繼我們成功部署了本地網路基礎設施、實現區域互連並引入了尖端的 SD-WAN 架構之後,我們的視角將回歸網路世界的磐石,精準解析數位通訊的三大基石:IP 位址的公私界限與二進制結構、OSI 模型的七層邏輯標準,以及 TCP/IP 協定的可靠通訊機制。
文/屠震

在前面的內容中,我們示範了建立本地辦公室網路基礎設施、建立區域網路通訊、透過網路位址轉換(NAT)連接到網際網路,以及設置 DNS 的快速方法。後來,我們介紹了 SD-WAN,使用中心輻射架構將區域辦公室互連。現在,讓我們深入研究網路技術的一些基本概念:IP 位址、OSI 模型和 TCP/IP 通訊。
私有 IP 位址與公用 IP 位址
私有 IP 位址和公用 IP 位址是電腦網路中用於區分不同設備的兩種 IP 位址。
1. 私有 IP 位址
私有 IP 位址在私人網路(例如家庭或辦公室網路)中使用,且無法從網際網路直接存取。私有 IP 並非全球獨一無二。
常用的私有 IP 位址範圍包括:
· Class A: 10.0.0.0 to 10.255.255.255
· A 類位址:10.0.0.0 至 10.255.255.255
· Class B: 172.16.0.0 to 172.31.255.255
· B 類:172.16.0.0 至 172.31.255.255
· Class C: 192.168.0.0 to 192.168.255.255
· C 類:192.168.0.0 至 192.168.255.255
🔹讓我們深入研究一下 IP 位址的細節
二進制基礎知識:
電腦以二進位方式運作,僅使用 1 和 0 作為溝通的語言。相對的,人類更喜歡十進位數字,如 1、2 或 255。
位元組和二進位:
在電腦術語中,一個位元組由 8 個二進位數字(位元)組成(也稱為八位元,octet)。例如:
全 1 的位元組(11111111)相當於十進位的 255。
位元組(00000001)是十進位的 1。
位元組(00000010)對應於十進位的 2。
IP 位址結構:
在網路中,我們使用 IP 位址來識別網路上的設備。IP 位址由四個位元組組成,總共 32 個二進位數字。這些數字分為兩部分:
網路部分(最左邊的連續數字)標識網路本身。
其餘數字則代表該網路內的各個主機(設備)。
圖 1 是主機 IP 位址的二進位和十進位表示法:

🔹Class C 網路基礎知識
在 Class C 網路中,前三個位元組(24 位元)保留用於網路部分。具體來說,在私有的 Class C 網路中,我們通常使用從 192.168.0.0 到 192.168.255.255 的 IP 位址範圍。這最多可以分為 256 個子網,範圍從 192.168.0.0 到 192.168.255.0。
最後一個位元組(8 位元)可用於主機位址。排除值 0 和 255,剩下可以指派 254 個主機 IP。
小型公司通常僅使用這 256 個子網之一。例如,192.168.1.0 是一個常見的選擇。在此子網內,最多可為辦公設備分配 254 個 IP。
🔹網路子網遮罩
輸入設備的 IP 位址時,通常需要輸入 IP 位址和子網遮罩。子網遮罩用於定義和重申 IP 位址的網路部分。
Class C 網路的前三個位元組(24 位元)會保留用於網路部分,子網路遮罩是(11111111.11111111.11111111.00000000)或十進位格式的(255.255.255.0)。Class A 網路的子網路遮罩是 255.0.0.0,Class B 網路的子網路遮罩則是 255.255.0.0。
🔹進階知識:劃分子網
如果在 Class C 網路中需要超過 256 個子網,則可以用子網遮罩來劃分子網。這個作法是從主機部分借用位元來創建更小的子網。劃分子網可以增加可用的子網數量,同時也會減少每個子網的主機位址數量。
‧劃分子網的極端例子:
想像一個極端的情況,從最後一個位元組借用了 7 個主機位元(只為主機留下 1 位元)。這會產生子網遮罩(255.255.255.254),或寫作 /31(總共有 31 個位元數用於網路部分)。只有兩個可能的 IP 位址。
使用案例:在需要點對點連接的情境中(例如路由器之間)。
請記住:由於 /31 子網的主機容量有限,因此很少用於一般設備。
‧什麼時候需要路由器?
在本地辦公環境中,通常會使用 Class C 子網(例如 192.168.1.0),並將唯一不重覆的 IP 位址指派給透過網路交換機連接的主機(最多 254 台)。如果您使用兩個不同的子網,例如 192.168.1.0 和 192.168.2.0,則需要安裝路由器來連接這兩個網路,才能建立它們之間的通訊。
2. 公用 IP 位址
公用 IP 位址是分配給直接連接到網際網路的裝置的全球唯一位址。
Become a member
這些位址讓公用網際網路得以進行通訊,並且可以從世界任何地方進行存取。網路服務供應商(ISP)會分配公用 IP 位址,並將其出租給個人使用者或組織。網際網路的 Web 伺服器、電子郵件伺服器和路由器等裝置通常具有公用 IP 位址。
為了讓人們更容易訪問網站,而不必記住複雜的數字 IP 地址,DNS(Domain Name System,域名系統)伺服器是網際網路上的一種服務,用來將人類易讀的網域名稱(例如:www.example.com)轉換為 IP 位址。
總之,私有 IP 位址用於私有網路的內部通訊,且無法在網際網路進行路由;而公用 IP 位址則用於公用網際網路通訊,且是全球唯一的。
OSI 模型(Open Systems Interconnection Model 開放系統互連模型)
OSI 模型是一個概念框架,它將網路功能標準化為不同的七層。
OSI 模型的七層

資料封包在 OSI 模型的每一層都有不同的結構和傳輸方式。以下簡單介紹一下資料封包如何從第 1 層傳送到第 7 層:
實體層:在這一層,資料封包透過實體媒介(例如乙太網纜線或無線訊號)進行傳輸。
資料鏈結層:資料封包被格式化為訊框(frames),此層負責錯誤偵測和修正,並確保資料封包能傳送至本地網路上的正確裝置。
網路層:資料封包在這一層被格式化為封包(packets),並在不同網路間進行路由。此層負責尋址和路由,確保封包被傳送至正確的目標設備。
傳輸層:資料封包在這一層被格式化為資料段(segments),並在應用程式之間進行傳輸。此層負責資料完整性、流量控制和錯誤復原。
會議層:在這一層,資料封包被管理為會議連線(sessions),以便在應用程式之間進行連線管理。此層負責建立、維護和終止應用程式間的網路連線。
展示層:資料封包在這一層被格式化為資料結構並呈現給應用層。此層負責資料加密、壓縮和轉換。
應用層:資料封包由應用程式處理並呈現給使用者。此層負責提供使用者網路服務,例如電子郵件、網頁瀏覽和檔案共用。
提問:第七層防火牆和第四層防火牆有什麼不同?
第七層防火牆和第四層防火牆之間的主要區別在於它們在 OSI 模型中的運作層級和功能。第七層防火牆運作在 OSI 模型的應用層。這類防火牆可以根據應用層協定(例如 HTTP、FTP 等)的特定內容和特徵進行過濾和管理。它們能夠執行深度封包檢測(DPI),分析資料封包的內容,從而了解流量的上下文。這使得第七層防火牆可以根據應用程式的特定屬性(如 HTTP 標頭、URL 路徑等)做出更精細的決策。此外,第七層防火牆提供高級安全功能,如應用程式級過濾、入侵防禦和內容過濾,以防禦應用程式層攻擊和資料外洩等複雜威脅。
第四層防火牆則運行在 OSI 模型的傳輸層。這類防火牆主要根據傳輸協定(如 TCP、UDP)和通訊埠號碼(如 HTTP 的通訊埠 80)來過濾流量。第四層防火牆的規則相對簡單,通常包括允許或阻擋某些通訊埠的流量,無法深入分析封包的內容和應用層協定。
總之,第七層防火牆提供更細緻的控制和高級功能,而第四層防火牆則提供基於協定和通訊埠的基本過濾。
TCP/IP 通訊
TCP/IP 通訊過程是網際網路和許多其他網路運作的基礎,其基本過程通常包括以下幾個階段:
1.建立連接:在 TCP 協定中,這通常涉及所謂的「三向交握」(Three-Way Handshake)過程。客戶端向伺服器發送一個同步(SYN)封包以請求連接,伺服器回應一個同步確認(SYN-ACK)封包,然後客戶端再發送一個確認(ACK)封包以完成連接的建立。(圖 4 是使用 Wireshark 工具捕捉到的 TCP「三向交握」過程封包。)
2.資料傳輸:一旦連接建立,客戶端和伺服器之間就可以開始傳輸數據。TCP 保證資料的可靠性和順序性,透過編號每個數據包並要求確認接收。如果某個封包丟失或出錯,TCP 會重傳該封包。
3.連接終止:當數據傳輸完成後,連接需要被正確地關閉。這通常涉及「四路分手」(Four-Way Handshake)過程,其中一方(通常是客戶端)發送一個終止(FIN)封包,另一方回應一個確認(ACK)封包,然後另一方也發送一個終止封包,最終由第一方確認接收。
4.錯誤檢測和控制:TCP 包含錯誤檢測和控制機制,透過檢查和確認數據包來確保數據完整性。此外,TCP 也有流量控制和擁塞控制機制,以防止網路過載。


◤ 圖 4 使用 Wireshark 捕捉的 TCP 三向交握封包。
🔹HTTPS(超文字傳輸安全協定)的工作原理
- 客戶端發起請求與伺服器建立 HTTPS 連線。
- 伺服器做出回應,將其數位憑證和公鑰發送給客戶端。客戶端驗證伺服器數位憑證的真實性,確保憑證是由受信任的憑證授權單位(CA)頒發的,再使用公鑰與伺服器建立安全連線。此階段使用 PKI 非對稱金鑰加密。
- 建立安全連線後,客戶端和伺服器會協商一個對稱加密演算法和金鑰,然後將金鑰用於後續的連線過程。客戶端和伺服器之間傳輸的所有資料都使用該對稱金鑰進行加密,確保通訊的機密性和完整性。
- 連線結束時,客戶端和伺服器交換一組訊息以正常終止連線。
總之,HTTPS 將 HTTP 協定與 SSL/TLS 加密相結合,以提供網際網路上的安全通訊。它會對資料傳輸進行加密,使攻擊者難以攔截和讀取敏感資訊。
對稱加密通常比非對稱加密(例如 PKI)更快。這是因為對稱加密使用相同的密鑰進行加密和解密,計算複雜度較低,而非對稱加密使用一對不同的密鑰(公鑰和私鑰),涉及更複雜的數學運算,因此速度較慢。在實際應用中,通常會使用非對稱加密來安全地交換對稱加密的金鑰,然後再使用對稱加密進行大量數據的加密傳輸,以提高效率。
(本文授權非營利轉載,請註明出處:CIO Taiwan)















