53、网络术语详解：从基础概念到高级协议

网络术语详解：从基础概念到高级协议

1. 动态地址（Dynamic address）

动态地址是指在网络中分配给设备的 IP 地址，分配时不考虑将特定地址与该设备匹配。当客户端设备（如插入网络的笔记本电脑）获得动态地址时，它只是从可用地址池中获取一个。它可能会也可能不会被分配与之前连接相同的 IP 地址，既不会特意分配相同地址，也不会特意分配不同地址。

2. 加密（Encryption）

加密是将信息从有意义的可用形式（称为明文）转换为加密形式（称为密文）的过程，除了拥有解密密钥的人之外，其他人无法解密。加密可以应用于磁盘上的单个文件、网络连接中数据包的所有数据，或整个数据流。

3. 以太网相关（Ethernet, Fast Ethernet, Gigabit Ethernet）

以太网是用于发送数据的一系列相关链路层协议的统称。以太网通常指整个协议族，有时也仅指 10 兆比特每秒的连接。快速以太网为 100 兆比特每秒，千兆以太网为 1000 兆比特（即 1 千兆比特）每秒。
| 类型 | 速度 |
| ---- | ---- |
| 以太网 | 通常 10Mbps |
| 快速以太网 | 100Mbps |
| 千兆以太网 | 1000Mbps |

4. 完全限定域名（FQDN—Fully Qualified Domain Name）

完全限定域名是在 DNS 中明确指向一个地址的完整域名。例如，在 example.com 域中名为 alrac 的主机，其完全限定域名是 alrac.example.com。

5. 帧中继（Frame Relay）

帧中继是一种点对点协议，它以可变大小的帧而不是 TCP/IP 数据包来传输流量，用于连接分支机构或客户与其 ISP。帧中继不进行任何错误纠正，这由端点负责。过去，它是 T 服务的低成本替代方案，但如今在成本竞争力上不如以往，主要在高速 DSL 或 T 服务不可用时使用。

6. FXS/FXO

“Foreign Exchange Station” 和 “Foreign Exchange Office” 是模拟电话术语。FXS 是电信公司为其客户提供的接口，如电话插入的墙上插孔。模拟电话是 FXO 设备。

7. 通用路由封装（GRE—Generic Routing Encapsulation）

通用路由封装是一种隧道协议，它将 OSI 第 3 层数据包封装在 IP 数据包内。GRE 在像互联网这样的 IP 网络中为远程点的机器之间提供虚拟点对点链接。GRE 完全不安全，但它提供了一种快速简单的方式来访问远程网络。

graph LR
    A[源主机] -->|封装| B(GRE 隧道)
    B -->|解封装| C[目标主机]

8. GRUB 引导加载程序（GRUB—GNU GRUB or GRand Unified Bootloader）

GRUB 是用于 Linux 和其他操作系统的多引导加载程序。当计算机启动时，GRUB 执行并允许用户进行启动时的选择，如选择不同的内核或内核选项，然后将控制权和选项传递给内核以启动操作系统。大多数当前的通用 Linux 发行版使用 GRUB。与 LILO 不同，每次配置更改时，磁盘上的主引导记录不需要被重写。

9. 集线器（Hub）

以太网集线器是一种具有多个端口的网络设备，它以星型拓扑结构连接多个网络设备。当一个数据包到达集线器的一个端口时，集线器会将该数据包重复发送到所有其他端口，希望正确的目标机器能收到该数据包。由于集线器每个端口上的每个数据包都会被重复发送到其他端口，因此经常会发生冲突，从而减慢网络速度。与交换机形成对比。

10. IAX 协议（IAX）

IAX 是 Asterisk iPBX（基于互联网协议的专用分支交换机）和 VoIP（IP 语音）服务器的原生协议。IAX 可以承载多个音频和视频数据流，这减少了 IP 开销，并且由于它使用单个端口，因此很容易通过防火墙。

11. 网络接口（Interface）

在网络环境中，接口是 Linux 操作系统中用于描述网络连接的名称。该连接可能直接对应于物理设备，如 eth0（描述特定的以太网端口），或通过另一个连接的虚拟连接，如通过另一个连接进行隧道传输的 tun0。

12. 互联网操作系统（IOS—Internet Operating System）

IOS 用于大多数思科路由器，是专门为处理思科网络硬件上的网络任务而设计的操作系统。

13. IP 协议（IP）

IP 与 TCP 一样，是互联网上使用最广泛和最重要的协议之一。IP 负责将网络上一台计算机的信息数据包发送到可能位于世界另一端的远程机器。路由器会关注 IP 数据包中携带的 IP 地址，并执行必要的操作，将数据包逐跳地转移到其最终目的地。IP 不保证可靠性，因此如果数据包在传输过程中丢失、意外重复、顺序错误或损坏，IP 层不会采取任何措施来解决问题，这由上层协议（如 TCP）负责。
IP 有两种主要类型：
- IPv4：广泛流行的默认版本，具有熟悉的 32 位地址（以点分十进制表示，如 12.139.163.20），最多可提供 43 亿个地址，不足以给每个活人分配一个 IP 地址。
- IPv6：IPv4 的继任者，具有 128 位地址，可为每个活人身体的每个细胞分配数十亿个 IP 地址。IPv6 除了拥有更大的地址池外，还具有一些其他特性，如默认支持组播、支持巨型数据包（最大 4GB）、默认支持 IPsec 以及无状态主机自动配置。

graph LR
    A[源主机] -->|IP 数据包| B[路由器]
    B -->|IP 数据包| C[目标主机]

14. IP 安全（IPsec—IP security）

IPsec 是一组用于在 IP 流级别对数据包进行加密、认证和完整性检查的协议。它还包括用于建立加密密钥的协议，广泛应用于一些虚拟专用网络（VPN）的实现中。IPsec 在网络层运行，低于其他互联网安全系统（如 SSL），这在提供额外灵活性的同时也带来了更多的复杂性。IPsec 有两种操作模式：
- 传输模式：由连接两端的每台机器执行，仅对 IP 数据包的有效负载进行加密，将 IP 头保留为明文以便路由（但不能使用 NAT，因为 NAT 会重写部分数据包，导致完整性检查失败）。
- 隧道模式：整个数据包被加密，然后封装在一个新的 IP 数据包中以实现路由功能。使用这种方法，两个节点（每个 LAN 中一个）可以为两个 LAN 之间提供安全的流量传输。

15. 综合业务数字网（ISDN—Integrated Services Digital Network）

综合业务数字网是一种使用普通电话线的数字网络技术，能够通过一条物理线路传输多个数据、语音、视频或传真通道。ISDN 上的通道分为 B 通道（承载通道，通常为 64 Kbps，大多数数据通过该通道传输）和 D 通道（用于传输控制信号的通道）。不同的 ISDN 服务可以提供不同数量的通道，从基本的两个 B 通道和一个 D 通道到最多 30 个 B 通道。在世界上许多地方，ISDN 已被 DSL 取代。

16. Kerberos 认证协议

Kerberos 是一种认证协议，允许在网络上通信的用户相互安全地证明自己的身份。它不仅允许用户向服务器证明自己的身份，还允许服务器向用户证明自己的身份。Kerberos 认证使用对称密钥加密和一个可信的第三方，即密钥分发中心（KDC）。网络上的每个实体都有一个只有自己和 KDC 知道的秘密密钥。

认证过程复杂，可总结如下：
1. 客户端希望访问网络上的服务器，并将此请求传达给 KDC。
2. KDC 和客户端使用客户端的密钥进行通信，经过协商后，KDC 向客户端返回多个消息，其中包括一个用服务器密钥加密的消息，客户端必须将该消息发送给服务器以证明 KDC 已对客户端进行了认证，以及一个专门用于客户端和服务器之间通信的会话密钥。
3. 当客户端向服务器出示用服务器密钥加密的消息时，服务器解密该消息并提取会话密钥和其他识别客户端的信息，从而建立相互信任，之后客户端和服务器可以使用会话密钥对消息进行加密通信。

17. 密钥分发中心（KDC—Key Distribution Center）

KDC 相关内容可参考 Kerberos 认证协议部分，它是 Kerberos 认证体系中的重要组成部分。

18. 局域网（LAN—Local Area Network）

局域网是基于小物理区域（如住宅、建筑物或大学校园）的网络。它们通常由系统之间的高速连接组成（常见的有千兆以太网和 Wi-Fi），其结构中不涉及向互联网支付网络连接费用，尽管可能会使用这种连接将局域网连接到世界其他地方。

19. 轻量级目录访问协议（LDAP—Lightweight Directory Access Protocol）

LDAP 是一种用于访问和写入 LDAP 目录信息的协议。该目录本身是一个数据库，设计用于非常快速且一致的读取操作，用于存储相对静态的信息，如用户数据、密码、安全密钥、客户数据等。LDAP 客户端连接到 LDAP 服务器并发送请求，通常客户端可以向服务器发送多个请求，并且不需要在请求之间等待响应，LDAP 服务器可以按任意顺序返回响应。Microsoft 的 Active Directory 和 Fedora Directory Server 是重量级 LDAP 实现的两个示例。

20. LILO 引导加载程序（LILO—LInux LOader）

当安装了 LILO 的计算机启动时，BIOS 从磁盘将控制权传递给 LILO，允许用户进行启动时的选择，如选择不同的内核或内核选项。一旦选择了一个选项，LILO 加载相关的内核并将控制权和选项传递给它以启动操作系统。在通用 Linux 发行版中，LILO 已不如 GRUB 受欢迎。

21. 伪装（Masquerading）

IP 伪装是网络地址转换（NAT）的同义词。

22. 管理信息库（MIB—Management Information Base）

在 SNMP 上下文中，MIB 是一种层次结构，描述了可以对代理进行查询或在某些情况下进行写入的所有对象。每个代理的 MIB 包含每个对象的名称、对象标识符（OID）、数据类型以及读取或读写状态。设计用于由 SNMP 管理的网络设备（代理）必须包含一个与设备操作相关的对象的 MIB，并且该代理的管理器也必须知道可以在代理上合理访问的内容。实际上，只有一个 MIB，由互联网号码分配机构（IANA）管理其结构。设备仅实现 MIB 树中与自身操作相关的对象子集。

23. 调制解调器（Modem）

调制解调器（Modem）源于 “MOdulate/DEModulate”，是一种通过调制载波信号对数字数据进行编码，以便在模拟电话连接上传输，并将接收到的模拟信号解码回数字流的设备。调制解调器最常用于通过电话系统连接两台计算机，但也存在使用其他模拟传输介质（如无线电）的不同形式的调制解调器。

24. 微软点对点加密（MPPE—Microsoft Point-to-Point Encryption）

MPPE 是一种用于加密 PPP 和 VPN 连接的协议。它使用 RSA 的 RC4 加密算法，使用高达 128 位的会话密钥。为了提高安全性，会话密钥会频繁更改，但由于密钥是从最初以明文形式发送的信息派生而来的，因此 MPPE 的加密强度不是特别高。

25. 组播（Multicast）

IP 组播是将一个数据包发送到网络上多个机器的过程。与单播（仅发送到一个主机）和广播（发送到所有主机）形成对比。组播只要求源发送一次数据包，无论接收者数量多少，网络内的节点会根据需要多次复制该数据包。数据包在网络内移动并复制到正确的主机，取决于源向一个组地址发送数据包，并且有多个接收者已经向网络宣布它们属于该组。网络内的节点（知道哪些节点加入了组播组）可以智能地转发数据包，仅在需要时进行复制。

graph LR
    A[源主机] -->|组播数据包| B(组播组)
    B -->|复制| C[接收主机 1]
    B -->|复制| D[接收主机 2]
    B -->|复制| E[接收主机 3]

26. 网络访问服务器（NAS—Network Access Server）

网络访问服务器是网络的访问点，用于保护对该网络的访问。NAS 从希望连接到网络的客户端获取凭据，并将其传递给某种认证服务，然后根据认证服务的响应授予或拒绝客户端访问。作为 NAS，服务器不需要知道哪些客户端被允许访问，尽管 NAS 使用的认证服务可能运行在同一物理设备上。NAS 必须能够阻止或允许客户端访问其后面的资源。

27. 网络地址转换（NAT—Network Address Translation）

NAT 是一种允许单个公共 IP 地址代表整个私有子网，并允许使用私有不可路由地址运行公共服务器的方法。典型的互联网连接可能有一个公共 IP 地址，以及一个由 25 台工作站、笔记本电脑和服务器组成的局域网，由 iptables NAT 防火墙保护。整个网络在外部世界看来就像一台计算机。源 NAT（SNAT）将所有传出数据包的源地址重写为防火墙的地址，并且在从互联网接收到私有网络内机器的响应时也可以进行反向转换。虽然公共可路由 IP 地址对于公共服务（如 Web 和邮件服务器）是理想的，但可以通过使用私有地址运行公共服务器来节省成本。目标 NAT（DNAT）将目标地址（即防火墙地址）重写为实际服务器地址，然后 iptables 将传入流量转发到这些服务器。

28. 子网掩码（Netmask）

子网掩码也称为 Subnet Mask，相关内容可参考子网部分。

29. 网络接口卡（NIC—Network Interface Card or Network Interface Controller）

网络接口卡是允许计算机连接到网络的硬件。它可以是插入计算机主板的卡，也可以通过 USB 端口连接，或者直接集成在主板中。它提供了计算机与网络其他部分通信的物理连接。最常见的是连接到 TCP/IP 网络，可能使用五类线、无线或同轴电缆连接。也存在用于其他网络类型（包括令牌环和光纤）的 NIC。

30. 名称服务切换（NSS—Name Service Switch）

名称服务切换是许多 Unix 及相关系统的一部分，它定义了如何进行与机器环境相关信息的查找。默认情况下，大多数名称（如用户密码、组、主机等）的查找是通过文件（如 /etc/passwd 或 /etc/hosts）进行的。名称服务切换允许使用其他数据库来查找相同的信息，并定义了访问这些数据库的顺序。通过配置此切换，Linux 系统可以在 Windows 域中使用，Winbind NSS 模块可以从 Windows 域提供用户和组信息。

31. 网络时间协议（NTP—Network Time Protocol）

网络时间协议是一种旨在允许网络上的计算机同步其时钟的协议，考虑到分组交换网络上的可变延迟。使用 NTP，网络（如互联网）上的所有计算机的时钟可以同步到百分之一秒以内。这对于某些网络活动（如 Kerberos 认证）是必需的，因为 Kerberos 认证部分依赖于准确的时间戳。

32. 零调制解调器电缆（Null modem cable）

零调制解调器电缆是一种允许 PC 通过串行端口直接连接到另一台 PC 的电缆。与普通调制解调器电缆类似（除了接收/传输线在调制解调器上直接连接到传输/接收引脚的情况），零调制解调器电缆在电缆内部交换线路，允许两台 PC 使用与连接到调制解调器相同的串行连接软件和串行端口进行通信。

33. 非易失性随机访问存储器（NVRAM—Non-Volatile Random Access Memory）

与 PC 内的普通 RAM 不同，NVRAM 在断电时不会丢失其内容。与普通 RAM 相比，各种形式的 NVRAM 通常存在一些缺点，它通常速度较慢，读取时需要更多的功率，写入时需要的功率更多，并且可能会因为普通 RAM 所需的大量写入操作而磨损。不同形式的 NVRAM 最常用于存储设备内的一些设置，只需要偶尔写入，但它也可以作为小型硬盘的无声替代品。闪存是最著名的 NVRAM 形式。

34. 对象标识符（OID—Object IDentifier）

在 SNMP 上下文中，OID 是一个唯一标识符，用于引用管理信息库（MIB）中用于存储与网络设备相关的信息和设置的对象。OID 表示为用点分隔的数字字符串，指的是对象在 MIB 树结构中的位置。例如，1.3.4.16 是 1.3.4.1800 的兄弟节点，两者都是 1.3.4 的子节点。对象及其包含的信息可以是与设备操作相关的任何内容，从设备名称到风扇速度、内存使用情况、带宽使用情况或正在使用的仓鼠轮数量。

以下是部分术语的简单对比表格：
| 术语 | 主要特点 | 应用场景 |
| ---- | ---- | ---- |
| 以太网 | 多种速度可选，常见链路层协议 | 局域网连接 |
| 帧中继 | 可变帧传输，不纠错 | 分支机构连接 |
| 组播 | 一次发送，多机接收 | 视频会议等 |
| 单播 | 仅发送到一个主机 | 常规一对一通信 |
| 广播 | 发送到所有主机 | 网络发现等 |