一、Intro to Network Devices (part 1)网络设备介绍1

layer 1 devices (第一层/物理层设备):

modem： 将从计算机发出的电子信号转为电话线传送的模拟信号传出，或将电话线的模拟信号转为电子信号传入。

hub： 将从某一端口接收到的信号发送到其它所有端口。

layer 2 devices(第二层/数据链路层设备)：
switch： 利用其中的ASIC板通过MAC地址了解某个设备连在它那个端口上

WAP(wireless access point)： 将无线部分和有线部分连接，与无线路由器不同，WAP不具有路由功能

layer 3 devices(第三层/网络层设备)：

MLS(Multilayer switch) ：具有普通switch功能的同时还能与非本地装置交流和传输数据

router：连接不同网络，选择最佳连接某个网络的路径



二、Intro to Network Devices (part 2)网络设备介绍2


Security Devices(安全设备)
1）防火墙
所处位置：在路由器(router)、基于软件(software based)的hosts上，或者是一个独立设备

所属OSI模型层级：2、3、4、7，多层级(Multilayer)设备

作用：阻止进入和离开网络的包(package)

通过无状态检测(stateless inspection)
根据一系列规则来检查所有包，当包与某个规则匹配时，就会实行相对应的措施

通过状态检测(stateful inspection)
只检查网络间的连接状态，连接由内部网络(internal network)发起时，外部网络(external network)传回的包不会被检查，而外部网络不能发起连接

防火墙是内部网络应对外部威胁的第一道防线

2）IDS 入侵检测系统(Intrusion Detection System)
作用：用于识别网络漏洞、网络攻击的发生

通过日志(log)、短信(SMS)、邮件(email)，提醒管理员(administrater)
特点：不能独自阻止网络漏洞和网络攻击

作用方式：接收通信(traffic)的拷贝并根据一系列规则对其进行评估

Signiture Based(基于特征)：通过已知恶意软件(malware)、网络攻击特征(attack signiture)评估通信(traffic)

Anomaly Based(基于异常)：通过可疑变化评估通信

Policy Bases(基于规则)：通过特定说明的安全规则(specific declared security policy)评估

当部署在hosts层级时叫做HIDS(Host-Based Intrusion Detection System)

3）IPS 入侵防御系统(Intrusion Prevention System)
作用：阻止网络漏洞和攻击对网络造成伤害

通过一个或一系列行为阻止有害行为

通过log、SMS、email提醒管理员(administrater)

特点：所有在网段(network segment)进出的通信都需要经过IPS

与IDS一样，也需根据一系列规则对通信进行评估
最佳位置：在设有防火墙的路由器(router with firewall)与目标网段(destination network segment)之间

行为：

1、拦截攻击性IP地址

2、关闭易受攻击的界面(Interface)

3、终止网络会话(network session)

4、重定位攻击

5、等等

4）VPN concentrator 虚拟专用网络集中器/VPN集中器(Virtual Private Network Concentrator)
作用：支持更多更安全的VPN连接

方式：根据所允许的VPN类型，提供正确的通道和加密

作用层级：

大多数concentrator作用于多个OSI层级2、3、7

在利用SSL、VPN作用于第7层的网络外，大多数concentrator 作用于第3层，通过安全通道提供IPsec(网际协议安全(Internet Protocol Security))的加密

Optimization and Performance Devices(优化与性能设备)
1）Load Balancer 负载均衡器（也叫做content switch / content filter）
作用：用于在含有相同数据的多主机(Mlutiple hosts)中均衡负载(balance load)–分散负载(spread out load)来获取更高效率

使用场景：普遍用于在不同服务器中将请求(request)也即工作负载(workload)分配给服务器群(server farm)，确保没有服务器过载(overloaded)

2）Proxy Server 代理服务器
作用：代替客户机器(client machine)请求资源

功能：

1、代替请求的客户(requesting client )从外部不受信任的网络找回资源(retrieve resources)

2、隐藏并保护请求的客户(requesting client)

3、用于过滤允许的内容(to filter allowed content)使之进入我们的网络

4、通过缓存(caching)经常使用的网页来提高效率(performance)



三、Networking Services and Applications (part 1)网络设备和应用1


The basics of virtual private network 虚拟专用网络基础
1）VPN简介
作用：VPN被远程主机(remote host)用来通过公用网络(public network)、通过加密通道(encrypted tunnel)连接私有网络(private network)

连接后效果：

​ 1、远程主机不被看作在远程，而是被私有网络看作本地主机(local host)

​ 2、尽管网络交通(network traffic)可能要经过很多不同的路由和系统，两边(both ends)依然将其视作直连(direct connection)

​ 3、为各种组织、商务节省网络开支

​ 4、节省开支的部分原因是：VPN不需要专用租用线路(dedicated leased line)来建立连接

2）VPN 类型
site-to-site VPN：支持远程网站的网络(remote site’s network)连接到主网站的网络(main site’s network)，并被看作本地网段(local network segment)

管理方式： 在VPN两端(both ends of VPN)的VPN集中器(VPN concentrators)都能管理连接
remote-access VPN(host-to-site VPN)：支持选择远程用户(remote user)连接到本地网络(local network)

管理方式：本地网络的VPN集中器管理连接
软件依赖：该远程系统通过VPN客户端软件(VPN client software)来建立连接
host-to-host VPN(SSL VPN)：在两系统间建立安全连接（不需要VPN客户端软件）

管理方式：本地网络的VPN集中器管理连接

连接方式：主机通过支持SSL或者TLS安全技术的浏览器连接到VPN

Protocols used by virtual private network 虚拟专用网络所使用的协议
1）Internet Protocol Security (IPSec)因特网协议安全
所处OSI层级：第三层或以上

现状：最常用的使VPN安全(to secure a VPN)的协议

可共同使用的协议：

**Authentication Header protocol (AH)**身份验证头协议：AH只提供身份验证服务(authenticaiton service)，不提供加密服务

Encapsulation Security Payload(ESP)封装安全有效载荷：既对包进行身份验证又进行加密（最受欢迎的方法）

AH与ESP可工作的模式：

transport mode：两设备(devices)之间（例：host-to-host VPN）

tunnel mode：两端点(endpoints)之间（例：site-to-site VPN）

IPSec默认采用Internet Security Association and Key Management Protocol (ISAKMP) 安全连接和密钥管理协议：

在安全密钥生成过程之外 ，ISAKMP提供系统间传输安全密钥和身份验证信息（更加安全的过程）

2）Generic Routing Encapsulation (GRE)通用路由封装
定义：能封装(encapsulate)各种网络层级协议的通道协议(tunneling protocol)
用途：经常用于在IPSec连接中(within a IPSec connection)建立子通道(sub-tunnel)
IPSec 只传输单播数据包(unicast packets)也即一对一交流(one-to-one communicaiton)
通过使用GRE协议，可以实现一对些交流(multicast/one-to-some communication)一对多交流(broadcast/one-to-many communication)
3）Point-to-Point Tunneling Protocol (PPTP)点对点传送协议
支持拨号VPN (dial-up VPN) 连接的老式VPN技术，缺少原生安全特性
微软通过添加GRE实现了额外安全(additional security)
​

4）Transport Layer Security (TLS) Protocol ：传输层安全协议
用途：用于在两个终端设备或应用程序之间(between two end devices or applicaitons)建立安全加密的(secure encryted)连接的密码协议(cryptographic protocol)
利用非对称密码(asymmetic cryptographic)来对端点(end points)进行身份验证然后协商通过一个用来加密网段(encrypt the session)的非对称安全密钥(asymmetic security key)
TLS大量替代了SSL协议
工作OSI层级：第五层级或以上
用途：最常用于建立安全加密会话(secure encrypted network session)也即(SSL VPN)
所有现代网页浏览器都支持TLS
5）Security Socket Layer (SSL) Protocol ： 安全套接层协议
与TLS很类似的更老的密码协议(cryptographic protocol)
用途：最常用于网络交易(internet transaction)
所有现代网页浏览器都支持SSL
不流行原因：由于早起版本的问题的原因，它大多被TLS替代
SSL 3.3 解决早起版本的问题



四、Networking Services and Applications (part 2)网络设备和应用2

Network Access Services网络访问服务
1）Network Interface Controller(NIC) 网络接口控制器 （也叫network interface card网卡）
用于将设备与网络连接

工作与OSI层级1、2

层级二(数据链路层)：通过决定使用何种网络协议来网络通信(means of network communication)，通过本身烧录的MAC地址(its burned in physical MAC address)提供本地网络节点地址(local network node address)
层级一(物理层)：决定网络数据通信被转换成可以在网络媒体上传输的电信号的速度
大部分现代计算机都有至少一个内置以太网NIC (Ethernet NIC)

路由器和其他网络设备可能使用 可以嵌入到设备中的可以为他们所连的网络媒体和所使用的网络协议提供NIC服务的 独立的模块(separate modules)

2）RADIUS (Remote Authentication Dial In User Service) 远程认证拨入用户服务
定义：一个用于验证远程用户(authenticate remote users)并授予他们获取被授权的网络资源(authorized network resources)的远程连接服务(remote access service)

作用：一个 用于确保只有验证过的端用户访问那些**授权的网络资源 ** 的流行的3A协议(Authentication Authorization Accouting Protocol)

其账户系统十分稳定(robust鲁棒性)
特点/缺点：只有请求者(端用户)的密码加密了

3）TACACS+ (Terminal Access Controller Access-Control System Plus) 终端接入控制器接入控制系统加
定义：一个用于验证远程用户(authenticate remote users)并授予他们获取被授权的网络资源(authorized network resources)的远程连接服务(remote access service)

作用：一个 用于确保只有验证过的远程设备访问那些授权的网络资源 的流行的3A协议(Authentication Authorization Accouting Protocol)

其账户系统没有RADIUS稳定
特点/优点：所有设备间的传输都被加密了

Other Services And Applications其他设备和应用
1）RAS (Remote Access Services) 远程访问服务 ： 并非协议，只是一个蓝图
定义：一个对 远程访问连接(remote access connection)所需要的软件和硬件的组合(combination of software and hardware) 的描绘
方式：客户通过 授予访问权限或者拒绝访问的RAS服务器 来请求访问
2）Web Services (网络服务)：提供跨域通信途径
功能：提供软件与不同平台(software and disparate platform)间的通信
方式：一般通过将通信转为XML(Extensible Markup Language)格式
3）Unified Voice Services (统一的语音系统)：建立更好的语音交流系统
定义：一个对 将语音通信信道接入网络所需的软硬件组合 的描绘




五、DHCP in the network(Dynamic host configuration protocol)动态主机配置协议

Static vs. Dynamic IP addressing 静态和动态地址分配
1）电脑如何知道它的IP地址
最可能的是：通过DHCP服务器获取IP配置

DHCP提供IP地址
DHCP提供默认网关(default gateway)
很可能告诉如何寻找DNS服务器
静态获取(人为设定)或者动态获取(通过像DHCP这样的服务器)

静态地址赋给在小型稳定网络运行的很好，但随着网络变大，会变得笨重且容易出错

2）Static IP addressing 静态IP地址分配
管理员给网络上的每个主机赋给一个IP地址和子网掩码(subnet mask)

所有能连接该网络的网络接口都需要这些信息
管理员给网络上的每个主机赋给一个默认网关地址和DNS服务器地址

访问外网(outside of network)需要默认网关
人类可读网址需要DNS服务器
每当有改变时(默认网关改变时)，每个主机上的IP配置都要更新

3）Dynamic IP address 动态IP地址分配
管理员配置DHCP服务器来管理地址分配过程，将分配过程自动花化了
DHCP服务器监听通过监听一个特定的端口来听取 IP 请求信息
当DHCP收到请求时，将以所请求的信息回应
How DHCP works动态主机配置协议如何工作
1）Typical DHCP process典型DHCP过程
电脑启动时，向DHCP服务器发送发现包(discovery packet)

发现报文通过广播地址(broadcast address)255.255.255.255:67(UDP 端口 67)发送
DHCP服务器收到发现包后回复提供包(offer packet)

提供包通过UDP端口68发送到电脑的MAC地址
电脑收到提供包后，向DHCP服务器发送请求包(请求正确的IP配置)

DHCP收到请求包后，回复含有IP配置信息的确认包(acknowledgement packet)，

电脑收到确认包后，会将IP配置做相应的改变



Components and Processes of DHCP 动态主机配置协议的组件和过程
1）Ports Used所使用的端口
电脑向255.255.255.255:67端口发送发现包(discovery packet)
DHCP服务器通过端口68向电脑的MAC地址发送提供包(offer packet)
2）Address Scope 地址范围
地址范围是DHCP服务器所能给电脑配置的地址的范围
3）Address reservations 地址保留
管理员为特定的MAC地址保留特定的IP地址，这些设备的IP的地址是固定的(路由器、服务器)
允许这些地址从一个中心位置更改，而不是必须分别登录到每个设备
4）Leases租用
配置参数只在特定时间内有效
租用是管理员配置的
5）Options DHCP服务器所能配置的选项
默认网关地址(default gateway address)
DNS 服务器地址(可以不止一个)
时间服务器地址(TIme server address)
其他选项
6）优先IP配置
电脑可以有有限的IP配置
管理员可以配置DHCP服务器遵循或者不遵循优先IP配置
DHCP 服务器的位置：不是必须在本地网段
1）DHCP不在本地网段
广播传输无法通过路由器

当本地网段没有DHCP时，路由器可以配置成DHCP 代理(relay)，也叫(IP helper)

当DHCP 代理收到发现包时，会将其传到DHCP服务器所在网段

优点：可减少DHCP服务器数量，减少管理员的维护时间




六、Introduction to DNS server DNS服务器介绍


DNS servers(domain name system) 域名系统服务器
1）DNS 服务器
DNS是将人类能看懂的名字映射到IP地址的一个过程，有了DNS我们就不需要记住那么多的IP地址了
DNS 是十分层次化的(hierarchical)
当本地DNS服务器没有所需的记录时，它将向整个DNS链发送请求，直到接收到正确回应（回应一直传给原来请求的主机）
DNS需要正确的FQDN（fully qualified domain name完全合格域名）来正确运行
​ FQDN

www.	baidu.	com
特定服务（specific service）	本地域（local domain）	顶层域（the top level domain）
2）Different level of DNS servers DNS不同层级的DNS服务器
Local DNS server本地DNS服务器：含有将FQDN映射为本地子域IP的地址的hosts文件
Top level domain (TLD) server顶层域服务器：含有顶层域记录（record of top level domain）的服务器
TLD 例子：com、org、net、edu、gov、mil、int
这些例子的服务器含有各自领域（respective domain）所有的信息（不完全）
TLD服务器向第二层服务器委托负载（delegate down to second level servers to ease load），然而，TLD还是主要负责的服务器
Root server根服务器：包含所有TLD记录的服务器
当TLD未知时， root会给出正确的


3）Authoritative 权威服务器
使用特定配置好的信息来回应请求
权威回应来自实际含有原始记录(original record) 的服务器------拥有域区域文件的原始源文件
4）Non-Authoritaive 非权威的
使用从其他DNS服务器的来的DNS信息来回应请求的服务器
该种回应不是来自正式域名服务器----不包含域区域的原始源文件
DNS records域名系统记录
1）A record（A 记录）
将域名（hostsname）映射到IPv4地址
2）AAAA record (AAAA 记录)
将域名（hostsname）映射到IPv6地址
3）CNAME record 别名记录
将别名 canonical (alias)映射为域名（hostsname）用于多个域名指向同一个服务器
4）PTR record PTR记录
指向别名的指针记录
5）MX record MX 记录
映射到邮件服务器，用于决定邮件如何从发出着到达接受者的记录
Dynnamic DNS 动态域名系统
1）Dynamic DNS （DDNS）动态DNS
支持轻量、及时的本地DNS数据库更新
用于IP地址变动，而域名不变的情况
作为拓展服务实现
2）DDNS updating 动态DNS更新
不需管理员介入即可更新域名服务器----不需手动编辑或配置文件输入
DDNS提供者会提供更改IP地址的软件，IP地址改变时，软件会向正确的DNS服务器发送更新请求
作用于需要连接一个IP地址动态变化的域名时




七、Introducing network address translation 网络地址转换


The purpose of network address translation网络地址转换目的
1）Network address translation（NAT）解决了如何路由不可路由的P地址的问题
为了节约IPv4地址空间，开发了私有IPv4地址空间
原有的IPv4地址空间在公共IPv4地址空间中移除了，而且在公共IPv4地址空间中不可路由
问题：不可路由使得私有Ipv4地址无法与远程公共网络通信
解决：含有NAT的路由器可以将私有IPv4地址转为可路由的公共IP地址
当该路由收到远程的回复时，它将该回复传给发送请求的设备
How network address translation works 网络地址转换如何工作的
1）The two categories of NAT两种NAT
**Static NAT（SNAT）**静态网络地址转换：每个私有IP地址都被赋予一个固定的可路由的公共IP地址，该关系由具有NAT的路由器控制
工作原理：当设备需要连接非本地网络时，路由器将本地IP地址转为固定对应的那个公共IP地址，当接收到回应时，又将公共IP地址转回本地的
缺陷：SNAT不够灵活，有拓展性问题，每个需要连接外部网络的设备都必须有一个对应的可路由IP地址（设备增多时，可路由IP地址也要增多，昂贵且复杂）
Dynamic NAT（DNAT）动态网络地址转换：路由器动态地用公共IP地址池中的IP地址给设备赋予IP地址
工作原理：当设备需要连接非本地网络时，路由器将本地IP地址转为公共IP地址，当接收到回应时，又将公共IP地址转回本地的。公共IP地址在使用完之后回到地址池；
不足：虽然较SNAT更具有灵活性，但依然具有拓展性问题：当通信增多时，地址池内的IP地址也要增多，否则有些设备无法访问远程网络
2）Port address translation（PAT）端口地址转换：一种用于解决NAT拓展性问题的DNAT
工作原理：当设备需要连接非本地网络时，路由器将本地IP地址动态地转为公共IP地址，IP地址后面有端口数字

路由器监视IP地址和端口数来保证通信设备无误
优点：1、PAT的IP地址池中的IP地址只有一个或当本地网络很大时有多个（少于NAT）

​ 2、更易于管理员管理

3）The NAT terminology网络地址转换的术语
Inside local address：本地网络中的私有IP地址----转换之前内部源地址的名字
这是设备被赋有的私有IP地址
Inside global address：代表本地设备的公共IP地址----转换之后内部主机的名字
用于具有NAT的路由器赋给设备使设备连接外部网络
Outside global address：代表外部设备的公共IP地址----转换之后外部目标主机的名字
用于赋给外部设备
Outside local address：赋给外部设备的私有IP地址----转换之前目标主机的名字
用于具有NAT的路由器在本地网络的内部赋给外部设备



八、WAN technology part 1 广域网技术1


Public switched telephone network（PSTN）公用电话交换网-------使用电话线
1）什么是广域网（wide area network）
当你向其他设备传输数据时，数据所经过的电缆如果不为你所有，使用的就是广域网（WAN）
特点：PSTN由于普及型好，是WAN科技中最常用的物理介质
2）Dial-up
特点：利用PSTN将数据以模拟信号传输
需要模拟调制解调器（analog modem）转换数据
缺点：理论最大速度：56 kbps
3）ISDN 综合业务数字网（Integrated Services Digital Network）
定义：使用PSTN点对点数字广域网技术
完全数字的服务
连接端点需要终端适配器terminal adapter（TA）经常被叫做数字modem，但其实不是
应用：
主数率接口primary rate interface (PRI)23个64kbps 的B频道和1个64kbps D频道来为呼叫建立和链接管理
可以达到 1.544 Mbps（T-1专线）
ISDN更常用于基本速率接口basic rate interface (BRI)，使用2个B频道和1个D频道
可达128kbps
特点：没有DSL数字用户线路(Digital Subscriber Line)那样厉害，但经常可以在安装不了DSL的地方安装
4）xDSL各种数字用户线
定义：使用PSTN的电子广域网技术
特点：
需要使用电子调制解调器
端点和分类中心局cenral office (CO)之间的专用数字线路
必须在18 000英尺（5486.4m）内
传输声音和数据（需要过滤器才能获得声音）


5）SDSL对称数字用户线路(Symmetric Digital Subscriber Line)
特点：
实际同步（上传下载等速）
不能传输声音
如需传输声音，需要额外一条线
用途：用于需要实际同步但不需要T-1专线的事务
6）ADSL非对称数字用户线路（Asymmetrical Digital Subscriber Line）
特点：
实际不同步（上传慢于下载等速）
可以能传输声音和数据
一般上传速率768kbps，下载速率9Mbps
用途：最常用于小办公室家庭办公室(SOHO)环境
7）VDSL超高速数字用户线路（Very-high-bit-rate Digital Subscriber line）
特点：
实际不同步（上传慢于下载等速）
可以能传输声音和数据
一般速度限于上传12kbps，下载52Mbps
仅在距离CO 4000英尺（1219.2m）内可行
用途：用于必须使用高质量视频和网络电话的情况
目前的标准允许达到100Mbps
但需要300米以内
Broadband cable宽带电缆
1）coaxial cable networking同轴电缆网络
宽带连接到由有线电视公司提供的位置
同一根线可以传输声音、数据和电视
有线电视前端headend：接受所有信号，信号经过处理和格式化formatred，传输到分配网路
分配网路Distribution network：线电视公司提供的更小的服务地区
可由光纤，同轴电缆和/或光纤同轴电缆混合网组成
与DSL不同，可以在分配网路间共享带宽，可能造成延迟和阻塞的增加
最终分配到房子通常是通过同轴电缆
DOCSIS电缆数据服务接口规范：数据如何接收的规范，
所有cable modem和相似的设备必须遵循IPS规定的DOCSIC标准(否则，降速)
Fiber光纤
1）Fiber-optic networking
原理：使用光来传输数据的声音

允许更大的带宽和更远的距离
更贵，但更不易被线噪音干扰

相关标准：

美国标准：Synchronous Optical Network（SONET）
世界标准：Synchronous Digital Hierarchy（SDH）
SONET 和 SDH制定了传输的基本速率，也即Optical carrier （OC）level
DWDM高密度波分多路复用技术（Dense WaveLength-division Multiplexing）：将最多32光载体等级（OC level）合成一个光纤，高效提高单个光纤的带宽

CWDM粗波分复用（Coarse Wavelength-division Multiplexing）：与DWDM类似，但组多8个

PON无源光网络(Passive Optical Network)：单点对多点技术，使用单个光纤将多个地点连接入网

使用无动力的分光器unpowered optical splitters



九、WAN technology part 2 广域网技术2


GSM/CDMA WAN connection
1）GSM/CDMA 全球通信系统/码分多时 2G
手机运营商使用GSM或者CDMA将设备连接到网络，两种技术不兼容
美国运营商AT&T、T-Mobile使用[全球移动系统Global System for Mobile(GSM)，Sprint、Verizon使用码分多址Code Division Multiple Access(CDMA)
世界上其他地区大部分使用GSM，中国电信以前用的CDMA
2）Cellular network 蜂窝网络
支持功能不限于电话
1G只支持声音传输
2G加上了简单数据传输功能（text）
2G EDGE介于2G3G之间
3G是蜂窝广域网络(cellular WAN networking)的开始
4G 有LTE和WiMAX技术
HSPA+（Evolved High Speed Packet Access）高速分组接入技术：3G和4G之间的替代品
LTE （Long Term Evolution）使用高速全网际网路(all-IP)核心，和3G、WiMAX兼容
WiMAX WAN connection
1）WiMAX （Worldwide Interoperability for Microwave Access） networking
最初被用做DSL或Cable 没有时的最后一公里替代品
给固定地点提供宽带连接
方式：使用无线微波传输声音和数据
优点：可以覆盖很大范围
与LTE兼容的4G技术，与3G不兼容
Satellite WAN connection
1）Microwave Satellite networking
方式：使用无线微波传输声音和数据
优点：可以将网络拓展到难以到达的地方
使用Microwave radio relay(微波中继)在空气中传输
需要直线对传式中继站，可以覆盖很大范围
由于覆盖范围之大，可能导致延迟
communication satellite (comsat)(通讯卫星)组成一部分微波中继站
通讯卫星使用各种网络
包括：Molniya、geostationary、low-polar、polar 轨道
low-polar、polar 轨道的作用是：在将微波信号送回地球之前对其进行增强