實作網路時使用的網路通訊協定
當您考慮移至雲端時,請務必了解網路運作方式的基礎。 了解網路組合的第一個步驟是了解網路裝置如何相互通訊。 此知識適用於您組織的網路及更廣泛網路 (例如 Web)。 相同原則適用於所有網路。
在本單元中,您會了解在以網際網路為基礎的網路上啟用通訊的基本網路通訊協定。
網路通訊協定
網路通訊協定是一組條件和規則,可指定網路裝置在指定網路上的通訊方式。 它提供建立和維護通訊通道的通用架構,以及應如何在發生錯誤或故障時加以處理。 網路通訊協定允許在各種具備網路功能的裝置之間進行通訊,例如膝上型電腦、平板電腦、智慧型手機、桌上型電腦、伺服器,以及其他具備網路功能的裝置。
在組織網路架構的設計中,網路通訊協定是基本的建置組塊。 有數個可用的網路通訊協定。 每個網路通訊協定都有許多可控管其使用及實作的屬性。
讓我們先定義數個詞彙,再查看一些常用的網路通訊協定。
什麼是網路位址?
網路位址是識別具備網路功能之裝置的唯一識別碼。 具備網路功能的裝置,其可能有一個以上的位址類型。 在此討論中,我們只著重於兩種位址類型。
第一個類型是媒體存取控制 (MAC) 位址,可識別硬體層級的網路介面。 第二個類型是網際網路通訊協定 (IP) 位址,可識別軟體層級的網路介面。
我們稍後將更詳細地探討這兩種位址類型。
什麼是資料封包?
資料封包是一種單位,用來描述網路上兩個裝置彼此傳送的訊息。 資料封包由未經處理資料、標題及可能的尾端組成。 標頭包含數個資訊項目。 例如,其包含寄件者和目的地裝置位址、封包大小、使用的通訊協定,以及封包號碼。 資料封包中的結尾會處理錯誤檢查。
此概念類似於在傳送郵件時一次只寄出一段內容。 例如,不在一個信封中傳送數頁,而是在個別信封中傳送每一頁。 每個信封中傳送足夠的資訊,收件者在收到所有信紙之後能夠拼湊出完整的訊息。
什麼是資料包?
資料包被視為與資料封包相同。 資料包通常是指不可靠服務的資料封包,無法保證傳遞。
什麼是路由傳送?
路由是網路內容中的一項機制,可確保資料封包在不同網路上的傳送裝置與接收裝置之間,能夠遵循正確的傳遞路徑。
例如,請考慮您所使用的電腦,以及提供您目前所正在閱讀頁面的伺服器。 可能會有多個網路與您的電腦和伺服器連線,而這兩個裝置之間可能會有各種不同的路徑。
通訊協定類別
數種類型應用程式和硬體裝置相依於一般網路上特定的網路通訊協定。 例如,使用網頁瀏覽器瀏覽網際網路所依賴的通訊協定,與傳送或接收電子郵件的通訊協定不同。 轉換您在瀏覽器中看到的資料並透過網路傳送此資訊,會需要另一種通訊協定。
通訊協定分成三個類別:
- 網路通訊協定
- 網路安全性通訊協定
- 網路管理通訊協定
讓我們看一下這些類別中的一些通訊協定。
網路通訊協定
通訊協定著重於建立和維護裝置之間的連線。 當您使用不同的裝置和網路服務時,將使用各種網路通訊協定。
首先,需要為所有以網際網路為基礎的網路定義三種基本通訊協定。 這三種通訊協定為傳輸控制通訊協定 (TCP)、網際網路通訊協定 (IP),以及使用者資料包通訊協定 (UDP)。 這些通訊協定會透過網路處理邏輯資料傳輸。
- 傳輸控制通訊協定:TCP 會將資料分割成資料封包,以便可安全快速地傳送,同時將資料遺失的機會降到最低。 它提供穩定且可靠的機制,可透過 IP 型網路傳遞資料封包。 即使 TCP 是有效的連線導向通訊協定,還是會有額外負荷。
- 網際網路通訊協定:IP 負責為資料封包定址。 IP 會封裝要傳遞的資料封包,並新增位址標頭。 標頭包含寄件者和收件者 IP 位址的資訊。 此通訊協定不在意傳送或接收封包的順序。 也不保證會傳遞封包,僅保證會傳遞位址。
- 使用者資料包協定:UDP 是一種不需連線的通訊協定,可提供低延遲且容忍遺失的實作。 UDP 會與不需驗證收件者裝置已收到資料包的程序搭配使用。
我們在此討論的其餘通訊協定會以一種類型應用程式為主,例如,電子郵件用戶端或網頁瀏覽器。 以下是最常使用的網路通訊協定:
- 超文字傳輸通訊協定 (HTTP):HTTP 通訊協定會使用 TCP/IP,將網頁內容從伺服器傳遞到瀏覽器。 HTTP 也可以處理從遠端伺服器下載和上傳檔案。
- 檔案傳輸通訊協定 (FTP):FTP 可用來在網路上的不同電腦之間傳輸檔案。 一般來說,您會使用 FTP 從遠端位置將檔案上傳到伺服器。 雖然您可以使用 FTP 來下載檔案,但以 Web 為基礎的下載通常會透過 HTTP 來處理。
- 郵局通訊協定第 3 版 (POP3):POP3 是三種電子郵件通訊協定之一,且電子郵件用戶端最常使用 POP3 來接收電子郵件。 此通訊協定會使用 TCP 來管理和傳遞電子郵件。
- 簡易郵件傳輸通訊協定 (SMTP):SMTP 是三種電子郵件通訊協定中的另一種,最常用來透過電子郵件伺服器從電子郵件用戶端傳送電子郵件。 此通訊協定會使用 TCP 來管理和傳輸電子郵件。
- 互動式郵件存取通訊協定 (IMAP):IMAP 是這三種電子郵件通訊協定中功能最強大的通訊協定。 透過 IMAP 和電子郵件用戶端,您可以在組織中管理電子郵件伺服器上的單一信箱。
網路安全性通訊協定
網路安全性通訊協定旨在維護網路上的資料安全性。 這些通訊協定會將在使用者、服務和應用程式之間傳輸中的訊息加密。
網路安全性通訊協定會使用加密和密碼編譯原則來保護訊息的安全。
若要實作安全網路,您必須基於需求符合正確的安全性通訊協定。 下列清單會探索領先業界的網路安全性通訊協定:
- 安全通訊端層 (SSL):SSL 是標準的加密和安全性通訊協定。 其會在電腦與透過網際網路所存取目標伺服器或裝置之間提供安全的加密連線。
- 傳輸層安全性 (TLS):TLS 是 SSL 的後續版本,提供更功能強大且更強固的安全性加密通訊協定。 根據網際網路工程任務推動小組 (IETF) 標準,其有助於停止訊息偽造、竄改和竊聽,通常會用來保護網頁瀏覽器通訊、電子郵件、VoIP 和即時訊息。 儘管現在會使用 TLS,但取代的安全性通訊協定通常仍稱為 SSL。
- 超文字安全傳輸通訊協定 (HTTPS):HTTPS 使用 TLS 或 SSL 加密標準,來提供更安全的標準 HTTP 通訊協定版本。 這個通訊協定組合確保在伺服器與網頁瀏覽器之間傳輸的所有資料都會經過加密,並受到保護以防止遭到竊聽或資料封包探查。 先前所列的 POP、SMTP 和 IMAP 通訊協定均會套用相同原則,以建立稱為 POPS、SMTPS 和 IMAPS 的安全版本。
- 安全殼層 (SSH):SSH 是一種密碼編譯網路安全性通訊協定,可在網路上提供安全的資料連線。 SSH 設計為支援以命令列執行指示,包括向伺服器進行遠端驗證。 FTP 使用許多 SSH 功能來提供安全檔案傳輸機制。
- Kerberos:此驗證通訊協定會透過祕密金鑰加密,為以用戶端伺服器為基礎的應用程式提供強固的驗證。 Kerberos 假設網路中的所有端點都不安全。 它會持續對所有通訊和資料強制執行強式加密。
網路管理通訊協定
在您的網路中,完全能夠接受同時執行多種不同通訊協定。 我們先前已討論過通訊和安全性通訊協定。 管理通訊協定對於網路的每日成功執行及操作同樣重要。 此類型通訊協定的重點為網路永續性,做法是著眼於錯誤和效能。
網路系統管理員必須監視其網路及所有連接的裝置。 您網路中每個裝置都會公開一些關於裝置狀態和健康狀態的指標。 網路系統管理員工具會要求這些指標,並將其用於監視和報告。
有兩種網路管理通訊協定可用:
- 簡易網路管理通訊協定 (SNMP):SNMP 是一種網際網路通訊協定,可讓您從網路上的裝置收集資料,以及管理那些裝置。 裝置必須支援 SNMP,才能收集資訊。 支援 SNMP 的裝置通常包括交換器、路由器、伺服器、膝上型電腦、桌上型電腦和印表機。
- 網際網路控制訊息通訊協定 (ICMP):ICMP 是網際網路通訊協定套件 (IPS) 中內含的一種通訊協定。 它讓連接網路的裝置能夠傳送警告和錯誤訊息,以及連線要求成功還是失敗,或服務是否無法使用的操作資訊。 與其他網路傳輸通訊協定 (例如 UDP 和 TCP) 不同,ICMP 不會用來從網路上的裝置傳送或接收資料。
連接埠
連接埠是能夠將傳入訊息路由傳送到特定程序的邏輯建構。 每種類型的 IPS 都有一個特定連接埠。 連接埠是一個範圍 0 到 65535 且不帶正負號的 16 位元數字,也稱為連接埠號碼。 根據使用的通訊協定,傳送 TCP 或 UDP 層會指派連接埠。
系統會針對每個服務保留特定的連接埠號碼。 前 1,024 個連接埠 (稱為已知的連接埠號碼) 均會保留給常用的服務。 號碼較高的連接埠 (稱為暫時連接埠) 不會被保留,供專用應用程式使用。
每個連接埠都會連結到特定的服務或通訊協定。 這表示目標網路裝置 (例如伺服器) 可以在每個連接埠上接收多個要求,而不會發生衝突。
已知的連接埠號碼
IP 位址會以相同方式分割為數個類別,連接埠也是。 連接埠分為三類:已知連接埠、已註冊的連接埠,以及動態/私人連接埠。
Internet Assigned Numbers Authority (IANA) 會管理連接埠號碼配置、IP 位址區域指派,以及網域名稱系統 (DNS) 根區域。 IANA 也會管理一個中央存放庫,其中包含網際網路通訊協定中所使用的通訊協定名稱和登錄。
下表列出一些較常見的已知連接埠號碼。
| 連接埠號碼 | 指派 |
|---|---|
| 20 | 用於資料傳輸的檔案傳輸通訊協定 |
| 21 | 用於命令控制的檔案傳輸通訊協定 |
| 22 | 用於安全驗證的安全殼層 |
| 23 | 用於未加密文字訊息的 Telnet 遠端驗證服務 |
| 25 | 用於電子郵件路由的簡易郵件傳輸通訊協定 |
| 53 | 網域名稱系統服務 |
| 80 | 用於 Web 的超文字傳輸通訊協定 |
| 110 | 郵局通訊協定 |
| 119 | 網路新聞傳輸通訊協定 (NNTP) |
| 123 | 網路時間通訊協定 (NTP) |
| 143 | 用於數位郵件管理的網際網路訊息存取通訊協定 |
| 161 | 簡易網路管理通訊協定 |
| 194 | 多人線上交談系統 (IRC) |
| 443 | 透過 TLS/SSL 的 HTTP 安全 HTTP |
網際網路通訊協定套件
網際網路通訊協定套件是通訊協定的集合,也稱為通訊協定堆疊。 其可能稱為 TCP/IP 通訊協定套件,因為 TCP 和 IP 都是套件中所使用的主要通訊協定。
IPS 是一個抽象的分層網路參考模型。 IPS 可描述用來在網際網路和類似網路上傳送及接收資料的各種分層通訊協定。
IPS 模型是數個在三層到七層之間變化的類似網路模型之一。 最知名的模型就是開放系統互相連線 (OSI) 網路參考模型。 我們不會在這裡涵蓋 OSI 模型,但您可以在開放系統互相連線模型中找到詳細資訊。
- 應用程式層:此堆疊的最上層,與應用程式或程序通訊相關。 應用程式層負責根據傳輸的訊息類型來判斷要使用哪些通訊協定。 例如,如果訊息為電子郵件內容,則該層會指派正確的電子郵件通訊協定,例如 POP、SMTP 或 IMAP。
- 傳輸層:此層負責網路上的主機對主機通訊。 與此層相關聯的通訊協定為 TCP 和 UDP。 TCP 負責提供流量控制。 UDP 負責提供資料包服務。
- 網際網路層:此層負責交換資料包。 資料包內含傳輸層的資料,並將來源和收件者 IP 位址包含在內。 與此層建立關聯的通訊協定為 IP、ICMP,以及網際網路通訊協定安全性 (IPsec) 套件。
- 網路存取層:此堆疊的最底層,負責定義在網路上傳送資料的方式。 與此層相關聯的通訊協定為 ARP、MAC、乙太網路、DSL 和 ISDN。
在 Azure 中監視網路
無論網路的位置為何,維護和管理網路的健康狀態 在所有網路上都相同。 例如,本地組織的網路會使用與 Azure 網路相同網路標準和通訊協定。
Azure 提供三種網路監視工具,可協助維護及管理網路的健康狀態。 您也可以將某些監視功能延伸到內部部署網路:
- Azure 網路監看員:您可以使用網路監看員,從使用的 Azure 服務中擷取封包資料。 您也可以了解網路流量模式中的資料流程,並針對網路上的網路相關問題進行疑難排解。
- 網路效能監控:網路效能監控會監視和報告網路的健康狀態、提供其效能的見解,以及報告應用程式之間的連線能力。 儘管網路效能監控會以雲端為基礎,但還是能夠提供混合式服務來監視雲端和內部部署網路。
- 效能監視器:效能監視器是網路效能監控內的功能。 其設計目的是監視整個資產 (不論是內部部署或雲端式) 的網路連線能力,並在發生網路問題時回報。 效能監視器可以監視所有網路路由及備援路徑,並報告任何問題。 其可以識別網路效能降低的特定網路區段。 效能監視器可以報告網路的健康情況,而不需依賴 SNMP。