单元 1.3.3. 网络

网络

网络仅仅是互连的计算机和设备的集合。这些设备被称为节点，最常见的是计算机，但也包括打印机、扫描仪和辅助存储设备。每个设备必须通过网络接口卡 (NIC) 或等效电路（内置于主板中）连接到网络。连接到网络的每个设备都必须有一种独特识别的方式，以便发送给该设备的消息能到达它。如今，网络非常普遍，因为人们希望共享数据并有效地进行通信。集中式数据存储位置非常适合所有用户都需要访问相同数据的场景。

私有网络

即使在现代互联网时代，仍然有许多组织使用自己的私有网络。私有网络的优势在于它让所有者拥有完全的控制权。可以控制

安全性 - 包括数据访问权限
软件供应
服务的可用性

然而，拥有私有网络也存在很大的弊端；它们需要一支专业人员团队，特别是对于大型私有网络，来维护它并确保它的安全性。由于对这些网络的依赖性，它们停机时间必须保持在最低限度，并且使用各种方法来确保任何风险都降至最低

系统冗余 - 重要的设备在硬件故障时进行复制
备份 - 定期备份确保始终可用存储数据的副本
故障转移系统 - 这些系统检测错误和异常并将流程转移到备用系统以避免重大错误
灾难恢复计划 - 在发生重大灾难时提供要实施的程序的计划，以确保将问题的影响降至最低并将解决方案应用于问题。

网络硬件

网络中使用了一些通用的硬件组件，它们的工作是生成、传输和解释网络的电信号。

网络接口卡 (NIC) (又称网络接口控制器)

这些电路使用以太网连接来传输和接收数据。现代计算机通常在其主板上直接内置 NIC。

MAC 地址

MAC 地址严格来说不是硬件项目，但它们是由制造商唯一分配给连接到网络的设备的。它们是 48 位标识符，通常以 6 对十六进制数字的形式引用，例如 09:01:17:0E:21:B8。前 3 个八位字节标识设备制造商，其余部分以独特的方式分配。

路由器

路由器提供了一种连接网络的方法。它从一个网络接收数据包，并根据数据包提供的地址，将数据包转发到正确的网络。路由器根据相邻网络的表格或使用算法来确定将数据包发送到何处，以确定数据包最有效的步骤。每个路由器都知道哪些其他路由器最靠近它，通过共享信息，它允许计算数据包的最佳路径。家庭中使用的较小的路由器将计算机连接到互联网服务提供商 (ISP)。规模更大的组织以及运营互联网基础设施的组织使用非常强大且高速的路由器来相应地引导流量。

无线接入点

大多数现代网络都有无线接入点。这些允许无线设备临时连接到网络。一些组织使用 BYOD 策略（自带设备），允许访客连接到组织的网络。这与许多公共场所（如咖啡馆或火车站）实施的方法相同。连接可以从大约 100 米之外的地方进行，这可能会引起对信号拦截的担忧。为了尝试绕过攻击，使用了几种方法

隐藏 SSID - SSID（服务集标识符）标识无线接入点。隐藏它可以防止其他用户看到它。
加密 - 在路由器和设备之间发送的信号可以通过各种标准进行加密，如今最常见的是 WPA 或 WPA2/PSK（WiFi 受保护的访问），它使用一次性加密密钥。WEP（有线等效隐私）现在很容易被拦截。
有限访问 - 接入点可以配置为仅接受来自特定 MAC 地址的通信，但这在可能连接许多新设备的地方不切实际。

网络拓扑结构

物理布局

总线

总线网络使用一个公共主干，每个设备都连接到这个主干。这种网络的大小有限，因为主干通常由铜线制成，因此会随着距离的增加而衰减（信号减弱），这会导致传输错误。如果主干的一个组件出现故障，整个网络也会出现故障。它们还需要在两端使用终端，以防止数据反射和增加数据碰撞。

星形

星形网络使用交换机或集线器将设备连接到（一个或多个）服务器。这是最常见的布局，因为它允许轻松添加额外的节点，并且比单个主干更健壮。

环形

环形网络将每台计算机连接到另外两台计算机。这旨在通过单向发送数据来解决数据碰撞的问题。然而，这意味着所有数据都必须通过所有机器，如果数据包被检查，这可能是一个安全问题。

星形拓扑
环形拓扑
总线拓扑

网络的范围

局域网

LAN - 局域网。这种网络存在于有限且确定的位置。这可能是校园、教室或单一的办公大楼。局域网的一个关键特征是运行它的基础设施归组织/物业所有者所有，因此他们负责维护。

广域网

WAN - 广域网。这些网络覆盖了广阔的地理区域，通常由分布在多个地点的互连局域网组成。互联网可以被认为是一个广域网，但它们通常用于需要在不同地点建立分支机构的私人链接。

存储区域网络

SAN - 存储区域网络 - 这是一种专用的存储网络，用于数据中心的大规模数据存储。它们非常高效，因为使用的服务器将所有存储设备整合在一起，形成一个具有巨大容量和非常高性能的磁盘阵列。

城域网

MAN - 城域网 - 这些网络在城市内提供广域网服务。

个人局域网

PAN - 个人局域网 - 这些网络连接个人设备，如手机、蓝牙耳机、平板电脑和其他常见设备。

组织网络

主要有两种网络模型：客户机-服务器和对等网络。

客户机-服务器

客户机-服务器网络使用一种模型，其中一个实体（在本例中为客户机）请求另一个实体（服务器）的服务。它是最常见的网络模型，因为它将功能分开，因此是管理资源更有效的方式。它在两类不同的计算机上工作，其中服务器是一台为客户机提供服务的机器。通常，服务器体积较大，功能强大，但往往只服务于一种目的，而客户机则功能较弱，但用途更广泛。服务器还包含所有安全功能，如用户名、密码和访问权限。

对等

在这种类型的网络中，每台计算机都具有相同的身份。每台计算机都可以根据当时的具体情况充当客户机或服务器。没有中央控制系统，这意味着该模型的实施成本更低，并且能够实现无服务器文件共享等优点。BT 下载和比特币等在线货币都是对等网络的常见用途。

分层

复杂的问题，如网络通信中的问题，可以使用分层作为简化问题的一种方法。可以实现这样的典型网络分层系统

应用层

该层负责收集和分发网络上的数据。这可以是人类用户或远程设备。该层需要确定要收集的数据类型以及如何使用它，例如人类可读的格式或用于其他设备的格式。

网络层

该层负责数据在网络中的传输方式。这包括节点、使用的拓扑结构以及如何最好地将信息从源头传递到接收者。

物理层

这是网络的媒介，可以是光纤、铜缆、同轴电缆，甚至无线连接。

开放系统互联 (OSI) 模型

这是一个由 ISO（国际标准化组织）提供的公开可用的模型，它包含七层，使用抽象来轻松查看网络的每个组件

第 7 层 - 应用层

这是最靠近用户的一层。它收集或传递数据，并将数据传递到表示层和从表示层获取数据。

第 6 层 - 表示层

此层处理数据在网络上传输时的数据格式转换，以及应用程序所需的数据格式转换。此层可以处理加密和解密操作。

第 5 层 - 会话层

它负责处理连接会话的建立、管理和终止。它提供单工、半双工和全双工操作。

第 4 层 - 传输层

此层负责跟踪网络段，检查传输是否成功以及进行数据包化。

第 3 层 - 网络层

此层负责处理数据包的传输和路由。

第 2 层 - 数据链路层

它控制模型内的访问、错误检测和纠正。

第 1 层 - 物理层

它负责设备之间的物理连接以及传输介质。

协议 - 两台计算机之间通信的约定规则。这是在握手期间由计算机之间协商的。协议具有逻辑和物理组件。逻辑组件通常包括使用的错误检查类型（如奇偶校验或校验位）或比特率，而物理组件则控制数据的传输方式，例如连接计算机的电线类型（并行或串行）、WiFi 频率、使用的调制方式或路由类型。由于第一组协议是首先确定的物理协议，然后是逻辑协议，因此协议可以分层，这意味着一个协议建立在另一个协议之上。这意味着可以对单个层进行更改，而无需修改协议的其余部分。这反过来又允许协议标准化。

TCP/IP 协议栈

这是一个完整的协议集，涵盖了跨网络的数据传输。它包含四个层

应用层

此层负责数据的生成、通信和接收。应用程序必须生成可供需要它的应用程序使用的数据，例如，远程传感器必须生成用于分析程序的正确数据。（这是 OSI 模型中的第 7-5 层）HTTP（超文本传输协议）和 FTP（文件传输协议）在这一层运行。

传输层

此层负责建立和终止网络实体之间的连接。它确保数据在网络上可靠地传输。

网络层

此层提供链接以跨不同网络传输数据报。它将数据报从一个路由器定向到另一个路由器。这是 IP 工作的级别。

物理层

此层负责将数据报传输到本地物理网络 - 它旨在独立于硬件移动数据，因此它可以在任何传输介质上运行，例如铜线、光纤或 WiFi。

IP 地址与 DNS

IP 地址

在使用 TCP/IP 协议栈时，网络上的每个设备都会分配一个唯一的 IP 地址。当前使用的版本是 IPv4，它使用 32 位数字来识别设备，例如 192.167.1.254。它们是 4 个字节（一个八位字节）的组。最新版本 IPv6 使用 8 个十六进制数字组，并以类似于 MAC 地址的方式显示。IP 地址可以永久分配给设备，但这并不常见。它们通常在设备需要时动态分配，并在会话结束后释放地址。这由 DHCP（动态主机配置协议）控制。网络通常会设置他们自己的内部子网。

DNS

DNS 是域名系统，它是一个用于在网络上命名资源的系统。它是一个分层系统，在私有网络和整个互联网上使用。TCP/IP 网络上的不同设备可以使用此系统命名，因此它们都有唯一的名称。TLD（顶级域名）位于名称的最右边（例如 com、uk、net 或 edu），然后名称在域名链中向左移动。域名中的每个不同部分都用点隔开，例如 www.wikibooks.org.uk - “uk” 是 TLD，然后 “org” 是二级域名，然后是 “wikibooks” 作为三级域名。最左边的名称是主机名，即最初接收资源的计算机的名称。

这个系统旨在让人们记住友好的名称，例如谷歌或必应，而不是需要记住他们正在寻找的服务器的 IP 地址。当您在浏览器中输入网站的 URL（统一资源定位器）时，URL 会发送到 DNS 服务器，该服务器会查找友好的名称并找到其 IP 地址。如果找到它，它会将 URL 替换为 IP 地址并连接设备。如果没有，它会将 URL 转发到其他 DNS 服务器，以尝试找到所需的 IP 地址。

分组交换与电路交换

电路交换

电路交换在两个设备之间提供一个单独的物理连接，类似于电话系统过去的工作方式。操作员将两个人直接连接在一起，在通信过程中，其他任何人都无法使用该线路。这是电路交换背后的原理，尽管操作员被机电阀代替了，或者在更现代的时代使用晶体管。这种交换方法是一种资源浪费，因为它可能需要多条电缆，这些电缆价格昂贵且占用的空间很大。电路交换会话有三个过程——连接建立、数据传输以及连接释放。当需要使用持续时间较长的数据流时，它是一种可接受的技术。

分组交换

这是一种比电路交换更常见的方法。要传输的数据被分成数据包，每个数据包都包含将它们定向到正确接收者并重新组装它们所需的所有信息。数据包可以根据连接可用性通过不同的路由发送，这使得网络资源得到更有效地利用。

网络安全

身份验证

网络用户通常需要通过输入用户 ID 和密码来识别自己。这很容易被潜在的黑客获取，因为它们通常被写下来，因为人们无法记住它们。暴力攻击也可以用于尝试所有可能的密码组合。为了解决这个问题，现代安全系统通常要求另一种识别方式，例如卡片、电话或额外的安全 PIN。有时会使用验证码，这些验证码可以被人识别，但不能被机器识别，以确保登录的是人而不是自动机器。

防火墙

防火墙的目的是控制进出网络的流量。它可以是基于硬件或软件的，有时是两者的组合。它可以设置为阻止单个网站地址或特定计算机。还可以应用规则，以便过滤掉特定单词或其他比特流。数据包过滤将检查通过防火墙的数据包，如果它们与某个模式匹配，则可以拒绝它们。这在 OSI 模型的最低 3 层中起作用。其他系统可以保留数据包以确定它们是现有传输的一部分还是新消息的开始。

代理

代理能够充当防火墙，并且是位于一个网络和远程资源之间的计算机。如果用户请求网络上的服务，它首先传递给代理，然后代理服务器代表网络用户执行请求。如果资源被禁止，则可以拒绝请求，用户与资源之间永远不会有直接联系，因为代理充当“中间人”。

加密

这是一种隐藏信息的方法，以使除了预期接收者以外的任何人都无法阅读它。由于存在数据拦截的风险，它在网络中被大量使用。网络传输中通常使用大型密钥，范围从 64 位到 192 位。加密也是 VPN（虚拟专用网络）的关键组成部分，因为基础设施与多个用户共享。