0A:1A:2A:3A:4A:5A

之後只要在傳輸的資料上標註目標地址，即可完成傳輸

你發明了MAC位址和交換機(switch)!

為每台電腦加上獨一無二的地址

再把地址紀錄成一張表!

0C:1C:2C:3C:4C:5C

0D:1D:2D:3D:4D:5D

0B:1B:2B:3B:4B:5B

1 2 3 4 5

地址	端口
0A:1A:2A:3A:4A:5A	1
0B:1B:2B:3B:4B:5B	3
0C:1C:2C:3C:4C:5C	2
0D:1D:2D:3D:4D:5D	4

來源:0A:1A:2A:3A:4A:5A

目標:0B:1B:2B:3B:4B:5B

0A:1A:2A:3A:4A:5A

為每台電腦加上獨一無二的地址

再把地址紀錄成一張表!

0C:1C:2C:3C:4C:5C

0D:1D:2D:3D:4D:5D

0B:1B:2B:3B:4B:5B

1 2 3 4 5

地址	端口
0A:1A:2A:3A:4A:5A	1
0B:1B:2B:3B:4B:5B	3
0C:1C:2C:3C:4C:5C	2
0D:1D:2D:3D:4D:5D	4

之後只要在傳輸的資料上標註目標地址，即可完成傳輸

你發明了MAC位址和交換機(switch)!

0A:1A:2A:3A:4A:5A

為每台電腦加上獨一無二的地址

再把地址紀錄成一張表!

0C:1C:2C:3C:4C:5C

0D:1D:2D:3D:4D:5D

地址	端口
0A:1A:2A:3A:4A:5A	1
0B:1B:2B:3B:4B:5B	3
0C:1C:2C:3C:4C:5C	2
0D:1D:2D:3D:4D:5D	4

0B:1B:2B:3B:4B:5B

1 2 3 4 5

之後只要在傳輸的資料上標註目標地址，即可完成傳輸

你發明了MAC位址和交換機(switch)!

0A:1A:2A:3A:4A:5A

為每台電腦加上獨一無二的地址

再把地址紀錄成一張表!

0C:1C:2C:3C:4C:5C

0D:1D:2D:3D:4D:5D

地址	端口
0A:1A:2A:3A:4A:5A	1
0B:1B:2B:3B:4B:5B	3
0C:1C:2C:3C:4C:5C	2
0D:1D:2D:3D:4D:5D	4

0B:1B:2B:3B:4B:5B

1 2 3 4 5

之後只要在傳輸的資料上標註目標地址，即可完成傳輸

你發明了MAC位址和交換機(switch)!

MAC位址

全名 Media Access Control Address
一組固定且唯一的地址(類似身分證字號)
由12個十六進位數字組成
有獨特的組成規則~~但不是重點~~
"ff : ff : ff : ff : ff : ff "是一組特殊的MAC位址，用來廣播

00 : 1A : 2B : 3C : 4D : 5E

交換機(switch)

一台可以查表並轉發資料的機器
社辦有好幾台
除了查表以外還有很多東西可以講但知道他會查表就好
一般家裡只用路由器即可交換機是給公司內部用
~~所以實際上你們用不太到交換機~~

補充: 實際上如何連接 switch

先讓實體的線現場連到 Switch
需要一條 Console Cable，一端連在你的電腦，另一端連在 Switch 上的 Console Port
透過網路遠端連上 Switch，再進入 CLI 的介面
~~GUI頁面我沒用過不知道~~

credit: NASA Lab4 Slides

實際上你的switch作業會長這樣:

網路層(Internet)

不同交換機下的電腦該如何傳資料?

0A:1A:2A:3A:4A:5A

0C:1C:2C:3C:4C:5C

0D:1D:2D:3D:4D:5D

0B:1B:2B:3B:4B:5B

1 2 3 4 5

今天如果有更多台電腦...

0E:1E:2E:3E:4E:5E

0G:1G:2G:3G:4G:5G

0H:1H:2H:3H:4H:5H

0F:1F:2F:3F:4F:5F

1 2 3 4 5

由於交換機的端口數量有限

所以我們需要更多交換機來連接

0A:1A:2A ...

0C:1C:2C ...

1 2 3 4 5

有點太多了我們簡化一下

0H:1H:2H ...

0F:1F:2F ...

1 2 3 4 5

今天如果有更多台電腦...

1 2 3 4 5

A如何把資料傳給不同交換機底下的F?

兩台交換機接一條線!

~~但有點小問題~~

1 2 3 4 5

0A:1A:2A ...

0C:1C:2C ...

0H:1H:2H ...

0F:1F:2F ...

出現的問題

交換機很笨，只會查表轉發，只要查不到就會全部電腦都發一遍
一台交換機不知道另一台交換機那裏有哪些電腦(無法取得對方的端口表)
交換機不可以接成迴路
我們需要一台更智能的機器來進行統合!

0A:1A:2A ...

0C:1C:2C ...

1 2 3 4 5

A如何把資料傳給不同交換機底下的F?

你發明了路由器(router)!

~~然而問題並沒有解決~~

0H:1H:2H ...

0F:1F:2F ...

1 2 3 4 5

0X:1X:2X ...

0Y:1Y:2Y ...

出現的更多問題

以下是路由器的視角:
某天路由器 R 收到電腦 A 的資料，目的地是電腦F
請問它怎麼知道要轉發給誰?

連接一堆路由器

路由器 R

連了不知道多少電腦

的路由器們

出現的更多問題

電腦太多了，我們沒辦法把所有電腦的 MAC 地址記錄在路由器中
網路是不是也可以做出"區域"的概念?
可以仿照現實中的郵局寄信規則，為電腦設計出另一種 "地址"，只要一看就知道他屬於哪台路由器底下
我們試著寫出路由器看得懂的規則!

你發明了 IP 地址與區域網(LAN)!

1 2 3 4 5

A如何把資料傳給不同交換機底下的F?

1 2 3 4 5

0A:1A:2A ...

192.168.0.22

0C:1C:2C ...

192.168.0.33

0H:1H:2H ...

192.168.1.33

0F:1F:2F ...

192.168.1.22

0X:1X:2X ...

192.168.0.1

0Y:1Y:2Y ...

192.168.1.1

A如何把資料傳給不同交換機底下的F?

靠子網路遮罩 (Subnet Mask)!

電腦A: 192.168.0.22 & 255.255.255.0 = 192.168.0.0

電腦C: 192.168.0.22 & 255.255.255.0 = 192.168.0.0

電腦F: 192.168.1.22 & 255.255.255.0 = 192.168.1.0

電腦H: 192.168.1.33 & 255.255.255.0 = 192.168.1.0

這裡的子網路遮罩為: 255.255.255.0

最後一點問題

我們希望只要有 IP 地址就能完成傳輸，但交換機得靠查 MAC地址來轉發資料
我們在一開始傳輸資料時可能沒有目的地 or 路由器的MAC 地址
如何得到需要的 MAC 地址? ~~方法還蠻簡單的~~

1 2 3 4 5

就拿著 IP 地址廣播叫對方出來說話

1 2 3 4 5

"在叫我嗎!?"

"不是我"

"IP地址為 192.168.0.1 的人回覆一下"

0A:1A:2A ...

192.168.0.22

0C:1C:2C ...

192.168.0.33

0H:1H:2H ...

192.168.1.33

0F:1F:2F ...

192.168.1.22

0X:1X:2X ...

192.168.0.1

0Y:1Y:2Y ...

192.168.1.1

你發明了ARP協定!

1 2 3 4 5

就拿著 IP 地址廣播叫對方出來說話

1 2 3 4 5

"在叫我嗎!?"

"不是我"

0A:1A:2A ...

192.168.0.22

0C:1C:2C ...

192.168.0.33

0H:1H:2H ...

192.168.1.33

0F:1F:2F ...

192.168.1.22

0X:1X:2X ...

192.168.0.1

0Y:1Y:2Y ...

192.168.1.1

"IP地址為 192.168.0.1 的人回覆一下"

從頭順一次

電腦 A 事先得知電腦 F 的 IP 地址
A 藉由自己和 F 的 IP判斷彼此是否在同一子網
如果在同一子網，則先發送 arp 得到 F 的 MAC 地址，再藉由交換機傳輸封包
如果不在同一子網，則先發送 arp 得到路由器的 MAC 地址，並把封包交給路由器
路由器藉由 IP 表，將封包的目的地 MAC 地址改成 F 的 MAC 地址，再藉由交換機傳輸封包

IP地址

全名 Internet Protocol
分為 IPv4 和 IPv6，兩種是完全不同的協定，IPv6 是為了修正 IPv4 的問題(位址不足、安全性)而推出的協定，格式如下:
IPv4 : 192.0.2.255
IPv6 : 2001 : 0db8 : 85a3 : 0000 : 0000 : 8a2e : 0370 : 7334

路由器(router)

前面介紹的是基礎路由器，你們熟悉的 "路由器" 其實都是 "路由器＋交換機＋無線基地台" 三合一的設備，會有一個 WAN port (路由器功能) 和多個 LAN port (交換機功能)
路由器的 WAN port 除了主要功能: 連接各個 LAN 以外，還有 NAT (IP共用)、防火牆、DHCP Server (發IP) 等功能。

說故事時間

如果不好好接就會發生的事
某個一四的學弟 ~~你們的學長~~
把 LAN 從路由器(其實就是交換機功能)往學校網路插上去產生環路
路由器往 LAN 發送 DHCP 封包
學校網路炸了
這個事件稱為廣播風暴

廣播風暴

當 LAN 中有廣播封包進入環路時，這些封包會在網路中被重複傳播和放大，再加上鏈路層沒有TTL(Time To Live，存活時間)等控制封包生命週期的手段，因此網路頻寬會被耗盡

credit: 我的 NASA作業

傳輸層(Transport)

資料完整正確嗎?

更進一步!

經過我們前面(實體層、鏈結層、網路層)的努力，現在我們只要有某部裝置的IP地址，就可以把資料傳給它!

但資料傳輸並不是以"電腦對電腦"，而是以"埠口(port)對埠口"，因為一台電腦會同時執行很多服務

服務	PORT NUMBER
SSH	22
HTTPS	443
DNS	53
VNC	5900

你發明了UDP!

我們可以在封包標頭加上 port number 資訊

dst. port: 22

dst. port: 443

UDP

全名 User Datagram Protocol
傳輸速度很快 ~~因為基本上什麼都沒做~~
不會事先建立連線，幾乎沒有錯誤修正功能，也不在乎封包遺失
串流媒體、VoIP 語音、網路遊戲等需要快速傳輸大量資料的服務會使用 UDP

可以很明顯感受到 UDP 不怎麼可靠

因為它不保證順序、不保證成功，也沒有重傳機制

對於重要的資料，我們需要一套機制去確保它

完整且正確

TCP

全名 Transmission Control Protocol
很重要的一個協定!
最大特徵: 用三次握手來建立雙方連線
使用許多機制來確保連線穩定且資料完整正確，例如RTO、滑動窗口、序號和確認號，但由於篇幅問題不會探討機制的細節

補充: 三次握手過程

SYN_SENT

(我傳訊息了)

在嗎

等待ING

補充: 三次握手過程

SYN_SENT

(我傳訊息了)

等待ING

在嗎

補充: 三次握手過程

SYN_SENT

(我傳訊息了)

SYN_RECV

(我收到了)

在嗎

補充: 三次握手過程

SYN_SENT

(我傳訊息了)

SYN_RECV

(我收到了)

在，你呢

補充: 三次握手過程

SYN_SENT

(我傳訊息了)

SYN_RECV

(我收到了)

在，你呢

補充: 三次握手過程

ESTABLISHED

可以聊天了

SYN_RECV

(我收到了)

我也在

補充: 三次握手過程

ESTABLISHED

可以聊天了

SYN_RECV

(我收到了)

我也在

補充: 三次握手過程

ESTABLISHED

可以聊天了

SYN_RECV

(我收到了)

我也在

補充: 三次握手過程

ESTABLISHED

可以聊天了

ESTABLISHED

可以聊天了

我也在

應用層(Application)

會與你的資料直接接觸的東西

簡介

直接面對使用者資料/輸入的一層
"應用程式" 藉由 "應用層" 安全地獲得資料
"應用層" ≠ "應用程式"
~~講到應用層通常都是提HTTPS但為了你們的社網所以改講DNS~~

185.199.110.153

前面有說過，只要有IP地址，就可以與它建立傳輸關係，但我們記不住每個網站的IP

我們需要一個能將名稱與IP綁在一起的服務

類似電話的聯絡人功能!

ckefgisc.org

185.199.110.153

你發明了網域名和 DNS server!

於是我們創造了一個 server，只要我們輸入網站名稱它就可以找到對應的IP，並把我們導向這個IP地址

域名

由右到左為頂級網域(TLD)、第二級網域(SLD)、子網域
域名的結尾有時候還有一點保留給根節點
這個結構設計是用來配合DNS查詢

Root Name Server

根域名伺服器

TLD Name Server

頂級域名伺服器

Authoritative Name Server

權威域名伺服器

"."

".org"

".wiki"

社網實際上

在管理的

我們可以用域名的架構來理解 DNS server 是如何運作

但光有 server 還不夠，我們需要一個負責問問題並給我們答案的人*

你發明了 resolver!

"."

".org"

".wiki"

8.8.8.8

註: 有很多考量但可以先理解成這樣效率比較好

Resolver

通常由 ISP、企業或公共 DNS 提供，例如 Google 公共 DNS (8.8.8.8)
會把查到的結果儲存起來直到 TTL 到期
查詢方式分為遞歸 (Recursive) 與迭代 (Iterative)
支援 DNSSEC 驗證提升安全
通常不需要自己實作所以不是很重要 ~~除非你修NASA~~

DNS server

由於沒有一個 server 可以儲存全世界的域名 & IP 對應關係
因此得拆成好幾塊來分工
Root Name Server（根域名伺服器）
管理最頂層的「.」，全球共有 13 組節點
TLD Name Server（頂級域名伺服器）
負責管理 .com、.org、.tw 等頂級域
Authoritative Name Server（權威域名伺服器）
對自己管理的特定域名（如 example.com）回應 IP 的人

DNS的更多應用

域名跟 IP 不一定要一對一，可以是一對多!
我們可以一個域名同時支援 IPv4 和 IPv6 兩種協定
利用多組 IP 可分散使用者請求，實現流量負載平衡也能在任一節點故障時快速切換，確保服務不中斷
要實現不同的應用必須藉由修改 DNS record 實現

DNS record

如果你有修NASA，那以下內容會是你的作業:

DNS record

如果你有修NASA，那以下內容會是你應該交出的答案:

DNS record (社網節錄)

補充: DNS常見攻擊

DNS 快取投毒（Cache Poisoning）
DNS 欺騙（Spoofing）
DNS 劫持（Hijacking）
DNS 放大攻擊（Amplification DDoS）

收尾

~~我覺得SA比較重要~~

總結

我們 run 了一遍網路架構!
了解交換機長什麼樣子!
知道路由器亂接會出現廣播風暴!
大概知道社網的DNS是什麼!

THE END

希望我翻到這頁時還沒超時

網路概論 Network Adiministration

By mia1102

網路概論 Network Adiministration

建北電資一六學術幹訓課程