IP 位址標準與服務
當您考慮移至雲端時,您的角色必須是 Azure 開發人員、解決方案架構師或系統管理員,以了解網路運作方式的基礎。 了解網路組合的下一個步驟是詳細探討您網路的互通性。 無論是您組織的網路或更廣泛網路 (例如 Web),都適用此知識。 所有網路都是以相同的原則為基礎。
在本單元中,我們將檢視網路通訊的主要層面,以及使用傳輸控制通訊協定/網際網路通訊協定 (TCP/IP) 建置網路的原因。 然後,我們將討論網際網路通訊協定位址標準之間的差異。 最後,我們將探索子網路、網域名稱系統 (DNS)、連接埠,以及私人 IP 位址的使用與角色。
什麼是位址解析通訊協定?
位址解析通訊協定 (ARP) 是網際網路通訊協定套件中的通訊協定。 這是一種要求-回應通訊協定,用來解析指定 IP 位址的媒體存取控制 (MAC) 位址。 ARP 支援許多資料連結層技術,例如網際網路通訊協定第 4 版 (IPv4)、DECnet 與 PUP。 解析網際網路通訊協定第 6 版 (IPv6) 位址時,會使用芳鄰探索通訊協定 (NDP),而非 ARP。 如果沒有 ARP,就無法將 IP 位址解析為實體裝置位址。
另外還有反向位址解析通訊協定 (RARP),會根據指定的 MAC 位址擷取 IP 位址。
什麼是 TCP/IP?
傳輸控制通訊協定/網際網路通訊協定是不同通訊協定的集合,可支援及定義具備網路功能的裝置如何透過 IP 型網路彼此互連。 其核心是兩個重要通訊協定:TCP 與 IP。 TCP/IP 讓網際網路及私人與公用網路 (例如內部網路與外部網路) 成為可能。
TCP/IP 透過定義端對端通訊程序,來定義在具備網路功能之裝置間共用資料的方式。 其會管理如何將訊息細分成資料封包 (有時又稱為資料包)。 TCP/IP 也會判斷封包的定址及傳輸、路由傳送及接收方式。 TCP/IP 可以判斷網路上最有效率的路由。
TCP/IP 模型會設計為無狀態 (Stateless)。 此設計表示網路堆疊會將每個要求視為新要求,因為它與前一個要求無關。 TCP/IP 模型的其中一部分不是無狀態。 傳輸層會以具狀態模式運作,因為它會維持連線,直到收到訊息中的所有封包為止。
TCP/IP 是一種開放式標準。 其受到控管,但沒有任何一個組織擁有它,因此能與所有作業系統、網路與硬體搭配運作。
TCP/IP 模型層
TCP/IP 模型由四個不同層所組成。 每一層都會使用不同類型的通訊協定。 請注意 TCP/IP 模型與稍早所討論網際網路通訊協定套件的相似性。
- 應用程式層:應用程式層負責判斷將使用的通訊協定。 此層包括超文字傳輸通訊協定 (HTTP)、DNS、檔案傳輸通訊協定 (FTP)、網際網路訊息存取通訊協定 (IMAP)、輕量型目錄存取通訊協定 (LDAP)、郵局通訊協定 (POP)、簡易郵件傳輸通訊協定 (SMTP)、簡易網路管理通訊協定 (SNMP)、安全殼層 (SSH)、Telnet 與 TLS/SSL。
- 傳輸層:此層會藉由針對所使用應用程式通訊協定使用適當的連接埠,以將應用程式資料分割成可管理且已排序的區塊。 與此層建立關聯的通訊協定為 TCP 和使用者資料包通訊協定 (UDP)。
- 網際網路層:也稱為網路層,此層會確保資料封包到達其目的地。 與此層建立關聯的通訊協定為 IP、IPv4、IPv6、網際網路控制訊息通訊協定 (ICMP) 和網際網路通訊協定安全性 (IPsec)。
- 網路存取層:此層負責定義在網路上傳送資料的方式。 與此層建立關聯的通訊協定為 ARP、MAC、乙太網路、數位用戶線路 (DSL) 和整合式服務數位網路 (ISDN)。
什麼是網際網路通訊協定標準?
回想一下,網際網路通訊協定不在意傳送或接收封包的順序。 它也不保證封包的傳遞。 網際網路通訊協定只會提供邏輯定址系統,可用來將訊息路由傳送並轉送至其目的地。
目前有兩個網際網路通訊協定版本在網路內運作。
IPv4
網際網路通訊協定第 4 版於 1983 年發行,且為現今所有封包-交換器型網路的標準。 IPv4 會使用 32 位元的位址空間,提供 4,294,967,296 (43 億) 個唯一邏輯 IP 位址上限。 基於特定用途會保留許多可用的 IP 位址;例如,私人網路、本機主機、網際網路轉送、文件和子網路。
IPv4 位址的結構
IPv4 位址的結構是四個十進位數字,範圍介於 0 到 255 之間,每個都以點分隔。 它也稱為以點分隔的十進位格式。 IP 位址的範例是 192.168.0.1。
IPv4 位址的部分
IP 位址、網路和主機皆有兩個部分。 讓我們使用位址 192.168.0.1 作為範例。
IP 位址的網路部分涵蓋前一個十進位數字集合。 在此範例中,這是 192.168.0。 此數字對網路而言是唯一的,且會指定網路的類別。 有許多可用的網路類別,如下節所述。
IP 位址的主機部分涵蓋後續十進位數字集合。 在此範例中,這是 1。 此數字代表裝置,且在網路內必須是唯一的,以避免發生位址衝突。 網路區段上的每個裝置都必須有唯一的位址。
IPv4 位址類別
網際網路通訊協定的本機位址空間會分割成五個邏輯類別或 IP 位址範圍,每個都會以字母表示。
| 類別 | 起始位址 | 結束位址 | 網路數目 | 每個網路的 IP 位址 | 可用的 IP 位址總數 | 子網路遮罩 |
|---|---|---|---|---|---|---|
| A | 0.0.0.0 | 127.255.255.255 | 128 | 16,777,216 | 2,147,483,648 | 255.0.0.0 |
| B | 128.0.0.0 | 191.255.255.255 | 16,384 | 65,536 | 1,073,741,824 | 255.255.0.0 |
| C | 192.0.0.0 | 223.255.255.255 | 2,097,152 | 256 | 536,870,912 | 255.255.255.0 |
| D | 224.0.0.0 | 239.255.255.255 | - | - | 268,435,456 | - |
| E | 240.0.0.0 | 255.255.255.255 | - | - | 268,435,456 | - |
對於類別 A、B 和 C,系統會保留起始和結束 IP 位址,且不應使用。 類別 D 只會針對多點傳送流量加以保留。 類別 E 會被保留,且無法在公用網路 (例如網際網路) 上使用。
在上表中,最後一欄標示為子網路遮罩。 子網路遮罩會使用與 IP 位址相同的格式,但其用途是要識別 IP 範圍內的有效 IP 位址。
例如,假設您有一個從 192.168.0.1 開始的 IP 位址範圍,而且有一個 255.255.255.0 子網路。 您將以下列方式套用子網路遮罩。 針對遮罩中指定為 255 的每個位址區段值,對應的位址區段為靜態。 當您想要挑選 IP 位址時,必須挑選符合 192.168.0 的位址。 如果區段的值為 0,您就可以使用介於 0 到 255 之間的任何值。 255.255.255.0 的子網路遮罩會提供 192.168.0.0 到 192.168.0.255 的 IP 位址範圍,這是可選取的有效值。
什麼是子網路?
子網路會定義類別 A、B 或 C 網路內的一或多個邏輯網路。 如果沒有子網路,您就只能在每個類別 A、B 或 C 網路中使用單一網路。
IP 位址 (也稱為網路位址或路由首碼) 代表要傳送資料封包之裝置或電腦的位址。 子網路或主機位址代表要使用的網路或子網路。 子網路是使用以點分隔的十進位格式 32 位元數字。 例如,255.255.255.0 是標準的子網路遮罩。
在 IPv4 網路中,若要將資料封包路由傳送到正確的網路和正確的網路裝置,則需要路由首碼。 路由首碼的建立方式是取得子網路遮罩,並將位元 AND 套用到 IP 位址。
定義子網路和路由首碼較常見的方式,是使用無類別網域間路由選擇 (CIDR) 標記法。 CIDR 會套用至 IP 位址,以作為您要配置給子網路的位元數。 使用 CIDR 標記法時,會在 IP 位址結尾加上 "/",然後加上位元數。 例如,198.51.100.0/24 與使用以點分隔的十進位格式子網路遮罩 255.255.255.0 相同。 其提供 198.51.100.0 到 198.51.100.255 的位址範圍。
子網路允許一個網路內存在多個子網路。 它們可用來增強路由效能。 子網路可以階層方式排列,以建立路由樹狀結構。
特殊用途位址
每個類別均會限制可使用的 IP 位址範圍。 下表顯示較常見的位址範圍。
| 位址範圍 | 影響範圍 | 描述 |
|---|---|---|
| 10.0.0.0–10.255.255.255 | 私人網路 | 用於私人網路內的本機通訊 |
| 127.0.0.0–127.255.255.255 | Host | 用於迴路位址 |
| 172.16.0.0–172.31.255.255 | 私人網路 | 用於私人網路內的本機通訊 |
| 192.88.99.0–192.88.99.255 | 網際網路 | 已保留 |
| 192.168.0.0–192.168.255.255 | 私人網路 | 用於私人網路內的本機通訊 |
| 255.255.255.255 | 子網路 | 已針對「限制廣播」目的地位址加以保留 |
IPv4 位址空間耗盡
引進 IPv4 後不久,就會發現可用 IP 位址集區的耗用速度會比預期還要快。 例如,考慮過去幾年來已發行的行動裝置數目。
已引進數種解決方案來減輕 IP 位址耗盡的威脅。 這些構想已包含網路位址轉譯 (NAT)、分類網路和 CIDR。 在 1990 年代,已建立 IPv6,將 IP 位址空間數目提高為 128 位元。 IPv6 是在 2006 年於市場上推出的。
私人 IP 定址
在類別 A、B 和 C 中,為私人網路預留了 IP 位址範圍。 這些 IP 範圍無法透過網際網路存取。 所有公用路由器都會忽略任何傳送給它們包含此類位址的封包。
| 名稱 | CIDR 區塊 | 位址範圍 | 位址數目 | 分類描述 |
|---|---|---|---|---|
| 24 位元區塊 | 10.0.0.0/8 | 10.0.0.0–10.255.255.255 | 16,777,216 | 單一類別 A |
| 20 位元區塊 | 172.16.0.0/12 | 172.16.0.0–172.31.255.255 | 1,048,576 | 16 個連續範圍的類別 B 區塊 |
| 16 位元區塊 | 192.168.0.0/16 | 192.168.0.0–192.168.255.255 | 65,536 | 256 個連續範圍的類別 C 區塊 |
私人網路上的網路裝置無法與公用網路上的裝置通訊。 通訊只能透過路由閘道上的網路位址轉譯發生。
將不同地理區域中兩個私人網路連線的唯一方式是使用虛擬私人網路 (VPN)。 VPN 會封裝每個私人網路封包。 VPN 可在透過公用網路將封包從一個私人網路傳送到另一個私人網路之前,進一步將其加密。
IPv6
網際網路通訊協定第 6 版是最新版的 IP 標準。 網際網路工程任務推動小組 (IETF) 設計並開發了 IPv6,以解決 IPv4 邏輯位址用盡的問題。 其最終旨在取代 IPv4 標準。 在 2017 年 7 月,採用了此標準作為公認的網際網路標準。
IPv6 使用 128 位元的位址空間,允許 2128 個位址。 此數量大約是 IPv4 的 7.9 x1028 倍以上。
IPv4 和 IPv6 並未設計為可互通,並使轉換到較新 IPv6 標準的速度變慢。
IPv6 也引進了數個優點:
- 簡化的網路設定:IPv6 已於通訊協定中內建位址自動設定。 例如,路由器會廣播網路首碼,而網路裝置可附加其 MAC 位址,以自行指派唯一的 IPv6 位址。
- 安全性:IPv6 中內建 IPSec。
- 新的服務支援:IPv6 免除了 NAT 的需求,讓您能夠更輕鬆地建立對等網路。
- 多點傳送和任一傳播功能:多點傳送讓您能夠以一對多的方式廣播訊息。 任一傳播讓單一目的地能夠擁有多個通往兩個或多個端點目的地的路由路徑。
IPv6 位址的結構
IPv6 的結構與 IPv4 不同。 它不是四個十進位數字,而是使用八個名為 hexadectet 的十六進位數字的群組。 每個 hexadectet 都會以冒號分隔。 完整的 IPv6 位址看起來像這樣:2001:0db8:0000:0000:0000:8a2e:0370:7334。
新的標準可以使用下列規則來簡化位址:
- 所有群組中的一或多個前置零均會移除;因此,
0042會變成42。 - 連續的零區段會以雙冒號 (
::) 來取代,在一個位址中只能使用一次。
IPv6 範例的簡短版本是 2001:db8::8a2e:370:7334。 請注意,所有出現的 0000 均已移除。
DNS
網域名稱系統是一種非集中式查閱服務,其將人們可讀取網域名稱或 URL 轉譯為裝載網站或服務的伺服器其 IP 位址。 這種 DNS 全球分佈特性是網際網路的重要元件。 DNS 從 1985 年開始便持續使用。
DNS 伺服器有兩個用途。 第一個是維護最近搜尋過網域名稱的快取,這可改善效能並減少網路流量。 第二個是用來作為其下所有網域的啟動授權 (SOA)。 當 DNS 伺服器嘗試解析一個不在其快取中保留的網域名稱時。 它會從最高層 (點) 開始,然後向下查找子網域,直到找到充當 SOA 的 DNS 伺服器為止。 找到之後,它會將網域的 IP 位址儲存於其本機快取中。
DNS 也會保存與網域相關的特定記錄。 這些記錄包括 SOA、IP 定址 (A 和 AAAA)、SMTP 電子郵件 (MX)、名稱伺服器 (NS),以及網域名稱別名 (CNAME) 記錄。
Azure 供應哪些項目?
雖然這裡討論的許多概念都是技術性的,但 Azure 會建置並擴充這其中數個層面,以及可協助設定網路的工具。
Azure DNS
Azure DNS 是一種服務,可使用 Azure 基礎結構來裝載已註冊的網域名稱。 您可以使用 Azure DNS 來管理您的 DNS 記錄。 透過使用您的一般 Azure 登入認證,您可以管理 A、AAAA、CNAME、SOA、NS 和 MX 等之類的記錄。
Azure DNS 不會取代您註冊和購買網域所在的網域註冊機構。
Azure DNS 提供的其中一個核心優點是別名記錄,其可以使用 A、AAAA 或 CNAME 記錄。 藉由使用別名,您可以將流量路由傳送到 Azure 資源。
Azure 虛擬網路
您可以使用 Azure 虛擬網路在雲端中建置私人網路。 有了 Azure 虛擬網路,您就能建置可與其他虛擬網路及內部部署網路通訊的網路。 這是將網路擴充到雲端的有效方式。
有了 Azure 虛擬網路,您就可以控制所使用的定址。 大部分的虛擬網路均會被視為私人網路。 如同一般網路,您可以使用子網路來分割 IP 位址範圍並提供給那些子網路。