單元 1.3.3. 網路

網路

網路僅僅是互連的計算機和裝置的集合。這些裝置被稱為節點，最常見的是計算機，但也包括印表機、掃描器和輔助儲存裝置。每個裝置必須透過網路介面卡 (NIC) 或等效電路（內置於主機板中）連線到網路。連線到網路的每個裝置都必須有一種獨特識別的方式，以便傳送給該裝置的訊息能到達它。如今，網路非常普遍，因為人們希望共享資料並有效地進行通訊。集中式資料儲存位置非常適合所有使用者都需要訪問相同資料的場景。

私有網路

即使在現代網際網路時代，仍然有許多組織使用自己的私有網路。私有網路的優勢在於它讓所有者擁有完全的控制權。可以控制

安全性 - 包括資料訪問許可權
軟體供應
服務的可用性

然而，擁有私有網路也存在很大的弊端；它們需要一支專業人員團隊，特別是對於大型私有網路，來維護它並確保它的安全性。由於對這些網路的依賴性，它們停機時間必須保持在最低限度，並且使用各種方法來確保任何風險都降至最低

系統冗餘 - 重要的裝置在硬體故障時進行復制
備份 - 定期備份確保始終可用儲存資料的副本
故障轉移系統 - 這些系統檢測錯誤和異常並將流程轉移到備用系統以避免重大錯誤
災難恢復計劃 - 在發生重大災難時提供要實施的程式的計劃，以確保將問題的影響降至最低並將解決方案應用於問題。

網路硬體

網路中使用了一些通用的硬體元件，它們的工作是生成、傳輸和解釋網路的電訊號。

網路介面卡 (NIC) (又稱網路介面控制器)

這些電路使用乙太網連線來傳輸和接收資料。現代計算機通常在其主機板上直接內建 NIC。

MAC 地址

MAC 地址嚴格來說不是硬體專案，但它們是由製造商唯一分配給連線到網路的裝置的。它們是 48 位識別符號，通常以 6 對十六進位制數字的形式引用，例如 09:01:17:0E:21:B8。前 3 個八位位元組標識裝置製造商，其餘部分以獨特的方式分配。

路由器

路由器提供了一種連線網路的方法。它從一個網路接收資料包，並根據資料包提供的地址，將資料包轉發到正確的網路。路由器根據相鄰網路的表格或使用演算法來確定將資料包傳送到何處，以確定資料包最有效的步驟。每個路由器都知道哪些其他路由器最靠近它，透過共享資訊，它允許計算資料包的最佳路徑。家庭中使用的較小的路由器將計算機連線到網際網路服務提供商 (ISP)。規模更大的組織以及運營網際網路基礎設施的組織使用非常強大且高速的路由器來相應地引導流量。

無線接入點

大多數現代網路都有無線接入點。這些允許無線裝置臨時連線到網路。一些組織使用 BYOD 策略（自帶裝置），允許訪客連線到組織的網路。這與許多公共場所（如咖啡館或火車站）實施的方法相同。連線可以從大約 100 米之外的地方進行，這可能會引起對訊號攔截的擔憂。為了嘗試繞過攻擊，使用了幾種方法

隱藏 SSID - SSID（服務集識別符號）標識無線接入點。隱藏它可以防止其他使用者看到它。
加密 - 在路由器和裝置之間傳送的訊號可以透過各種標準進行加密，如今最常見的是 WPA 或 WPA2/PSK（WiFi 受保護的訪問），它使用一次性加密金鑰。WEP（有線等效隱私）現在很容易被攔截。
有限訪問 - 接入點可以配置為僅接受來自特定 MAC 地址的通訊，但這在可能連線許多新裝置的地方不切實際。

網路拓撲結構

物理佈局

匯流排

匯流排網路使用一個公共主幹，每個裝置都連線到這個主幹。這種網路的大小有限，因為主幹通常由銅線製成，因此會隨著距離的增加而衰減（訊號減弱），這會導致傳輸錯誤。如果主幹的一個元件出現故障，整個網路也會出現故障。它們還需要在兩端使用終端，以防止資料反射和增加資料碰撞。

星形

星形網路使用交換機或集線器將裝置連線到（一個或多個）伺服器。這是最常見的佈局，因為它允許輕鬆新增額外的節點，並且比單個主幹更健壯。

環形

環形網路將每臺計算機連線到另外兩臺計算機。這旨在透過單向傳送資料來解決資料碰撞的問題。然而，這意味著所有資料都必須透過所有機器，如果資料包被檢查，這可能是一個安全問題。

星形拓撲
環形拓撲
匯流排拓撲

網路的範圍

區域網

LAN - 區域網。這種網路存在於有限且確定的位置。這可能是校園、教室或單一的辦公大樓。區域網的一個關鍵特徵是執行它的基礎設施歸組織/物業所有者所有，因此他們負責維護。

廣域網

WAN - 廣域網。這些網路覆蓋了廣闊的地理區域，通常由分佈在多個地點的互連區域網組成。網際網路可以被認為是一個廣域網，但它們通常用於需要在不同地點建立分支機構的私人鏈接。

儲存區域網路

SAN - 儲存區域網路 - 這是一種專用的儲存網路，用於資料中心的大規模資料儲存。它們非常高效，因為使用的伺服器將所有儲存裝置整合在一起，形成一個具有巨大容量和非常高效能的磁碟陣列。

都會網路

MAN - 都會網路 - 這些網路在城市內提供廣域網服務。

個人區域網

PAN - 個人區域網 - 這些網路連線個人裝置，如手機、藍牙耳機、平板電腦和其他常見裝置。

組織網路

主要有兩種網路模型：客戶機-伺服器和對等網路。

客戶機-伺服器

客戶機-伺服器網路使用一種模型，其中一個實體（在本例中為客戶機）請求另一個實體（伺服器）的服務。它是最常見的網路模型，因為它將功能分開，因此是管理資源更有效的方式。它在兩類不同的計算機上工作，其中伺服器是一臺為客戶機提供服務的機器。通常，伺服器體積較大，功能強大，但往往只服務於一種目的，而客戶機則功能較弱，但用途更廣泛。伺服器還包含所有安全功能，如使用者名稱、密碼和訪問許可權。

對等

在這種型別的網路中，每臺計算機都具有相同的身份。每臺計算機都可以根據當時的具體情況充當客戶機或伺服器。沒有中央控制系統，這意味著該模型的實施成本更低，並且能夠實現無伺服器檔案共享等優點。BT 下載和比特幣等線上貨幣都是對等網路的常見用途。

分層

複雜的問題，如網路通訊中的問題，可以使用分層作為簡化問題的一種方法。可以實現這樣的典型網路分層系統

應用層

該層負責收集和分發網路上的資料。這可以是人類使用者或遠端裝置。該層需要確定要收集的資料型別以及如何使用它，例如人類可讀的格式或用於其他裝置的格式。

網路層

該層負責資料在網路中的傳輸方式。這包括節點、使用的拓撲結構以及如何最好地將資訊從源頭傳遞到接收者。

物理層

這是網路的媒介，可以是光纖、銅纜、同軸電纜，甚至無線連線。

開放系統互聯 (OSI) 模型

這是一個由 ISO（國際標準化組織）提供的公開可用的模型，它包含七層，使用抽象來輕鬆檢視網路的每個元件

第 7 層 - 應用層

這是最靠近使用者的一層。它收集或傳遞資料，並將資料傳遞到表示層和從表示層獲取資料。

第 6 層 - 表示層

此層處理資料在網路上傳輸時的資料格式轉換，以及應用程式所需的資料格式轉換。此層可以處理加密和解密操作。

第 5 層 - 會話層

它負責處理連線會話的建立、管理和終止。它提供單工、半雙工和全雙工操作。

第 4 層 - 傳輸層

此層負責跟蹤網路段，檢查傳輸是否成功以及進行資料包化。

第 3 層 - 網路層

此層負責處理資料包的傳輸和路由。

第 2 層 - 資料鏈路層

它控制模型內的訪問、錯誤檢測和糾正。

第 1 層 - 物理層

它負責裝置之間的物理連線以及傳輸介質。

協議 - 兩臺計算機之間通訊的約定規則。這是在握手期間由計算機之間協商的。協議具有邏輯和物理元件。邏輯元件通常包括使用的錯誤檢查型別（如奇偶校驗或校驗位）或位元率，而物理元件則控制資料的傳輸方式，例如連線計算機的電線型別（並行或序列）、WiFi 頻率、使用的調製方式或路由型別。由於第一組協議是首先確定的物理協議，然後是邏輯協議，因此協議可以分層，這意味著一個協議建立在另一個協議之上。這意味著可以對單個層進行更改，而無需修改協議的其餘部分。這反過來又允許協議標準化。

TCP/IP 協議棧

這是一個完整的協議集，涵蓋了跨網路的資料傳輸。它包含四個層

應用層

此層負責資料的生成、通訊和接收。應用程式必須生成可供需要它的應用程式使用的資料，例如，遠端感測器必須生成用於分析程式的正確資料。（這是 OSI 模型中的第 7-5 層）HTTP（超文字傳輸協議）和 FTP（檔案傳輸協議）在這一層執行。

傳輸層

此層負責建立和終止網路實體之間的連線。它確保資料在網路上可靠地傳輸。

網路層

此層提供連結以跨不同網路傳輸資料報。它將資料報從一個路由器定向到另一個路由器。這是 IP 工作的級別。

物理層

此層負責將資料報傳輸到本地物理網路 - 它旨在獨立於硬體移動資料，因此它可以在任何傳輸介質上執行，例如銅線、光纖或 WiFi。

IP 地址與 DNS

IP 地址

在使用 TCP/IP 協議棧時，網路上的每個裝置都會分配一個唯一的 IP 地址。當前使用的版本是 IPv4，它使用 32 位數字來識別裝置，例如 192.167.1.254。它們是 4 個位元組（一個八位位元組）的組。最新版本 IPv6 使用 8 個十六進位制數字組，並以類似於 MAC 地址的方式顯示。IP 地址可以永久分配給裝置，但這並不常見。它們通常在裝置需要時動態分配，並在會話結束後釋放地址。這由 DHCP（動態主機配置協議）控制。網路通常會設定他們自己的內部子網。

DNS

DNS 是域名系統，它是一個用於在網路上命名資源的系統。它是一個分層系統，在私有網路和整個網際網路上使用。TCP/IP 網路上的不同裝置可以使用此係統命名，因此它們都有唯一的名稱。TLD（頂級域名）位於名稱的最右邊（例如 com、uk、net 或 edu），然後名稱在域名鏈中向左移動。域名中的每個不同部分都用點隔開，例如 www.wikibooks.org.uk - “uk” 是 TLD，然後 “org” 是二級域名，然後是 “wikibooks” 作為三級域名。最左邊的名稱是主機名，即最初接收資源的計算機的名稱。

這個系統旨在讓人們記住友好的名稱，例如谷歌或必應，而不是需要記住他們正在尋找的伺服器的 IP 地址。當您在瀏覽器中輸入網站的 URL（統一資源定位器）時，URL 會發送到 DNS 伺服器，該伺服器會查詢友好的名稱並找到其 IP 地址。如果找到它，它會將 URL 替換為 IP 地址並連線裝置。如果沒有，它會將 URL 轉發到其他 DNS 伺服器，以嘗試找到所需的 IP 地址。

分組交換與電路交換

電路交換

電路交換在兩個裝置之間提供一個單獨的物理連線，類似於電話系統過去的工作方式。操作員將兩個人直接連線在一起，在通訊過程中，其他任何人都無法使用該線路。這是電路交換背後的原理，儘管操作員被機電閥代替了，或者在更現代的時代使用電晶體。這種交換方法是一種資源浪費，因為它可能需要多條電纜，這些電纜價格昂貴且佔用的空間很大。電路交換會話有三個過程——連線建立、資料傳輸以及連線釋放。當需要使用持續時間較長的資料流時，它是一種可接受的技術。

分組交換

這是一種比電路交換更常見的方法。要傳輸的資料被分成資料包，每個資料包都包含將它們定向到正確接收者並重新組裝它們所需的所有資訊。資料包可以根據連線可用性透過不同的路由傳送，這使得網路資源得到更有效地利用。

網路安全

身份驗證

網路使用者通常需要透過輸入使用者 ID 和密碼來識別自己。這很容易被潛在的駭客獲取，因為它們通常被寫下來，因為人們無法記住它們。暴力攻擊也可以用於嘗試所有可能的密碼組合。為了解決這個問題，現代安全系統通常要求另一種識別方式，例如卡片、電話或額外的安全 PIN。有時會使用驗證碼，這些驗證碼可以被人識別，但不能被機器識別，以確保登入的是人而不是自動機器。

防火牆

防火牆的目的是控制進出網路的流量。它可以是基於硬體或軟體的，有時是兩者的組合。它可以設定為阻止單個網站地址或特定計算機。還可以應用規則，以便過濾掉特定單詞或其他位元流。資料包過濾將檢查透過防火牆的資料包，如果它們與某個模式匹配，則可以拒絕它們。這在 OSI 模型的最低 3 層中起作用。其他系統可以保留資料包以確定它們是現有傳輸的一部分還是新訊息的開始。

代理

代理能夠充當防火牆，並且是位於一個網路和遠端資源之間的計算機。如果使用者請求網路上的服務，它首先傳遞給代理，然後代理伺服器代表網路使用者執行請求。如果資源被禁止，則可以拒絕請求，使用者與資源之間永遠不會有直接聯絡，因為代理充當“中間人”。

加密

這是一種隱藏資訊的方法，以使除了預期接收者以外的任何人都無法閱讀它。由於存在資料攔截的風險，它在網路中被大量使用。網路傳輸中通常使用大型金鑰，範圍從 64 位到 192 位。加密也是 VPN（虛擬專用網路）的關鍵組成部分，因為基礎設施與多個使用者共享。