PC's Note: Professor Messer’s CompTIA N10-008 Network+ Course Section 1

2023年9月16日星期六

Professor Messer’s CompTIA N10-008 Network+ Course Section 1

Introduction

由 Professor Messer 提供的線上免費課程，想要考取網路證照的人可以參考這個網站的影片及相關書籍

網址　：https://www.professormesser.com/network-plus/n10-008/n10-008-video/n10-008-training-course/

程式碼：NA

Section 1: Networking Concepts

1.1 The OSI Model

Understanding the OSI(Open Systems Interconnection) Model
OSI Model 是描述流量從如何在網路間移動的一種方式，這讓 IT 人員能以統一的術語去描述及解決問題
Application
應用層通常是人眼可看到的部份，例如電子郵件、文件傳輸、網頁瀏覽等。該層與使用者直接互動，並使用各種通訊協定 (例如HTTP、SMTP、FTP…等）來實現各種功能。
Presentation
表達層負責資料的編碼轉換、加解密及壓縮，確保資料能夠正確地被讀取和顯示。
Session
會話層負責在兩個端點之間建立、管理及終止通訊。
Transport
傳輸層，顧名思義、負責傳送數據，該層使用連接埠號來識別不同的應用程式，並提供端點間的通訊通道。
Network
網路層使用 IP 位址來識別各個節點，並根據路由表來進行路徑選擇。除此之外，網路層還處理數據的分段和重組，確保大型封包能正確地傳送至目的地。
Data Link
資料連結層負責向物理層傳遞訊號，並透過一些檢測和校驗機制來確保數據的有序傳輸。
Physical
物理層負責物理媒介 (例如網路線、光纖、無線訊號)上的信號傳遞。
Data Communication
資料傳輸的過程中伴隨著一系列的資料封裝及拆解，以下說明：
PDU (Protocol Data Unit)
PDU 是資料在不同層傳輸的基本數據單位。在資料連結層為Frame；在網路層為Packet；在傳輸層則通常被稱為 Segment 或 Datagram。資料在傳輸的過程中會在各層加入相應資訊進行封裝，送至目標設備後再進行拆解

TCP Flag
TCP Header 內的 TCP Flag 字段包含了許多控制標誌，用於表示封包的狀態和目的。例如 SYN & ACK 用於建立和確認連接，FIN 用於終止連接…等。

Maximum Transmission Unit (MTU)
MTU 是指一次可傳輸的最大封包大小。每項網路設備及傳輸媒介都有不同的MTU 值。若封包大小超出了某個節點的MTU，則需對資料進行分段後進行傳送。

實際的 MTU 值可透過 ping -f -l MTU-length IP 進行測試，其中 -f 代表在IP Header 中設定強制不分段數據。

IP Fragmentation
IP分段是指在網路層將較大的封包分割為較小的片段，以便在不同的網路環境中傳輸。當封包的大小超過某個網路節點的MTU時，路由器或網路設備會對封包進行分段，接收端的設備則負責重新組裝這些片段，以恢復原始封包。

1.2 Network Topologies and Types

Network Topologies
Star
星型拓撲是一種很常見的拓撲，所有設備都連接到一個中央設備，設備之間的通訊都通過這台設備進行。這種拓撲易於管理和擴展，然而，如果擔任中央設備的 Hub 或 Switch 失效，整個網路都會受到影響
Ring
環型拓撲中的通訊在設備之間隨著環形路徑傳輸，其優點是多了線路冗餘，常見於都市網路及網際網路。
Bus
總線型拓撲中，所有設備都連接到一條共用的“總線”。每個設備都可以在總線上傳輸或接收數據。這種拓撲簡單且易於實施，但當總線故障時整個網路可能會中斷，常見於早期的區域網路、或是機械及車用的控制器區域網路。
Mesh
網狀拓撲中，每個設備都與其他設備直接相連，形成一個完整的互連網路。這種拓撲具有高度的容錯性，當其中一個節點失效，數據可以通過其他路徑進行傳送，因建置成本及複雜度高，常見於大型企業網路。
Hybrid
將各個小型網路以不同拓樸進行連接，大雜燴。
Wireless
Wireless AP
AP 是無線網路的中心設備，讓無線設備得以連接到有線網路。
Ad hoc
無線設備可以透過臨時網路直接與其他設備對連，無需中央設備。
Wireless Mesh
無線設備之間相互連接，形成網狀網絡，常見於 IoT 環境

Network Types
網路之間連結的方式有很多種，如下
peer-to-peer
在點對點網路中，每台設備都可以是客戶端和伺服器，常用於文件共享和小型網路環境中，建置成本低，但是管理困難。

Client-server
客戶端－伺服器模型中，伺服器提供服務和資源，客戶端設備向伺服器請求這些服務。常用於大型網路環境，例如網頁及資料庫伺服器。

LAN
區域網路是在一個相對較小的區域內建立的網路，例如一個辦公室、學校或家庭。網路中的設備可以快速且高效地共享資源。

MAN
都會網路是範圍足以涵蓋城市的網路，通常由光纖或無線設備連接組成，通常由政府使用及管理

WAN
網際網路是跨越更多地理幅度的網路，例如國家或大陸。也因此速度較區域網路慢

WLAN
無線區網是透過無線技術連接設備的網路，允許用戶在一定範圍內無線存取網路資源。

PAN (Personal Area Network)
個人區網是範圍極短的網路，通常僅用於連接個人設備，如藍牙耳機、和車用系統。

CAN (Campus Area Network)
校園網路指的是連接多個相鄰建築或校園內的網路，通常用於大學、企業或政府機構。它比區域網路範圍更大，但比都會網路小。
NAS (Network Attached Storage)
NAS 簡單說就是將一台具有大容量儲存空間的檔案伺服器，用於儲存、共享及管理檔案，由於其讀寫是以檔案級別運行，適合存放不需頻繁讀寫的檔案。
SAN (Storage Area Network)
SAN 是連接儲存設備的一種專用網路，對使用者來說，使用起來像是掛載的磁碟，更可對它作格式化等操作，適合拿來當作資料庫或給 AP Server 使用，通常用於大型企業環境。其最大的用途在於其容錯與災難備援的能力，但是建置成本昂貴(光纖基礎設施)。
MPLS (Multiprotocol Label Switching)
多重通訊協定標籤交換是一種網路傳輸技術，用於提高封包轉發的效率。透過在封包的表頭添加標籤，指示路由器如何轉發，從而實現更快速的數據傳輸，企業可透過 ISP 建置的 MPLS 骨幹網路讓多個分點間的通訊速度大幅提升。
mGRE (Multipoint Generic Router Encapsulation)
mGRE 是一種在多個節點之間建立虛擬點對多點連結的技術。通常用於動態多點 VPN (DMVPN)，它能夠創建具有多個站點的動態 VPN 網，無需預先配置端點間的連結
SD-WAN (Software Defined Networking)
軟體定義式網路是一種網路架構，允許管理者通過軟體和虛擬化技術管理及改善廣域網路。
WAN Termination
Demarcation point
分界點意指 ISP 管理的網路設備的終止點，以及客戶端本地網路設備的起點，也代表 ISP 的管理責任到此為止。
Smartjack
Smartjack 是一種用於監控和測試數據連接的裝置。通常安裝在分界點附近，ISP 可透過該裝置遠端診斷 WAN 連接的狀態。

Virtual Networks
在傳統的網路架構中，路由器、交換機、閘道、防火牆、負載均衡器…等硬體設備各司其職，虛擬網路利用虛擬化技術在虛擬機上運行軟體並取代了這些設備，管理上具有更多彈性。

NFV (Network function virtualization)
NFV 是一種將傳統的網路功能( 如防火牆、路由器…等）從專用的硬體設備轉而運行在虛擬化的環境中的技術。

Hypervisor
Hypervisor 是一種軟體或硬體層級的虛擬化技術，它允許在同一物理伺服器上運行多台虛擬機，並負責將虛擬資源(如CPU, Memory)分配給每台虛擬機，確保虛擬機能正常運作。

vSwitch
vSwitch 是一種虛擬化的網路交換器，負責處理虛擬機之間以及虛擬機與實體網路間的數據流量。

vNIC (virtual network interface card)
vNIC 是虛擬化環境中的網路介面卡，讓虛擬機可以跟虛擬網路及實體網路中的機器進行通訊，每個虛擬機都可以擁有一或多個 vNIC，可透過 Hypervisor 進行設定。

Provider Links
與 ISP 相連的方式大致上可分為以下幾種
Satellite networking
衛星網路，顧名思義為透過衛星提供網際網路，特別適用於遠離城市或難以架設其他網路基礎設施的地區。使用者需要一個衛星天線來接收和傳送數據。由於存在訊號延遲、頻寬限制及容易受到天氣影響，尚未取代原有的網路連接方式，而近期星鏈的新技術有希望將延遲大幅度降低。
Copper
銅線是傳統的通訊媒介，其速度和性能會隨著距離而衰減。
DSL
DSL 是一種使用電話線提供數據傳輸的技術，適用於家庭和小型企業用戶。
Cable broadband
同軸電纜常用於有線寬頻，例如有線電視公司提供的服務，即是透過同軸電纜同時提供網路、電視及電話服務。
Fiber
光纖是一種高速的傳輸媒介，提供非常高的下載和上傳速度，並且具有低延遲和高穩定性，但架設成本也更高。
Metro Ethernet links
都會乙太網路最初是一種在都市區域內提供高速網路連接的方式。通常為企業、政府及教育機構採納，提供各個辦公室或分點間高頻寬、低延遲的通訊。

1.3 Cables and Connectors

Copper Cabling
部分內容同 220-1101 Section 3.1
Twisted pair
略
Coaxial cable
略
Twinaxial cable
雙軸電纜類似於同軸電纜，但包含兩個獨立的中心導體，每個導體都由絕緣層包裹並由外部絕緣層保護。這種設計提供了更好的抗干擾性能和較高的頻寬。
Structured cabling standard(T568A /T568B)
略
Optical Fiber
內容同 220-1101 Section 3.1
略

Network Connectors
斯
RJ11, RJ45, F connector
內容同 220-1101 Section 3.1
LC, ST, SC
略
MT-RJ (Mechanical Transfer Registered Jack)
MT-RJ 是一種小型的光纖連接器，與 LC 連接器類似，其特點是體積小，通常用於需要將最大數量的連接器安裝在有限空間內的場合，例如數據中心。
UPC/APC (Ultra/Angled Physical Contact)
光線在作為訊號傳遞時不免會有回波損耗(Return Loss)，指的是訊號從源頭注入後，反射回源頭的功率比例，光纖系統中的回波損耗主要是由連接點處引起的，例如連接器端面的污染、拋光不良、配對不良…等，或是光纖中的裂縫以及在製造過程中進入光纖芯中的雜質引起。

對於需要高精度光纖訊號傳輸的應用(例如高品質影像訊號)，可選擇回波損耗較高的 APC 連接器(-60dB)，而對於對光纖信號不太敏感的應用，可以選擇 UPC 連接器(-50dB)，或是單純的 PC 連接器(-40dB)。

Network Transceivers
Media converter
媒體轉換器是將一種網路媒體類型轉換為另一種類型的設備，例如連接銅纜及光纖網路，用於擴展網路範圍，需要獨立的電源供應。
Transceiver
收發器雖然指的是結合收發功能的設備，但以下說明都是以光模組為主體。
SFP and SFP+ (Small Form-factor Pluggable)
SFP 和 SFP+ 是一種小型的光纖或銅纜收發器模組、又稱光模組，用以實現不同傳輸速率和媒體類型的連接。SFP 通常支持1 Gbps 的傳輸速率，而SFP+ 則為10 Gbps。
QSFP (Quad SFP)
QSFP 比SFP的體積更大，但能容納 4 倍的訊號量模塊，可以實現更高的傳輸速率，通常用於高性能數據中心和網絡連接。它可以支持多個通道，並提供40 Gbps或更高速率的傳輸。
BiDi (Bi-Directional)
BiDi 是一種光纖通信技術，它允許在單根光纖纜線上實現雙向數據傳輸，這可以節省光纖的使用，特別適用於有限空間或需要節省成本的情況。

Cable Management
良好的配線管理可以維持減少故障和維修時間，提高系統的可維護性
Fiber distribution panel
光纖配線盤是一種用於組織和管理光纖電纜連接的設備。由於佈線費用昂貴，很少人會直接將光纖連接到人員的辦公室電腦，而是部屬在建築物之間或是樓層之間，並在兩端使用光纖配線盤。

配線盤的內部通常會設計軌道及熔接槽方便人員整理線材，這是因為光纖有其彎曲半徑限制，避免人員折損到線材並保護熔接點。

66/110 block
66 型和 110 型模塊通常可在配線架上看到，讓管理員能在不需要焊接或安裝連接器的情況下快速連接線纜。66 型用於連接類比電話系統，而110 型模塊相比于 66 型支援更高的傳輸速率，在電話系統方面已大部份取代66型，並倍使用在網路系統中。
Krone block
與 110 block 相似，是歐洲專用的模塊。
BIX (Building Industry Cross-connect)
與 110 block 相似，是加拿大開發的模塊。

Ethernet Standards
乙太網路是一種電腦網路技術。IEEE 組織的 IEEE 802.3 標準制定了乙太網路的技術標準，它規定了包括實體層的連線、電子訊號和媒介訪問控制的內容。以下介紹各種乙太網路類型：
BASE (baseband)
BASE前面的數字代表該條網路線使用的基帶技術，而後發的英文則對應著使用的線材，如T代表雙絞線。
10BASE-T (twisted pair)
這是一種使用雙絞線作為傳輸媒介的乙太網標準，支援最大 10 Mbps 的傳輸速率，最大傳輸距離為 100 米，由於只使用到兩對絞線，只需要Cat. 3 以上的線材。
100BASE-TX
支援最大 100 Mbps 的傳輸速率，最大傳輸距離為 100 米，需使用Cat. 5 以上的線材。100BASE-TX又被稱為Fast Ethernet
1000BASE-T
支援最大1 Gbps 傳輸速率，最大傳輸距離為 100 米，使用到四對絞線，因此需要Cat. 5e 以上的線材。
10GBASET-T
支援最大 10 Gbps 傳輸速率，屏蔽電纜的最大傳輸距離為 100 米，需要Cat. 6 以上的線材。
40GBASET-T
支援最大40 Gbps傳輸速率，最大傳輸距離為 30 米，需要Cat. 6 以上的線材。
100BASE-FX/SX
支援 100 Mbps 傳輸速率，FX 使用多模光纖，在全雙工模式下其最大傳輸距離可達到2公里，SX使用LED，最大傳輸距離為300米。
1000BASE-SX/LX
支援 1 Gbps 傳輸速率，SX使用短波長雷射的多模光纖，其最大傳輸距離為550米，LX使用長波長雷射，在多模光纖上最大傳輸距離為550米，在單模光纖上最大傳輸距離可達5公里。
10GBASE-SR/LR
支援10 Gbps 傳輸速率，SR 使用多模光纖，其最大傳輸距離為400米，LR 使用單模光纖，最大傳輸距離可達10公里。
WDM (Wavelength-Division Multiplexing)
波長分波多工是一種光纖通訊系統，其利用多個雷射器在單條光纖上同時發送多束不同波長的雷射，經過接收端分離後，每束雷射都在它獨有的色帶內傳輸。從而使得傳輸容量大增，過往需要多條光纖的應用場景透過此系統可縮減到 2 條作備援。

如今的 DWDM (Dense WDM) 系統可支援 150 多束不同波長的光波同時傳輸，每束光波最高達到 100Gb 的傳輸速率。換言之，這種技術能在一條光纖上提供超過 15Tb 的傳輸速率。

1.4 IP Subnetting

Binary Math
二進制幾乎是所有資訊科技的基本構造，略
IPv4 Addressing
Settings
若要在設備上設定IPv4，需要提供以下三項資訊
IP 位址
IP 位址是設備在該網路上的唯一標識，以XXX.XXX.XXX.XXX 的型態表示，如192.168.1.1，在設定 IP 位址時，可以選擇手動配置固定 IP 或使用 DHCP 自動配發
子網遮罩
子網遮罩定義了設備所在網路的範圍，通常會與 IP 位址一併設置，若沒有子網遮罩，設備就不知道哪些訊息要在本地通訊，哪些訊息要發送給預設閘道進行轉發。常見到的子網遮罩如: 255.255.255.0。
預設閘道
預設閘道用於將封包發送到其他網路上的路由器或網路設備。通常是本地網路的路由器 IP 位址。
其他如 DNS 伺服器…等
DNS 伺服器負責將域名解析為 IP 位址。
Special Addresses
Loopback addresses
Loopback address 通常表示為 127.0.0.1。用於設備內部測試和本地通訊。當您需要測試電腦本身通訊是否有問題時，可以嘗試 ping 這個 IP 進行確認。
Reserved addresses
保留位址是指保留用於特定用途的 IP 位址範圍，其範圍從 240.0.0.1 到 254.255.255.254。
Virtual IP addresses
虛擬 IP 位址並未實際分配給實體網卡，而是在系統內進行分配，通常用於如負載均衡、備援機、虛擬機…等用途。
DHCP
DHCP 是一是一種網路協定，用於自動分配 IP 位址、子網遮罩、預設閘道等網路配置給連接到網路的設備。讓管理員更有效地管理 IP 位址及簡化工作流程。
APIPA (Automatic Private IP Addressing)
當設備無法從 DHCP 取得有效 IP 位址配置時，系統會自動分配一個 APIPA 位址給設備，讓設備可以在同一個子網內進行通訊。其地址範圍通常是169.254.1.0到169.254.254.255。

Network Address Translation
網路位址轉譯的主要目的是將內部私有網路的多個設備映射到單一或多個公共 IP 位址上，以實現網際網路連接。

Private addresses
私有 IP 位址的的範圍如上表所述，私有 IP 通常用於建置內部網路，這些 IP 不可直接連接到網際網路，需要透過 NAT 轉換。

NAT overload/ Port address translation
NAT Overload 透過使用不同的端口來區分設備流量。讓多個內部設備可共用同一個公共 IP 位址與網路網路進行通訊。

Network Communication
設備之間進行資料傳輸的過程中，確定資料要傳送到哪裡是件很重要的事情，以下介紹尋址的幾種方法：
Unicast
單播是最常見的通訊方式，封包從一個發送者傳送到一個具體的接收者。廣泛用於 IPv4 及 IPv6 中，有很多協定預設就是採用單播，例如HTTP, FTP, SMTP…等。
Broadcast
廣播對廣播域中的所有設備發送訊息，但在大型網路中會產生大量流量，進而衍生出許多問題，因此 IPv6 中沒有廣播，常見應用有 ARP 及 DHCP…等
Multicast
多播將封包同時發送到多個已加入特定多播群組的接收者，而不是如廣播一樣對所有設備進行無差別放送，常見應用有視訊會議…等。
Anycast
任播將封包發送給任播群組中的其中一個設備，這些設備具有相同的任播位址，但封包僅發送到距離最近的目標設備。通常用於實現負載均衡和高可用性服務及 DNS 架構。

Classful Subnetting
分級式定址是 1993 年以前使用的網路劃分及 IPv4 位址配置方法，因為其使用 IP 位址的效率及設定彈性不足，現已被淘汰。

這種方法根據 IP 位址的第一個 octet 來決定該網路的類別 (Class A, B, ..., E)，每個類別使用固定的子網遮罩，將 IP 位址劃分為主機位址和網路位址。
Example
172.16.88.200
根據上表，首位在128~191之間，分類為 Class B
根據上表，子網遮罩為255.255.0.0
根據子網遮罩，網路位址前 16 位元為 1，得出172.16.0.0
第一個可用主機位址為網路位址+1，得出172.16.0.1
廣播位址為網路位址後面位元塞滿1，得出172.16.255.255
最後一個可用主機位址為廣播位址-1，得出172.16.255.254

IPv4 Subnet Masks
子網遮罩是一個 32 位的二進制數字，用於區分一個 IP 位址的網路位址和主機位址，藉此將網路分割成多個子網路，其格式同 IP 位址，例如： 255.255.255.192，以 CIDR (Classless Inter-Domain Routing) 表示則為 /26。

Calculating IPv4 Subnets and Hosts
若使用可變長度的子網遮罩，以 192.168.11.0/26 為例，該 IP 為 Class C，固定子網遮罩為 /24，但實際上給了 /26，多出來的2位元為進一步分割出的子網位址，根據公式可算出以下資訊：
子網數量為 2 的子網位元數次方：2 ^ 2 = 4
各個子網的主機數量為 2 的主機位元數次方 - 2：(2 ^ 6) - 2 = 62

Magic Number Subnetting / Seven Second Subnetting
若今天已得知 IP 位址為 165.245.77.14、子網遮罩為/20
計算子網遮罩的另一種表示方式：128+64+32+16，得出 255.255.240.0
該 IP 的網路位址計算規則為
遮罩為255：照抄對應的 IP 位址
遮罩為0 ：填 0
遮罩為其他數字：找到 16 (256 - 240) 的倍數中比 77 小但最大的數字 = 64
得出165.245.64.0
該 IP 的廣播位址計算規則為
遮罩為255：照抄對應的網路位址
遮罩為0 ：填 255
遮罩為其他數字：將對應的網路位址加上 16 (256 - 240) - 1 = 64 + 16 - 1 = 79
得出165.245.79.255
第一個可用主機位址為網路位址+1，得出165.245.64.1
最後一個可用主機位址為廣播位址-1，得出165.245.79.254

IPv6 Addressing
IPv6 最初是設計來取代 IPv4，用以應對不斷增長的設備連網需求。IPv6 位址由128 位的二進制數字組成，通常以 8 組 4 位的十六進制數字表示，例如：2001:0db8:85a3:0000:0000:8a2e:0000:7334

Compression
由於 IPv6 位址真的很長，在表示式中可透過以下規則減少位址的總
去除每個位元組中前綴為 0 的部份
→ 2001:db8:85a3:0:0:8a2e:0:7334

用雙冒號取代整個位元組皆為零的組別，若這些為零的位元組相鄰，可依次取代多個位元組，但一組 IP 位址中只能進行一次這樣的處理：
→ 2001:db8:85a3::8a2e:0:7334

EUI-64 conversion (Extended Unique Identifier-64 conversion)
EUI-64 是在沒有 DHCP Server 情況下產生 IPv6 位址的方法，步驟如下：
將設備的 MAC (48 bits) 拆分成前後兩組，前者為組織的唯一標識碼、後者為裝置序號
在兩組之間插入 FFFE (16 bits)
對 64 bits 位址的第 7 個 bit 進行 NOT 運算，換言之，將第二個 16 進制的數字拆成 4 個二進制的數字，並對第 3 個二進制數字進行 NOT 運算後再轉回 16 進制，簡易來說規律為 4 個數字循環作加減 2 的動作
0123：前半段 + 2、後半段 - 2
4567：4→6、5→7、6→4、7→5
89AB：同上
CDEF：同上

IPv6 Subnet

IPv6 沒有子網遮罩，取而代之的是前綴長度，前綴長度和 CIDR 表示式的原理類似，代表 IP 位址中，有多少位元定義了它所在的網路。

通常前 48 個位元分別由 IANA, RIR & ISP 進行分配，使用者最終可得到一個含有 65536 個子網，每個子網可容納 2^64 -2 台設備的網路

Configuring IPv6
Tunneling IPv6
6to4
6to4 是一種 IPv6 轉換傳輸機制，將 IPv6 的封包直接封裝在 IPv4 的封包中，並透過內嵌於 IPv6 位址的 IPv4 位址資訊實現在 IPv4 網路上傳輸。該機制需要使用較新的路由器且不支援 NAT。

4to6
相反地，4to6 Tunneling 允許透過 IPv6 網路傳輸 IPv4，較少機會使用到

Teredo/Miredo
Teredo 讓 IPv6 得以在 IPv4 網路上傳輸，且支援NAT，不需要另外架設路由器或網路設備。

Dual-stack routing
雙棧路由是一種網路技術，具有該功能的網路設備可以同時處理 IPv4 和 IPv6 的封包，從而實現 IPv4 到 IPv6 的過渡。

NDP (Neighbor Discovery Protocol)
鄰居發現協議是 IPv6 網路中用於管理設備之間關係的協議。包括尋找鄰居、發現路由器、地址解析和重定向等功能。

透過鄰居請求 (NS, Neighbor Solicitation) 的多播協議將請求發送到多播位址，網路上與該請求匹配的任何設備都會回傳鄰居通告 (NA) ，這有效地取代了 IPv4 中使用的地址解析協議 (ARP) 功能。
SLAAC (Stateless Address Auto-configuration)
SLAAC 是一種 IPv6 位址的配置方法，它允許設備在沒有DHCP 伺服器的狀態下自動獲取 IPv6 位址。
DAD (Duplicate Address Detection)
重複位址檢測是在設備配置 IPv6 位址時的一個步驟，透過向多播群組發送NS，確保新位址在網路上是唯一的。
RS & RA (Router Solicitation and Advertisement)
RS 是設備請求網路配置的訊息。RA 則是路由器發送給網路上設備的訊息，用於提供網路配置，例如 IPv6 前綴、預設閘道…等。

端點透過 SLAAA 獲得 IPv6 過程如下：

端點以鏈路本地位址為自身建立 UEI-64 位址
端點向鏈路本地位址的多播群組發送 NS，執行 DAD 檢查
端點向路由器所在的多播群組發送 RS
路由器向鏈路本地位址的多播群組發送 RA
端點接收到 RA，設定 IPv6 位址，並將該路由器設為預設閘道
端點向 IPv6 位址的多播群組發送 NS，執行 DAD 檢查

1.5 Ports and Protocols

Introduction to IP
IP 是網際網路通訊的協定，負責封包交換，以乙太網路的幀來說，最外層有乙太網路的表頭表尾、再來是 IP 的表頭及其資料體，而資料體又可以被拆解成TCP/UDP表頭及其資料體。

TCP
TCP 是一種連接導向的協議，在實際傳輸資料前會先透過三向交握建立連線，且在封包丟失時具有相應機制可以請求發送端重新傳輸資料，用於在設備之間建立可靠的數據傳輸連接。

UDP
UDP 不像 TCP 那樣可靠，單純在設備之間傳遞數據，因此更適合一些需要高即時性、但不要求高可靠性的應用，如影音通訊。

Port
通訊埠是一種經由軟體建立的服務，在作業系統中扮演通訊端點。設備間可透過IP 與通訊埠的組合，同時使用多個應用程式進行通訊。

Common Ports
Telnet (Telecommunication Network) - tcp/23
Telnet 是一種網路協定，用於登錄到遠端主機，透過文字介面進行操作。然而該項協定未使用加密保護數據，容易受到攻擊者的竊聽和入侵。

SSH (Secure shell) - tcp/22
SSH 與 Telnet 相似。唯一的差別在於所有資料接透過加密形式發送。

DNS (Domain Name System) - udp/53, tcp/53
DNS 用於將域名轉換為 IP 位址。大多數 DNS 都使用 UDP 進行通訊，僅在傳輸資料量超過 UDP 限制時使用 TCP。

SMTP (Simple Mail Transfer Protocol) - tcp/25, 587
SMTP 用於發送電子郵件，一般使用 25 通訊埠，當使用 TLS 加密時為 587 通訊埠。

POP3 (Post Office Protocol ver.3) - tcp/110, 995
POP3 只用於單向從郵件伺服器下載電子郵件到本地客戶端，缺乏許多收發信軟體常見的基本功能，一般使用 110 通訊埠，當使用 TLS 加密時則為 995 通訊埠

IMAP (Internet Message Access Protocol) - tcp/143, 993
IMAP 是另一種接收電子郵件的協定，使用者可以在多個設備上訪問相同的電子郵件帳戶並保持信箱內容同步，一般使用 143 通訊埠，當使用 TLS 加密時則為 993 通訊埠

SFTP (Secure FTP) - tcp/22
SFTP 是一種基於SSH的文件傳輸協定，提供加密的數據傳輸和身份驗證機制，用於保護文件的機密性和完整性。

FTP (File Transfer Protocol) - tcp/20, 21
FTP 是一種用於傳輸文件的協定，在傳輸過程中未加密，不建議在不安全的網絡上使用，使用 20 通訊埠傳輸數據、21 通訊埠傳輸控制訊息。

TFTP (Trivial FTP) - udp/69
TFTP 是一種簡易的文件傳輸協定，相較於 FTP 缺乏帳號驗證及連線確認機制。

DHCP (Dynamic Host Configuration Protocol) - udp/67, 68
DHCP 用於自動分配 IP 位址、子網遮罩、預設閘道和其他網路設置，簡化網路管理。

HTTP/ HTTPS (Hypertext Transfer Protocol) - tcp/80, 443
HTTP 用於瀏覽網頁。HTTPS 則是 HTTP 的安全版本，通過使用 SSL/TLS 加密協定來保護數據的機密性和完整性。

SNMP (Simple Network, Management Protocol) - udp/161, 162
SNMP 通常用於監控和管理網路設備，其透過 161 通訊埠與裝置進行通訊，並以 162 通訊埠接收設備回傳的資訊。

syslog - tcp/514, udp/514
Syslog 是一種用於日誌記錄和事件管理的協議。它允許設備和應用程式將日誌發送到集中式的日誌伺服器，以便日後審計、故障排除使用。

RDP (Remote Desktop Protocol) - tcp/3389
RDP 是由 Microsoft 開發的遠端桌面協議，允許使用者通過網路遠端存取Windows 作業系統。

NTP (Network Time Protocol) - udp/123
NTP 用於同步電腦和其他網路設備的系統時間。這對於日誌的一致性及關聯分析非常重要。

SIP (Session Initiation Protocol) - tcp/5060, 5061
SIP 用於建立、管理及終止語音通話，如 VoIP 電話和視訊會議。

SMB (Server Meaaged Block) - tcp/445
SMB 是一種用於共用設備文件及列印…等功能的協議。

LDAP (Lightweight Discovery Access Normal) - tcp/389
LDAP 用於存取帳號、密碼及其他與目錄服務相關的訊息，一般使用 389通訊埠，當使用 SSL 加密時則為 636 通訊埠

Database - tcp/1521 or tcp/3306 or ...
不同資料庫使用不同的端口來接受連線請求，例如 MySQL 通常使用 TCP 3306 通訊埠， Oracle 則是使用 TCP 1521通訊埠

Other Useful Protocols
ICMP (Internet Control Message Protocol)
ICMP 是用來診斷網路通訊問題的網路層通訊協定，用於發送諸如網路不可達、主機不可達、超時等訊息，協助管理人員進行故障排除。

GRE (Generic Routing Encapsulation)
GRE 是一種通訊協定，用於封裝資料封包以建立直接網路連線，通常用於創建 VPN 或在不同的網路之間建立連接。

VPN (Virtual Private Network)
VPN 使用加密和隧道協議，讓遠端使用者能安全地連接到企業網路或網際網路。

lPSec (Internet Protocol Security)
IPSec 是用於建立安全網路連線的通訊協定，在網路層將傳輸的資料進行加密，以下列出其中的兩個協定，這兩個協定可以搭配運作，其運作方式又會跟其使用Transport Mode 或是 Tunnel Mode 而有差異：
AH(Authentication Header) in tunnel mode
AH 在封包前端新增了用於驗證身份的表頭，表頭內容包含原有 IP 封包表頭的雜湊值以及雙方共享的密鑰，接收端在接收封包時進行雜湊運算，確保資訊沒有被竄改。
ESP (Encapsulating Security Payload) in tunnel mode
ESP 在 IP 封包前端新增 ESP 表頭、尾端新增 ESP 表尾，將原有 IP 表頭到ESP 表尾的部分進行加密，最後計算完整性檢查值新增在封包尾端，接收端在收到封包時計算檢查碼進行比對，相符即進行解密

1.6 Network Services

DHCP Overview
DHCP可自動為網路上的裝置分配 IP 位址，子網遮罩及網路閘道等網路設定，簡化人為設定過程及失誤，還可設定這些 IP 的租用時間，以下是 IP 分配流程及相關名詞介紹。
Process
DHCP Discover
DHCP Discover 是由客戶端發送的廣播訊息，用來尋找可用的 DHCP 伺服器。
DHCP Offer
DHCP Offer 是由 DHCP 伺服器回應給 DHCP Discover 的訊息。訊息內容包含一個可用的 IP 位址及其他網路配置，供客戶者端選擇，該封包根據客戶端的設定有可能是廣播或是單播封包。
DHCP Request
DHCP Request 是客戶端送出的廣播封包，除了向選定的 DHCP 伺服器表示接受提供的 IP 位址，也向其他有提供 IP 位址的 DHCP 伺服器表示不採用。
DHCP Acknowledge
DHCP Acknowledge 是 DHCP 伺服器對客戶端的 DHCP Request 的回應，確認 IP 位址分配成功，並提供租約時間及相關設定。
DHCP relay and IP helper
在實際運作的網路環境中，DHCP 伺服器與客戶端通常位於不同的子網，透過DHCP relay 或 IP helper 讓客戶端可以向其他子網中的 DHCP 伺服器請求 IP。

這兩種名詞主要的差異在 DHCP relay 在封包經過時，通常會改寫來源端為本身，而 IP Helper 則否，且 IP Helper 不只用於 DHCP，也常使用在 NetBIOS 或TFTP 等協定

Configuring DHCP
設定 DHCP 時，您需要提供 IP 位址範圍、該範圍內不允許發放的 IP 位址、子網遮罩、預設閘道、租約時間、DNS Server…等等
DHCP Pools
Pool 指的是 DHCP Server 上的可用 IP，當客戶端請求 IP 位址時，伺服器會從可用 IP 中分配 IP 地址。
DHCP leases
租約是指 DHCP 伺服器向客戶端分配的 IP 位址可用時間。
Timer
用於追蹤 DHCP 租約的有效期。當 DHCP 租約到期時，客戶端需要更新租約或重新申請 IP 地址。
T1 timer
在租約一半時間觸發，裝置會嘗試向當初分發租約的 DHCP Server 進行續訂，並 Reset Timer
T2 timer
在租約7/8時間觸發，若裝置一直無法連線至原有的 DHCP Server，裝置會嘗試向網路上的其他 DHCP Server 進行該 IP 位址的續訂
DHCP address Allocation
Dynamic
動態分配，管理人員會在 DHCP 伺服器上設定一個 IP 位址範圍以及租約期限，讓 DHCP 伺服器自動分配 IP 位址。並回收沒有續訂的 IP 位址。
Automatic
自動分配與動態分配類似，但自動分配的 IP 位址沒有租約期限，在這種模式下，DHCP 伺服器會記錄每個客戶端曾經使用過哪些 IP 位址。
Manual
靜態分配，DHCP 伺服器會根據 IP 保留區 (Reservation) 的 MAC 位址與 IP 位址的對應表來分配 IP，而這個對應表格是手動輸入的。只有擁有 MAC 位址對應到的客戶端才可以取得相對應的IP位址。

An Overview of DNS
DNS 用於解析網際網路上的域名，例如 www.example.com 和 IP 位址之間關係的協定，它允許人們使用易於記憶的域名來訪問網站，而不是直接使用 IP 位址。

DNS Hierarchy
DNS 用層次化的方式組織域名，從根域名(.) 開始，分為頂級域名(.com, .uk, ...)、次級域名 (example.com, ...)。每個域名都可以包含子域名，從而形成層次結構。

Internal and external DNS
內部 DNS 通常僅用於內部網路，它負責解析內部網路上的主機名稱和 IP 位址的對應關係。外部 DNS 則用於解析網際網路上的域名和 IP 位址的對應關係。企業通常會使用內部 DNS 來管理其內部網路設備，同時使用外部 DNS 讓公司外的人員可以訪問企業網站，其中外部 DNS 可以選擇由 ISP 託管或是自行建立。

Recursive and Iterative query
遞迴查詢是當 DNS 客戶端向 DNS 伺服器發送查詢時，DNS 伺服器會負責查找，並在找到目標或達到根域名伺服器時返回完整的資訊。迭代查詢則是當 DNS 客戶端向 DNS 伺服器發送查詢時，DNS 伺服器回覆下一個DNS伺服器的位置給客戶端，由客戶端繼續查詢。

Authority
進行 DNS 查詢時，有時會得到"未經授權的回答"，這是因為我們所查詢的 DNS 伺服器將其內部快取中對應的紀錄直接回傳，而非從目標網域的 DNS Server 獲得的最新資料。

Forward and Reverse lookup
前向查詢是根據域名查詢對應的IP地址。例如，查詢www.example.com的IP地址。反向查詢是根據IP地址查詢對應的域名。例如，查詢某個IP地址的域名。
DNS Record Types
Zone Transfer
區域轉移是從主要 DNS 伺服器將特定正向查詢區域檔同步到次要 DNS 伺服器的過程，透過 SOA 的設定可實現定期同步，提高可用性。

Forward lookup zone file
正向查詢區域檔案是 DNS 中的設定檔，以下是會記錄在設定檔中的各項 Record
Record types
SOA (Start of Aythority)
每個 Zone 只會存在一筆 SOA ，它包含了 Zone 的基本訊息，如網域的名稱及架構、負責人的郵件地址、Zone的版次、到期時間和其他參數。

A / AAAA (Address)
A 用於將主機名稱對應到 IPv4 位址，而 AAAA 則用於將主機名稱對應到 IPv6 位址。

CNAME (Canonical NAME)
CNAME 用於創建主機別名，將一個主機名稱對應到另一個主機名稱。這允許管理者將多個域名指向同一個主機。

SRV (SeRVice)
SRV 用於指向服務的主機與連接埠，管理者需要提供服務名稱、協議、埠號、優先順序及指定的主機 (A/AAAA)，通常用於 VoIP 及LDAP…等。

MX (Mail eXchange)
MX 用於指定負責接收電子郵件流量的郵件伺服器(A/AAAA)。

NS (Name Server)
NS 用於指定網域的DNS 伺服器，這些伺服器負責回答該域名下的DNS查詢。

PTR (Pointer)
PTR 用於反向 DNS 查詢，將 IP 位址對應回主機名稱，通常用於反垃圾郵件的機制。

TXT (Text)
TXT 用於儲存文本信息，通常用於電子郵件驗證(SPF, DKIM, DMARC)。

An Overview of NTP
NTP 是一種用於校準電腦和其他設備時間的協定，這對於日誌記錄及驗證功能非常重要驗認：
NTP伺服器
企業網路中通常存在多個 NTP 伺服器，這些伺服器通常與層級較高的 NTP 伺服器進行同步。
NTP客戶端
客戶端向伺服器發出請求更新時間。
Stratum Level
NTP Server 可依據其同步的時間來源進行分級，正常情況下應盡可能與層級較低的 NTP Server 進行同步
Level 0
原子時鐘或是 GPS 衛星系統時間，極精準
Level 1
與 Level 0 設備同步時間的設備，以下依此類推

1.7 Network Architecture

Network Architectures
3-tier
三層式網路拓樸是企業網路中常用的架構
Core Tire
主要服務的所在地，例如資料庫、DNS、AD…，幾乎每個人都需要存取這些服務
Distribution Tier (Aggregation Tier)
管理所有使用者與 Core 之間的通訊
Access Tier
使用者所在的位置，現實中在同一層樓會有多個 Access Switch，並收攏至 Distribution Switch，並透過這些 Switches 連接到Core
SDN
軟體定義式網路是一種新的網路方法架構，為了解決傳統網路中，硬體抽換造成服務中斷以及需各別設定組態的問題而誕生。
Data plane
處理封包流量，如轉送、中繼、加密、解析地址等

Control plane
使用 Application plane 傳遞來的資訊 (EX: Routing table、session table, NAT table...) 管理 data plane 的行為

Management plane
負責定義提供的服務(Load balance, monitor, ...)、傳遞資源請求與網路整體資訊給Control plane，通常可透過SSH、網頁服務及API進行操作

Spine and Leaf
葉脊網絡架構是一種高效的網路拓撲，具有可擴展性和彈性，適用於支持大型數據中心和雲計算環境，但建造成本較高。
Spine
脊柱通常由一組高頻寬的網路設備擔任，用於連接不同的存取層設備到核心層，與三層式架構的差異在於脊柱之間並不互相連接。

Leaf
葉節點允許終端設備連接到網路，並通過脊柱連接到核心層。

Storage Area Networks
SAN是一種高速的數據儲存網路，提供高效的數據儲存、傳輸和管理，以滿足大型企業和數據中心的需求。
Fibre Channel
光纖通道是一種高速數據傳輸協議，也可使用銅纜連接。主要用於連接伺服器與儲存裝置，特別適用於大型數據中心和要求高性能的環境，支援高達16 Gbps 或 32 Gbps 的傳輸速度，使用時須搭配 Fiber Channel Switch。

Fibre Channel over Ethernet
FCoE 是一種將光纖通道傳輸技術與乙太網路結合的方法。它允許光纖通道數據通過乙太網傳輸，使得未具備光纖通道網卡的伺服器連結到光纖通道網路，同時提供光纖通道的性能優勢。

iSCSI (Internet Small Computer System Interface)
iSCSI 是一種通過乙太網路傳輸 SCSI 協議的方法，實現儲存設備之間的數據傳輸，成本較低且易於部署，適用於中小型企業和小型數據中心，不需要專用的硬體設備。

1.8 The Cloud

Cloud Models

IaaS (Infrastructure as a Service)
IaaS 提供的是最基本的雲端基礎設施，包括虛擬機、儲存、網路等，管理者可以自行管理和配置這些資源。其主要優點是彈性高，管理者可以根據需要靈活地擴展或縮小資源。同時，管理者可以完全掌控作業系統和應用程式。

PaaS (Platform as a Service)
PaaS 提供了一個完整的應用程式開發和運行環境，包括操作系統、網路、資料庫、開發工具等。管理者只需要專注於應用程式的開發和部署，而不需要擔心基礎設施的管理。然而，用戶只能使用提供商提供的開發工具和環境，無法完全控制系統和應用程式

SaaS (Software as a Service)
SaaS 提供的是一個完整的應用程式，使用者可以直接使用應用程式，而不需要考慮底層的基礎設施和平台。但是管理者只能使用供應商提供的軟體功能做微調，無法進行複雜的自訂和擴展功能。

DaaS (Desktop as a Service)
DaaS 提供了虛擬桌面環境，允許使用者遠端訪問及運行應用程式，它將作業系統、應用程式和數據儲存在遠端伺服器上，並通過網際網路提供給用戶。
Designing the Cloud
對管理者來說，在雲內部發生的大部份事情都是透過軟體定義及操作的，有時只需要點擊一個按鈕，就可以立即建立好伺服器環境，使用上便利性及彈性很高，但也因此需要制定正式的流程來配置和取消配置這些服務，避免影響運行中的應用程式、浪費資源或衍生安全性問題。
Infrastructure as Code
基礎設施即代碼讓管理員可以透過程式碼，以文件或腳本的形式來自動化管理和配置基礎設施資源，例如伺服器、網絡、儲存空間和虛擬機。
VPC(Virtual Private Cloud) Endpoints
虛擬私有雲端點是雲端環境中的一個功能，它允許虛擬私有雲中的設備和服務直接訪問其他雲端服務，而無需通過網路網路。這提供了更高的安全性和低延遲，特別是當訪問雲端服務時需要保持內部網絡的隔離時。
VM Escape
虛擬機逃脫是指攻擊者成功越過虛擬化層，從一個虛擬機中的環境中逃出，並獲得對所在主機或其他虛擬機的存取權限。

沒有留言:

張貼留言

訂閱：張貼留言 (Atom)