Introduction

“wireless” 和 “mobile” 往往是密不可分的，但它们实际上面临着不同的挑战，需要不同的解决方案。

wireless network 一般包含 wireless host、wireless link 和 base station，但不是所有 wireless network 都有 base station。

根据 wireless hop 的次数、是否有 base station (infrastructure)，wireless network 可以大致分为四种：

• single-hop, infrastructure-based: 大部分 wireless network，例如 802.11 和 4G LTE
• single-hop, infrastructure-less: 例如 Bluetooth
• multi-hop, infrastructure-based: 例如 wireless mesh network
• multi-hop, infrastructure-less: 例如 mobile ad hoc network (MANET)、vehicular ad hoc network (VANET)

Wireless Links and Network Characteristics

wireless network 面临着几个主要问题：

• 信号衰减：长距离传输、穿越障碍
• 信号干扰：其他同频段信号、环境噪音
• multipath propagation：同一信号的多个部分从 sender 到 receiver 可能会走不同的路径

总之，wireless network 通常有更多 bit error，所以往往除了 wired network 也会使用的 CRC error detection codes，还会使用 link-layer reliable-data-transfer protocol。

signal-to-noise ratio (SNR) 是接收到的信号强度与噪音之比，bit error rate (BER) 是 bit error 发生的概率。

wireless network 通过 modulation scheme 来决定如何 encoding 和 transmission。对于同一个 modulation scheme，SNR 越高 BER 越低；对于同样的 SNR，transmission rate 越高的 modulation scheme BER 越高。所以，往往会根据实际的 channel condition 动态选用 modulation scheme（例如在 BER 满足一定限制的情况下尽可能提高 transmission rate）。

wireless network 中的 multiple access 也更加复杂，例如，A 和 C 分别能传输信号到 B，但因为障碍物或距离等原因，A 和 C 接收不到彼此发送的信号，这可能导致 undetectable collision。

CDMA

CDMA (code division multiple access) 是一种常用于 wireless network 的 multiple access protocol，属于 channel partitioning protocol。

在 CDMA 中，每个装有 1 bit 的 time slot 会被再分为多个 mini-slot，sender 将每个 slot 内的 data（mini-slot 全 0 / 全 1）异或上一个 code，理想状态下，receiver 再异或上这个 code 就可以得到 data。实际上，会有其他信号产生干扰，而合适地选取 code 可以在有干扰的情况下依然能够读取出 data。这相当于是在 code space 而非 time / frequency 上进行 channel partitioning。

（书中没有说明具体细节，例如如何选取 code，如何处理不同 sender 的信号强度不同。）

Wi-Fi: 802.11 Wireless LANs

Wi-Fi 的全称为 “IEEE 802.11 wireless LAN”，有 802.11b/g/n/ac/ax/af/ah 等版本，不同版本有不同的最大传输速率、传输距离以及使用的频段。

The 802.11 Wireless LAN Architecture

802.11 architecture 的 building block 是 basic service set (BSS)，每个 BSS 包含一个被称作 access point (AP) 的 base station 以及连接到 AP 的若干 wireless station（即 host）。

802.11 可以通过 AP 连接为 infrastructure wireless LAN，也可以没有 AP 而只由几个 host 互相连接成 ad hoc network（不对外连接到 Internet）。本书只讨论 infrastructure wireless LAN。

每个 AP 有一个 service set identifier (SSID)，即 Wi-Fi 的名称。可以为 AP 设置 channel number，2.4GHz 频段共有 11 个 channel number，但相差不到 5 的 channel 会相交，彼此不相交的 channel 最多只能有 3 个（1、6、11）。

AP 会周期性地广播 beacon frame 来告诉 wireless device 自己的存在，wireless device 可以监听 beacon frame 来进行 passive scanning。除此之外，也可以主动发送 probe frame 来进行 active scanning。

找到 AP 后，wireless device 需要在可用的 AP 中选择一个（802.11 standard 中没有规定选择 AP 的算法），发送 association request，AP 返回 association response，就建立了连接。

The 802.11 MAC Protocol

CSMA/CA

802.11 使用的 MAC protocol 是称作 CSMA with collision avoidance (CSMA/CA) 的 random access protocol，和 Ethernet 使用的 CSMA/CD 类似，但又有很大不同：

• CSMA/CA 是 “collision avoidance” 而非 CSMA/CD 的 “collision detection”，这意味着它不是在检测 collision 时中断传输，而是不进行检测，通过其他机制尽量避免 collision。这是因为 wireless network 中很难进行 collision detection：
  • 前文中提到过，wireless network 中可能存在 undetectable collision；
  • collision detection 需要在发送的同时接收信号，而无线信号在发送端的强度会远高于接收端的强度，这也加大了 collision detection 的难度。
• 802.11 引入了 link-layer reliable-data-transfer。

其完整流程为：

1. 等待一小段时间（distributed inter-frame space, DIFS) 来看 channel 是否 idle。
2. 如果 channel buzy，进入 binary exponential backoff（只在 channel idle 时 countdown，channel buzy 则不计入等待时间）。
3. 经历了足够长的 channel idle 后，发送整个 frame（不检测 collision）。
4. AP 接收到 frame 后，等待一小段时间（short inter-frame space, SIFS），然后发送 ACK。
5. 如果 sender 接收到了 ACK，则结束或继续发送下一个 frame；否则进入 binary exponential backoff，进行 retransmission。

其中，检测到 channel buzy 时直接进入 backoff，是为了避免 channel 变为 idle 时多个 sender 同时发送而产生 collision。这与 CSMA/CD 不同，因为如果有 collision detection 的话，即使发生了这样的 collision 也代价不大，就无需通过 backoff 来避免。

RTS/CTS

wireless network 中不仅 collision detection 非常困难，carrier sense 也比较困难，光靠上面这些机制还是很可能出现 collision，所以 802.11 还提供了另一种可选的机制：使用 request to send (RTS) frame 和 clear to send (CTS) frame 来显式地预留出通信权：

1. sender 发送 RTS，告诉 AP 需要预留出的时长（传输 data 和 ACK 的用时）。
2. AP 发送 CTS，告诉 sender 可以发送，以及告诉其他 station 一段时间内不要发送。
3. sender 发送 data。
4. AP 发送 ACK，除了普通的 ACK，也是告诉其他 station 可以发送了。

使用 RTS/CTS 可以保证 data 和 ACK 的传输不会出现 collision，而 RTS/CTS frame 自身非常短，如果产生 collision 代价是较小的。然而，RTS/CTS 自身会消耗资源、产生延时，所以一般只有在 data 较大时才会使用，wireless station 一般会设置一个发送 RTS 的 frame length threshold，很多时候这个 threshold 比 maximum frame length 还大，实际上就是禁用了 RTS。

Use 802.11 as Point-to-Point Link

上面说的是常见的 802.11 对 multiple access 的处理，除此之外，802.11 也可以通过 directional antenna 作为 point-to-point link 使用。

The IEEE 802.11 Frame

802.11 frame 的结构如下图所示：¹

• type、subtype：这决定了 association、RTS、CTS、ACK、data 等 frame 类型。

• duration: 这是 RTS/CTS（预留一段时长）所需的。

• address: 由于 AP 起到中介的作用，在 infrastructure wireless LAN 中 frame 需要包含三个 address（在 ad hoc mode 中需要四个，此处不讨论）：

  • 前两个是 802.11 收发双方（station 和 AP）的 MAC address：这是 802.11 通信所需的。
  • 第三个是 AP 连接到的 router interface 的 MAC address：AP 工作在 link layer，router 感知不到 AP 的存在；在 AP 向 station 发送时，station 可以从 address 3 得到 router 的 MAC address；在 station 向 AP 发送时，AP 可以从 address 3 知道 Ethernet frame 需要发给谁。总之，address 3 是 Ethernet 通信所需的。

  不同场合下每个 address 分别代表什么是不同的，这由 frame control 中的 “to AP” 和 “from AP” 决定。

• sequence number: 这是 link-layer reliable-data-transfer 所需的。

• payload: 802.11 允许 2312 bytes 的 payload，但由于 Ethernet 的限制，一般不会超过 1500。

Mobility in the Same IP Subnet

当 host 从一个 BSS 移动到另一个 BSS 时，如果两个 BSS 处于同一个 IP subnet 中，mobility issue 就比较容易解决：直接保持 IP address 不变即可。而如果两个 AP 由 switch 连接，还需要处理 switch interface 改变的问题，由于 switch 的 self-learning，一个处理方式是在和新的 AP 建立 association 后立刻发送一个 broadcast Ethernet frame 来告诉 switch 换了一个 interface。

如果使用 VLAN，可以将很多（地理位置不同的）AP 放在同一个 IP subnet 中，从而较为轻松地解决 mobility issue。

Advanced Features in 802.11

802.11 Rate Adaptation

如上文所述，不同环境下 SNR 不同会导致最佳的 transmission rate 不同。在 802.11 中，ACK 可以用作 rate adaptation 的 hint，在没收到 ACK 时降低 transmission rate，在连续收到很多 ACK 时提高 transmission rate，这与 TCP 的 congestion control 类似。

802.11 Power Management

一个 802.11 node 往往不需要一直通信，在不进行通信的时候可以 sleep 来 save power：

1. node 可以在 header 中设置 power management flag 来告诉 AP 自己即将 sleep。
2. 如果 AP 接收到一个发送给正在 sleep 的 node 的 frame，会将其存在 buffer 中。
3. AP 发送的 beacon frame 中包含一个有 buffered frame 的 node list，node 会在 AP 发送 beacon frame 前 wake up，根据自己是否有 buffered frame 来请求 AP 发送这些 buffered frame 或继续 sleep。

一般来说，AP 会周期性地每 100ms 发送一次 beacon frame，而一次 wakeup 只需 250μs，所以不进行通信的 station 可以在 99% 的时间内 sleep。

Personal Area Networks: Bluetooth

Bluetooth 使用 TDM 进行 channel partitioning，同时在 79 个 frequency channel 中进行 pseudo-random 的 channel hopping (frequency-hopping spread spectrum, FHSS) 来降低外界干扰的影响。

Bluetooth network 是 ad hoc (infrastructure-less) 的，一个 Bluetooth network 包含最多 8 个 active device，其中一个是 master device，它决定传输的 clock、frequency-hopping pattern、power，邀请 client 进入 Bluetooth network，通过 polling 来控制 client 何时通信。network 中还可以有最多 255 个 parked device，会长期处于 sleep mode，周期性地接收 beacon message，只有切换为 active 才能进行通信。

Bluetooth network 的建立过程为：

1. neighbor discovery:
   1. master 广播 inquiry message，在 32 个不同的 frequency 发送至多 128 遍，因为此时还没有协商好 frequency-hopping pattern。
   2. client 收到 inquiry message 后，随机等待 0~300ms 来避免 collision，然后发送 response，包含 client 的 device ID。
2. Bluetooth paging:
   1. master 向特定的 client 发送 paging invitation，依然是在 32 个不同的 frequency。
   2. client 收到 paging invitation 后返回 acknowledgment。
   3. master 向 client 发送 frequency-hopping pattern、clock synchronization information 以及 active member address。
   4. 使用 frequency-hopping pattern 来 poll client，以确认 client 连上了。

Mobility Management: Principles

mobility 指的是 mobile device 到网络的接入点发生变化，而从 network layer 的角度来看，只有 access network 发生了变化且需要保持连接（例如 TCP connection）不中断，才会带来 mobility issue。如果设备在每个 session 只连到同一个接入点，则不需要特殊处理。

在 cellular network 中，有两方面的 mobility issue:

• handover: cellular network 中有很多 base station，每个 base station 覆盖一个 cell 提供服务。从一个 base station 移动到另一个 base station 时，需要进行 handover 来改变 mobile device 连接到的 base station。
• roaming on visited networks: 每个 cellular subscriber 会有一个 home network，提供了 subscriber 信息的集中管理。home network 提供服务的范围是有限的，如果 mobile device 移动到了 home network 之外，可能就需要连接到由其他 cellular provider 提供的 visited network，此时需要特别的机制来处理 routing。

mobile device 的接入点随时可能发生变化，而 home network 会跟踪 device 当前接入的 visited network，所以外界可以通过 home network 来找到 mobile device 当前的位置从而进行通信。

具体的 routing 有两种方式：

• indirect: mobile device 有一个固定的 IP，外界向这个 IP 发送消息会发到 home network 的 gateway，而 home network 与 visited network 的 gateway 之间建立了 tunnel，最后由 visited network 的 gateway 与 mobile device 通信。也就是说，外界与 mobile device 通信需要经过 home network 中转。
• direct: 向 mobile device 发送消息时，一开始先查询 mobile device 所在的 visited network，后续则直接与 visited network 通信。

indirect routing 的缺点在于 triangle routing problem，即通过 home network 中转可能带来很大的浪费。direct routing 的问题在于，需要特殊的机制来完成一开始的 visited network 查询以及后续 visited network 变更时的通知，也就是说需要通信另一方的配合。

Mobility Management in 4G/5G Networks

Attach to Visited Network

连接到 base station 时，mobile device 会提供自己的 IMSI (international mobile subscriber identity)。visited network 的 MME (mobility management entity) 会从 local cache 或 home network 的 HSS (home subscriber server) 获取到 mobile device 的 authentication、encryption、quality of service 等信息，并通知 home network 的 HSS，mobile device 现在位于这个 visited network。

然后，会建立两个 tunnel，从 mobile device 到 visited network 的 serving gateway，再从 serving gateway 到 home network 的 PDN (packet data network) gateway。这两个 tunnel 使用 GPRS tunneling protocol (GTP)，原理类似于 IPv6 tunneling。

Handover Management

handover 是 mobile device 从一个 base station 转移到邻近的另一个 base station 的过程。这可能是从信号差的 base station 转到信号好的，或者是从拥挤的转到畅通的。mobile device 会周期性地向当前连接到的 base station (称作 source base station) 报告它接收到的各个 base station 的信号强度等信息，而 source base station 可以根据它掌握的信息来做出 handover 的决定。

（在同一个 network 中）handover 的过程如下：

1. source base station 选择一个 target base station，发送 handover request。
2. 如果 target base station 同意，会提前分配好连接所需的资源（从而让 handover 能够尽快完成），然后发送 handover request acknowledge，包含连接所需的各项信息。
3. source base station 告诉 mobile device 连接到 target base station 所需的信息。此时在 mobile device 看来 handover 已经结束了，可以和 target base station 进行通信。
4. source base station 停止向 mobile device 转发，而是转发给 target base station。
5. target base station 告诉 MME 自己是这个 mobile device 新连接到的 base station，MME 会更新 serving gateway 到 base station 的 tunnel 的 end point。
6. target base station 告诉 source base station，新的 tunnel 已经配置好了，source base station 可以释放为这个 mobile device 提供的资源了。
7. target base station 向 mobile device 发送之前由 source base station 转发来的 datagram，之后就可以正常通信了。

Wireless and Mobility: Impact on Higher-Layer Protocols

Impact on TCP

TCP 以 retransmission 作为 congestion 的标志进行 congestion control，但在 wireless network 中，bit error 更加常见，而 handover 时也会带来 delay 或丢包，所以 retransmission 不一定意味着 network congestion，如果在 wireless network 中沿用一般的 TCP congestion control 可能会有性能问题。

目前的解决途径有：

• local recovery：在 link layer 提供 reliable data transfer，减少 bit error 的影响。
• split-connection：在 sender 到 base station、base station 到 receiver 分别建立连接。base station 到 mobile host 的连接可以是标准的 TCP 连接，也可以是其他连接。
• 让通信双方意识到 wireless link 的存在，并区分出 retransmission 是否由 congestion 引起。

Impact on Applications

• wireless network 的 bandwidth 通常较小，所以为 mobile device 提供服务时更需要减少传输的数据量。
• mobility 使得 location-aware / context-aware application 成为可能。

What Is Network Security?

secure communication 有下列性质：

• confidentiality: 由于通信可以被拦截，保密意味着需要以某种方式加密
• message integrity: 保证消息未被修改
• end-point authentication: 能够确认对方的身份
• operational security: 保护 organization network 不被攻击

intruder 可以对 message 进行 eavesdropping、modification、insertion、deletion，进而实现各种攻击。

在网络中，需要进行 secure communication 的双方可能是两个人类用户、可能是 client 和 server、可能是两个 router……

security functionality 可以在网络的各个 layer 提供。虽然底层的 security 看起来覆盖了高层的 security，但并非完全如此，例如 IP-layer security 不能区分 IP address 相同的多个用户。并且，底层协议的更新、普及相对更慢，在上层采取措施可以更快生效。

Principles of Cryptography

plaintext (cleartext) 经 encryption algorithm 得到 ciphertext，由 decryption algorithm 回到 plaintext。

encryption algorithm 一般是公开的，为了达到保密的效果，还需要使用 key。设 plaintext 是 $m$，sender 使用 key $K_A$ 进行 encrypt 得到 $K_A(m)$，receiver 使用 key $K_B$ 进行 decrypt 得到 $K_B(K_A(m)) = m$。

在 symmetric key system 中，$K_A = K_B$，是保密的；在 public key system 中，$K_A$ 是公开的，$K_B$ 是保密的。

Symmetric Key Cryptography

在现代密码所使用的 block cipher 中，plaintext 被划分为若干个 block，例如在 AES 中每 128 bit 是一个 block，cipher 会构建一个 $2^{128} \to 2^{128}$ 的 plaintext 到 ciphertext 的一一对应，而 key 用来生成这个对应关系，AES 的 key length 可以是 128/192/256 bit。太小的 block size / key length 会导致安全性不够；将整个对应关系存下来 key 会过长，所以只能用没那么长的 key 来生成对应关系；太大的 block size / key length 可能会影响性能。

如果 plaintext 中有多个相同的 block，它们对应的 ciphertext 也相同，就会暴露出一定的信息。为了避免这样的风险，可以给每个 block 异或上一个随机数再加密。

如果真的每个 block 都独立地生成一个随机数，则传输时需要附上这一堆随机数，整个 message 的长度会翻倍。所以实际上并不会这样做，而是会使用称作 cipher block chaining (CBC) 的技术：每条 message 只生成一个随机数，称作 initialization vector (IV)，记作 $c_0$，而 plaintext 的第一块记作 $m_1$，对 $c_{i-1} \oplus m_i$ 加密得到 $c_i$，即每个 block 异或的是上一个 block 的加密结果，这样传输时的 overhead 就只有一个 block size 的 IV 了。

Public Key Encryption

symmetric key cryptography 需要双方以某种方式事先做到共享 key，而这本身就需要 secure communication。以前这可以通过线下之类的方式进行，而在网络中则需要另外的方式。

在 public key encryption 中，接收方有一对 key，public key 用来加密，private key 用来解密。public key 是公开的，从而不需要事先依赖于 secure communication 进行 key exchange。

public key encryption 带来身份认证的问题：在 symmetric key cryptography 中，知道 key 隐含了身份，但知道 public key 则不代表身份，所以需要额外的机制来进行认证。

RSA 是目前最流行的 public key encryption algorithm:

1. 选两个大质数 $p$ 和 $q$（一般要达到 1024~4096 bit 长）
2. 令 $n = pq$，$z = (p-1)(q-1)$
3. 选一个比 $n$ 小、和 $z$ 互质的数 $e$
4. 算出 $e$ 的乘法逆元 $d = e^{-1} \bmod z$
5. public key 是 $(n, e)$，private key 是 $(n, d)$
6. encryption: 设 plaintext 是 $m$ ($m < n$)，则 ciphertext 是 $c = m^e \bmod n$
7. decryption: $m = c^d \bmod n$

RSA 的计算比 AES 慢，为了性能，通常会结合 symmetric key cryptography 一起使用：每次生成一个用于 symmetric key cipher 的 session key，通过 public key encryption 来进行 key exchange，实际的通信则使用 symmetric key cipher。

RSA 的安全性依赖于大数分解的困难性，这受到量子计算的挑战。

Message Integrity and Digital Signatures

message integrity 即 sender 身份真实，message 未遭篡改。

cryptographic hash function 在一般的 hash 的基础上要求难以构造 collision，从而可以用来验证消息未被篡改。

可以用 message authentication code (MAC) 来验证 message integrity：双方共享保密的 authentication key，设 message 是 $m$，cryptographic hash function 是 $H$，最终传输的是 $(m, H(m + s))$（具体实现可能有所不同，例如 HMAC 会 hash 两次）。可以使用 public key encryption 或者其他方式来 exchange authentication key。MAC 本身可以不涉及 encryption，如果只需保证 message integrity 而不在意 confidentiality 则无需付出 encryption 的性能代价。

digital signature 相当于 MAC 的 “public key 版本”，可以用来验证 sender 的身份，而验证者只需知道 public key，可以保持 private key 的私密。RSA 的 encryption 和 decryption 其实是可交换的，即先 public key 再 private key 或者先 private key 再 public key 都可以得到原来的 plaintext。digital signature 即使用 private key 进行“加密”，而使用 public key 进行“解密”。RSA 计算慢，所以可以对 cryptographic hash 而非 message 本身计算 digital signature。

虽然 MAC 和 digital signature 功能有一定的类似，但 MAC 可以完全不涉及 encryption，digital signature 则依赖于 public key infrastructure (PKI)。

digital signature 验证的是 message 和 public key 的对应关系，还需要额外的措施来保证 public key 和 entity (sender) 的对应关系。certification authority (CA) 提供了这一服务，通过某些手段认证 public key 和 entity 的对应关系，并颁发 certificate，certificate 包含 entity 和 public key 的相关信息（以及有效期）以及使用 CA 的 public key 对这些信息创建的 digital signature。有了 certificate，对 public key 和 entity 之间关联的信任取决于对 CA 的信任。

End-Point Authentication

书上说了很多，但感觉本质上就是，Alice 要向 Bob 证明自己的身份，则 Bob 提供一个一次性的随机数 nonce，Alice 通过某种方式（例如 symmetric key cryptography / MAC）发回 nonce 并保证 message integrity。nonce 用来防止 playback attack。

Securing E-Mail

Secure E-Mail

就是上面这些东西的一个实例，没啥新东西：结合 digital signature 和使用 session key 的 encryption 即可；需要双方互相知道对方的 public key（分别用于 digital signature 的验证和 session key 的传输），public key 可以由 CA 认证。

PGP

PGP 提供了 sign、encrypt、sign and encrypt 等功能，public key 通过用户之间的 web of trust 而非 CA 来 certify，可以线下举办 key-signing party 来互相 sign¹。

Securing TCP Connections: TLS

TLS (Transport Layer Security) 为 TCP 提供了 security services，是 SSL (Secure Sockets Layer) 标准化后的升级版（只不过现在人们有时仍会把 TLS 误称为 SSL，OpenSSL 的名字也有一定的误导性²）。

TLS 通常用于 HTTP，表现为网址开头是 https://，但它实际上可以用于任何基于 TCP 的 application。TLS 位于 application layer，但它提供了类似 TCP 的 API，对于 application developer 来说就像是 transport layer 的一部分。

TLS Handshake

1. TCP 3-way handshake
2. client 发送 TLS version、supported cipher suites (symmetric algorithm、public key algorithm、HMAC algorithm)、client nonce。
3. server 发送 selected cipher suite、certificate、server nonce。
4. client 验证 certificate，得到 server 的 public key；随机生成 pre-master secret (PMS)，发送经 server 的 public key 加密的 PMS。
5. 由 PMS、client nonce、server nonce 可以计算得到 master key，由 master key 可以得到一系列用于后续加密的 key：client 和 server 各有用于 symmetric key encryption 的 key 和用于 HMAC 的 key，如果使用 CBC 则还有双方的 IV。
6. client 发送上面这些 handshake message 的 HMAC（可以和 encrypted PMS 一同发送）。
7. server 发送上面这些 handshake message 的 HMAC。

其中，一开始的 nonce 用来防止 replay attack，并且 server nonce 参与 master key 的计算，可以防止 key 完全由 client 决定。而最后的 HMAC 用来防止篡改 handshake message，例如将 supported cipher suites 改为只有 weak algorithm。

TLS 1.3 对 handshake 过程进行了简化。

TLS Data Transfer

在 TLS 中，TCP byte stream 被切分为 records，为每个 record 计算 HMAC，并将 record + HMAC 进行 encrypt。这只保证了每个 record 的 integrity，为了保证整个 byte stream 的 integrity，每个 record 还有一个 sequence number，参与 HMAC 的计算，来防止攻击者对 record 进行 reorder / replay / remove。

TLS record 包含：

1. type: handshake / data
2. TLS version
3. length: 用来标记 record 的结尾
4. data + HMAC, encrypted

TLS Connection Closure

为了防止 truncation attack，即伪造 TCP FIN segment，在 TLS 中需要先发送保证了 integrity 的 closure TLS record 再发送 TCP FIN segment 来结束连接。

Network-Layer Security: IPsec and Virtual Private Networks

IPsec and Virtual Private Networks (VPNs)

如果一个 institution 位于多个地理位置而想保证 institution 内通信的私密，一种选择是建立一个 private network，在物理上与 Internet 进行隔离，但这样需要自己搭建整套网络基础设施，开销非常大。

另一种选择是使用 virtual private network。在 VPN 内，通过 Internet 传输数据时会进行加密，具体来说是在内网的 gateway router 或直接连到公网的 host 处（例如学校连到 Internet 的 gateway router / 回家了的学生的设备上；为了叙述方便，下文中都假设是 gateway router 而不是 host）在 payload 前加上 IPsec header。

The AH and ESP Protocols

IPsec 可以使用 Authentication Header (AH) protocol 或者 Encapsulation Security Payload (ESP) protocol。其中 AH 只提供了 source authentication 和 data integrity，ESP 在此基础上还提供了 confidentiality。使用 IPsec 的场景中通常需要保证 confidentiality，所以 ESP 用得更多，书中只讲 ESP。

Security Associations

两个 entity (gateway router) 通过 IPsec 通信时需要建立称作 security association (SA) 的 logical connection。SA 是单向的，如果要互发消息则需要建立两个 SA。

SA 有下列 state information：

• security parameter index (SPI)，一个 32-bit identifier
• source & destination IP address
• encryption algorithm, encryption key
• integrity check algorithm, authentication key

一个 IPsec entity 可能同时 maintain 着很多 SA 的 state information，存储在 security association database (SAD) 中。

The IPsec Datagram

IPsec 有两种 packet form，分别用于 tunnel mode 和 transport mode，其中 tunnel mode 更常用，书中只讲 tunnel mode。

一个 IPsec datagram 的结构如下：

• new IP header (source / destination 是 gateway router，protocol 是 ESP)
• “enchilada” (authenticated)
  • ESP header
    • SPI
    • sequence number
  • (encrypted)
    • original IP header
    • original IP payload
    • ESP trailer
      • padding (for encryption block size requirement)
      • padding length
      • next header （“4” for “IP Encapsulation within IP” in tunnel mode）³
• ESP MAC （for authentication of the “enchilada”）

gateway router 会维护一个 security policy database (SPD)，当其接收到一个待转发的 IP datagram 时，会查询 SPD，根据 source IP address、destination IP address、protocol 来决定是否使用 IPsec 进行处理。

IKE: Key Management in IPsec

IPsec 可以手动配置 key，但大型的 VPN 往往需要使用 Internet Key Exchange (IKE) protocol 来自动建立 SA。

（书中对 IKE 的描述太简陋了，说了跟没说差不多，以后再说吧（

Securing Wireless LANs and 4G/5G Cellular Networks

security 在 wireless network 中更加重要，因为 attacker 只需要将设备置于 sender 的 transmission range 内就可以窃听。

wireless network security 主要需要两个功能：

• mutual authentication: mobile device 和 access point / base station 需要互相认证对方。
• encryption: 通信内容需要加密。一般使用 symmetric key cryptography (AES)，需要进行 shared symmetric key derivation。

Authentication and Key Agreement in 802.11 Wireless LANs

802.11 的认证由 authentication server (AS) 进行，AS 可以和 AP 一体，也可以通过网络连接。

802.11 的 security specification 有 WEP、WPA1、WPA2、WPA3，其中 WEP 有严重的漏洞。

总体上的步骤为：

1. 在 AP 广播自己的存在时，会附带其支持的 security mechanism，mobile device 连接到 AP 时可以选择要使用哪个。
2. mobile device 和 AS 预先有一个 pre-shared key（PSK，也就是 Wi-Fi 密码），会根据这个 PSK 进行 mutual authentication 和 shared symmetric key derivation。
3. AS 把 shared symmetric key 告诉 AP。
4. 使用 shared symmetric key 进行加密通信。

WPA 的核心是一套 four-way handshake，其中前两步完成 mutual authentication 和 shared symmetric key derivation（后两步用于 group key derivation，书中不涉及）：

1. AS 生成一个 AS nonce，发给 mobile device。
2. mobile device 生成一个 mobile nonce，根据双方的 nonce、双方的 MAC address 以及 PSK 得到 shared symmetric key，然后向 AS 发送 mobile nonce，以及编码了 AS nonce 和 PSK 的 HMAC。

mobile device 和 AS 的通信通过 EAP (extensible authentication protocol) 进行，它在 mobile device 到 AP 使用 EAP over LAN，在 AP 到 AS 使用 RADIUS 或更新的 DIAMETER 协议。

Authentication and Key Agreement in 4G/5G Cellular Networks

cellular network 使用存储在 SIM card 和 HSS 中的 PSK 进行认证。在 4G LTE 中，步骤如下：

1. 1. mobile device 向 base station 发送 attach message。
   2. MME 向 HSS 发送 IMSI 以及 visited network information。
2. 1. HSS 计算出能证明自己身份的 auth token，以及用于证明 mobile device 身份的 expected auth response，将它们发送给 MME。
   2. MME 将 auth token 发给 mobile device。
3. 1. mobile device 根据 auth token 认证 HSS。
   2. mobile device 计算出 auth response，发送给 MME。
4. 1. MME 比较 HSS 发送的 expected auth response 和 mobile device 发送的 auth response 来认证 mobile device。
   2. MME 将下一步需要用到的 key 发给 base station。
5. base station 和 mobile device 进行 shared symmetric key derivation，会在 control plane 和 data plane 使用不同的 key。

5G 的认证有一些不同：

• authentication decision 从 MME 挪到了 HSS，使得 visited network 的 middleman 作用更小。
• 新增了两种 authentication protocol，一种和 4G 类似但使用了 EAP，一种不需要 PSK 而适用于 IoT。
• 使用了 public key cryptography 来加密 IMSI。

Operational Security: Firewalls and Intrusion Detection Systems

Firewalls

firewall 用来控置哪些流量可以进入 internal network / host，一般要保证所有出入的流量都经过 firewall，并且 firewall 自身不会被攻击者控制。

Traditional Packet Filters

通过 packet header 来控制是否允许 packet 通过。例如根据 IP address、protocol type、port、TCP flags、ICMP message type、router interface 等进行控制。

一些 packet filter 可以实现的 policy 的例子：

• drop outgoing 的对 port 80/443 的访问：禁止访问外部 Web。
• drop incoming TCP SYN segment：禁止从外界创建 TCP connection。
• drop 除了外界 port 是 53 的所有 UDP traffic：禁止其他 UDP traffic，只允许 DNS。
• drop 发向 broadcast address 的 ICMP ping packets：避免遭受 smurf DoS attack。
• drop outgoing ICMP TTL expired packets：避免被 traceroute。

Stateful Packet Filters

stateful packet filter 可以通过记录状态信息来实现更复杂的控制，例如跟踪 TCP connection，从而更加精准地只允许从内部建立的 TCP connection 而拒绝从外部建立的 TCP connection。

Application Gateway

packet filter 只根据 header 中的信息进行控制，而不管 application data。

application gateway 是一个 application-specific server，所有 application data 都需要通过它。一个 host 可以同时运行多个 application gateway。

application gateway 可以根据 application data 进行控制，提供例如 authorization 的高级 filter 功能，还可以提供除了 filter 外的其他功能，例如 proxy。

Intrusion Detection Systems

和 application gateway 类似，intrusion detection system (IDS) 不止查看 header，还会查看 application data，这称作 deep packet inspection。

与 application gateway 不同，IDS 不是 application-specific 的，而是会检测到各种各样的 suspicious packet / series of packets，例如 network mapping、port scan、TCP stack scan、DoS attack、worm / virus、OS / application vulnerability attack。检测到时，IDS 会向管理员发送警告，而 intrustion prevention system (IPS) 则会 filter out 这些 packet。

因为 deep packet inspection 需要一定的算力，当流量过大时，一个 organization 往往需要多个 IDS，分散在网络中，而非只设置一个在整个网络的入口。

IDS 分为 signature-based 和 anomaly-based 两种。

signature 即 packet 的特征，例如 header 的某些项以及 application data 包含某一内容。IDS 维护了一个 signature database 用来进行匹配。signature-based IDS 需要事先知道 attack 的特征，所以无法防范新型 attack。signature 的匹配容易出现 false alarm，而且性能开销较大。

anomaly-based IDS 基于平时的 traffic 来检测 statistically unusual 的 traffic，例如检测到突然增多的 ICMP packets。anomaly-based IDS 不依赖于实现对攻击的了解，所以有可能检测到新型的攻击。但是区分 normal traffic 和 statistically unusual traffic 是困难的，现在的 IDS 通常还是以 signature-based 为主。

Snort 是一款 open-source IDS，有一个活跃的 community 维护着 signature database。

Introduction to the Link Layer

link layer 的主要功能是将 datagram 从一个 node 传输到另一个 node，还可以提供下列 service：

• framing: 将 network-layer datagram 封装在 link-layer frame 中进行传输。
• link access: 通过 medium access control (MAC) protocol 控制 frame 在 link 上如何传输。这对于 point-to-point link 来说是简单的，但在 broadcast link 中会遇到 multiple access problem，需要 MAC protocol 来进行协调。
• reliable delivery: 通过与 TCP 类似的方式（acknowledgement、retransmission）来保证单个 link 上的 reliable delivery。这在出错率较高时可以避免单个 link 的传输错误导致 end-to-end retransmission，而在出错率较低时会造成不必要的 overhead，所以一般是出错率较高的 wireless link 才会提供 reliable delivery。
• error detection and correction

在 host 中，link layer 一般实现于外接的 network adapter (network interface controller, NIC) 中，由硬件实现。host 中还会有软件用来连接 link layer 和 network layer。

Error-Detection and -Correction Techniques

参见 DDPP 第二章的相关内容。

Multiple Access Links and Protocols

在 broadcast link 中，同时只能有一方发送信息。如果多方同时发送，则会产生 collision，每一方发送的信息都会丢失。为了解决 multiple access problem，需要使用 multiple access protocol 来进行协调。

一个理想的 multiple access protocol 能做到：

• 只有一方发送时，完全利用带宽
• 多方同时发送时，均分全部的带宽
• decentralized，没有 single point of failure
• simple, inexpensive to implement

multiple access protocol 有非常多，总体可以分为三大类：channel partitioning protocols、ramdom access protocols、taking-turns protocols。

Channel Partitioning Protocols

将单个 channel 分成多个 channel。

TDM (time-division multiplexing) 将时间分成 time frames，将每个 time frame 分成 time slots，将每个 time frame 内的各个 time slot 分配给各个 node。

FDM (frequency-division multiplexing) 利用不同的频率作为不同的 channel。

TDM 和 FDM 都能完全避免 collision，但在只有一方发送时效率非常低：唯一的 active sender 不能使用分配给其他 node 的 channel。

CDMA (code-division multiple access) 通过给每个 node 分配一个 code 来允许各方同时发送，在 wireless channel 中较为常用。

Random Access Protocols

通过随机的等待时间来在 collision 发生后错开发送时机。

ALOHA

假设传输每个 frame 的用时相同，将时间划分为长度为这一用时的 slots，所有 node 是同步的，只在 slot 的开头发送信息，发生 collision 后能在这一 slot 内检测到。

slotted ALOHA 在没有 collision 时在每个 slot 开头发送 frame，在发生了 collision 后在每个 slot 开头以 $p$ 的概率进行 retransmission 直到发送成功为止。

如果一个 slot 中没有任何一方发送信息或者有多方同时发送信息则这个 slot 就浪费掉了，只有恰好有一方发送信息的 slot 才是 successful slot。

其 efficiency 就是 successful slot 的占比，有 $n$ 个 active slot 时，efficiency 为 $np(1-p)^{n-1}$，在 $n$ 很大时，其最大值是 $1/e \approx 0.37$。

pure ALOHA 不进行 time slot 的划分，或者说是每一方的 time slot 不是同步的，这样更加去中心化，但 efficiency 只有 slotted ALOHA 的一半。

CSMA(/CD)

CSMA (carrier sense multiple access) 基于 “listen before speaking” 的原则，进行 carrier sensing。

如果再加上 “If someone else begins talking at the same time, stop talking” 的原则，即 collision detection，则是 CSMA/CD。

在理想状态下，carrier sensing 可以完全消除 collision。但实际上，由于 propagation delay，一方开始发送到另一方收到需要时间，在这段时间内可能另一方也发送了信息。

在 CSMA/CD 中，遇到 collision 需要等待一段时间再 retransmit，等待时间通常由 binary exponential backoff 得到：在一个范围内随机选择等待时间，每多 retransmit 一次这个范围就加倍。在 Ethernet 中，第 $n$ 次 retransmission 会在 $0, 1, \ldots, 2^{n-1}$ 中随机选择一个数 $k$，然后等待传输 $512 \cdot k$ bits 的用时，而 $n$ 超过 $10$ 时也取 $10$。这里 retransmission 次数是每个 frame 分别计算的，新的 frame 会从 $0$ 开始。

CSMA/CD 的 efficiency 约为 $\dfrac{1}{1 + 5 d_{\mathrm{prop}} / d_{\mathrm{trans}}}$，其中 $d_{\mathrm{prop}}$ 表示 propagation delay，$d_{\mathrm{trans}}$ 表示一个 maximum-size frame 的传输用时。

Taking-Turns Protocols

轮流让各方发送信息，如果一方不想发送则交给下一位。

在 polling protocol 中，设有一个 master node，它轮流 poll 每个 node 来让它发送至多若干个 frame，发完再 poll 下一个。polling protocol 是 centralized 的，有 single point of failure；并且，对 inactive node 的 poll 会造成浪费。

token-passing protocol 是 decentralized 的，有一个 token 在各个 node 之间环状地传递，拿着 token 就可以发送至多若干个 frame，发送完（或者不想发送）就把 token 交给下一个。token-passing protocol 在有任何一个 node 出错时就会卡住，需要采取一些 recovery procedure。

DOCSIS: The Link-Layer Protocol for Cable Internet Access

DOCSIS 用于 cable access network，将 residential cable modems 连接到 cable modem termination system (CMTS)。它同时用到了多种 multiple access protocol，是一个很好的例子。

使用 FDM 分为 downstream 和 upstream 两个 channel，其中 downstream channel 由 CMTS 向 cable modem 发送，sender 唯一，比较简单。

upstream channel 被分成了若干 mini-slots（与 TDM 类似），而这些 mini-slots 是由 CMTS 动态分配的，需要由 cable modem 发送 mini-slot-request frame，这些 request 在一些特殊的 mini-slots 以 random access 的方式发送，通过是否收到来自 CMTS 的 mini-slot 分配来判断 request 是否成功发送，使用 binary exponential backoff。

Switched Local Area Networks

Link-Layer Addressing

host 和 router 的每个 interface (adapter) 都有一个 link-layer address：MAC address (physical address / LAN address)。

MAC address 的长度为 6 bytes，与 IP address 不同，物理上的每个 interface 的 MAC address 是固定的，不会因移动而变化。MAC address 由 IEEE 管理，在全球范围内是唯一的。

如果使用 broadcast link，多个 interface 都会收到同样的 frame。只有 MAC address 符合时才会接收，否则会丢弃（不会传递给 network layer）。

MAC broadcast address 是 ff:ff:ff:ff:ff:ff。

Address Resolution Protocol

ARP 用来将 subnet 内部的 IP address 翻译为 MAC address。

每个 host / router 会维护一张 ARP table，用来记录 IP address 和 MAC address 的对应关系。表项有过期时间，到期自动删除。

如果在 ARP table 内没有查询到需要的 IP address，则会发送一个 ARP query（一个 broadcast packet），具有这个 IP address 的 interface 在收到 ARP query 后会回复 ARP response（一般不是 broadcast，因为此时 broadcast 可能造成浪费；但是若采用 broadcast 也有助于发现 address conflict¹），收到 ARP response 后更新 ARP table。通过这样的机制，ARP table 可以自动建立，不需要任何手动配置。

如果要向 subnet 外发送信息，则需要向 gateway (first-hop router) 发送信息，所以需要查询的是 gateway 的 MAC address。

Ethernet

Ethernet 是现在最常用的 wired LAN。

Ethernet 通常使用 hub 或 switch 来连接各个 interface。hub 会将收到的每个 bit 转发给其他所有 interface，可能产生 collision。switch 则根据 MAC address 进行转发，不会产生 collision。

Ethernet frame 包含：

1. preamble (8 bytes): 31 个 “10” 和 1 个 “11”，用来标识 frame 的开头，并同步时钟。
2. destination MAC address (6 bytes)
3. source MAC address (6 bytes)
4. type (2 bytes): upper layer protocol，例如 IP、ARP。
5. data (46 ~ 1500 bytes): 如果需要传送的数据不足 46 bytes 需要进行填充。通过 type 以及 data 中的 header（例如 IP header）来判断 data 的长度。
6. CRC checksum (4 bytes)

Ethernet 是 connectionless、unreliable 的。

Ethernet 既是 link-layer protocol，也是 physical layer protocol，而且实际上是一类而非一个 protocol。例如，10BASE-T、10BASE-2、100BASE-T、1000BASE-LX、10GBASE-T、40GBASE-T 是不同的 Ethernet technology。开头表示 10Mbps、100Mbps、1Gbps、10Gbps、40Gbps 的传输速度，BASE 表示 media 只传送 Ethernet traffic，最后是不同的 physical media。

Link-Layer Switches

switch 和 router 的功能类似，但它工作于 link layer，而且是 transparent 的，其他设备感受不到 switch 的存在，也不需要手动进行任何配置。

switch 的每个 interface 都有一个 output buffer，与 router 类似。

switch 维护了一张 switch table，表示每个 MAC address 对应的 switch 的 interface，以及表项的过期时间。

对于从 interface $x$ 收到的 destination MAC address 为 $\alpha$ 的 frame：

1. 若 $\alpha$ 不在 switch table 中，broadcast；
2. 若 switch table 中 $\alpha$ 对应 interface $x$，discard；
3. 若 switch table 中 $\alpha$ 对应 interface $y \ne x$，forward to $y$。

switch 是 self-learning 的：如果在 interface $x$ 收到 source MAC address 为 $\alpha$ 的 frame，则会在 switch table 中记录 $\alpha$ 到 $x$ 的对应关系。

相对于 hub，switch 的优点有：

• 没有 collision，可以优化性能。
• 可以将不同 technology 的 link (media) 连接在一起。
• switch 还提供了一些 network management 功能，例如自动检测异常的 adapter 并禁用、对流量进行统计。

switch 减少了 broadcast，在提升性能的同时也增强了安全性。但是 attacker 可以设法用 bogus entries 将 switch table 填满，使得大部分 frame 被 broadcast，这被称作 switch poisoning。

switch 和 router 都可以将多个 host 连接在一起：

• switch 不需要手动配置；性能一般更好。只能连成生成树，不能连出环；如果同一个 subnet 内有太多 host 可能影响性能；可能遭受 broadcast storm。
• router 需要手动配置；性能可能略差。可以随便连，从而可以提供多条 route 供 routing protocol 选择；提供 firewall 来防止遭受 broadcast storm。

一般来说多至数百个 host 时用 switch 即可，有更多 host 的话则需要适当使用 router 来进行中转。

Virtual Local Area Networks (VLANs)

有时，物理上的 switch 会对网络管理造成一些限制：

• 一个 switch 一般有很多 port，但希望设置的 subnet 大小（为了安全等原因想分成不同的 subnet）可能和 port 数量不符。
• 如果要在不同 subnet 之间移动 host，需要更改物理连线。

VLAN 可以用来解决这些问题。

VLAN 通过软件控制一个 switch 上哪些 port 属于同一个 subnet。为了将两个 subnet 相连，需要将它们连到同一个 router 上，为了方便这样操作，支持 VLAN 的 switch 往往自带一个 router。

可以使用 VLAN trunking 来将多个 switch 上的 port 合并为一个 VLAN：每个 switch 上有一个 trunk port，将需要 trunking 的 switch 的 trunk port 相连，发送到 VLAN 的 frame 会被 forward 到 trunk port。trunking 时所属 VLAN 的识别通过扩展的 Ethernet frame format 802.1Q 来实现，在 header 中添加 VLAN tag 来表示所属的 VLAN。

除了基于 switch port 的 VLAN，还有基于 MAC address 的 VLAN，以及基于 network-layer protocol 的 VLAN。

Multiprotocol Label Switching (MPLS)

MPLS 基于 fixed-length label 进行 switch，在 link-layer header 和 IP header 之间添加 MPLS header，需要在支持 MPLS 的 router 之间进行传输，switch 时不需要管 IP header。

MPLS 有 switch 速度快、便于进行 traffic management 等优点。

（书中对它的介绍过于简略，感觉说了和没说差不多，我就在此基础上再简略一点（（

Data Center Networking

很多大型互联网公司都有由数万台 server 组成的 data center。data center 对外接入 Internet，而其内部又有一套 data center network。

data center 主要提供三部分的功能：向终端用户 serve content，进行 distributed computation，对外提供 cloud computing 服务。

data center 中的 host 被称作 blade，一般数十个 blade 会放在一起组成一个 rack，连到同一个 switch（top of rack, TOR switch）上，而整个 data center 通过多级 router 和 switch 构成一个 hierarchy，其中 access router 的下方可以分为多个 VLAN。如下图所示：²

在 data center 中，一个 application 通常由很多 host 来提供同样的服务，而对外只提供一个 IP address。load balancer 通过类似 NAT 的方式，将 request 均衡地分配给各个 host 进行处理。

树状的网络结构使得一个 data center 可以有数万台 server，但 host-to-host capacity 还是会受限，尤其是两个 host 的 LCA 位于较高层级时。为了解决这一问题，可以：

• 使用更高速的 router 和 switch，但这会大大增加开销。
• 尽量将需要互相通信的 host 放在较低的同一棵子树内，但这不一定做得到（可能大量 host 都需要互相通信），也会影响 host 位置的灵活性。
• 增加 interconnection 的数量，从而增加 host-to-host 的路径数量，在优化性能的同时也可以提升系统的可靠性。例如，每个 TOR switch 连接到 8 个 tier-2 switch，每个 tier-2 switch 连接到 16 个 tier-1 switch…… 这也被称作 Clos network。

data center 通常使用 SDN 来对网络进行集中管理。

为了支持 cloud computing、更方便地进行管理，通常会使用 virtual machine (VM) 等技术将 software 和 hardware 解耦。为了让 VM 能方便地在不同 host 之间移动，可以将 ARP 的 broadcast 机制改为类似于 DNS 的机制，存储 VM 的 IP address 到 TOR switch 的映射关系。

data center network 通常具有极低的延迟以及较小的 buffer size，而 congestion control 需要快速作出反应，传统的 TCP 不再适用，通常会使用为 data center 设计的 TCP 等方式来进行优化。

modular data center (MDC) 是一个内有至多数千个 host 的 container，用来作为 data center 的组成部分。在 MDC 的部分 component 坏掉时，MDC 可以继续以 degraded performance 工作，而在坏掉的 component 过多时则会报废。

很多公司会自己定制 data center 中的各个组成部分，包括 network adapter、switch、router、software、networking protocol。

Amazon 通过 “availability zone” 提高了服务的可靠性，即将 data center 在邻近但不同的地理位置上进行复刻，从而提供 fault tolerance，而地理位置上的邻近保证了 low latency，便于同步。

Introduction

control plane 需要计算出 forwarding table / flow table，有两种方式：

• per-router control: router 之间互相发送信息，分别进行计算
• logicially centralized control: 使用 remote controller 集中地获取信息、计算、分发结果

Routing Algorithms

在 routing algorithm 中，网络被抽象为一张图，考虑 physical length、link speed、monetary cost 等因素作为边权。

routing algorithm 可以分为：

• centralized / decentralized：计算过程中是否知道整个图的信息
• static / dynamic：是否对网络负载、拓扑结构等的改变即时做出响应
• load-sensitive/insensitive: 是否考虑 congestion 状况

The Link-State (LS) Routing Algorithm

LS 是一个 centralized routing algorithm，需要每个 node 将其 attached links 的信息进行广播（link-state broadcast），使得每个 node 都有整张图的信息，再用 Dijkstra 等算法计算最短路。

在 load-sensitive routing algorithm 中，traffic load 的改变可能导致 oscillation，要么改为 load-insensitive，要么设法保证各个 router 不同时运行 routing algorithm。

The Distance-Vector (DV) Routing Algorithm

每个 node 维护一个到其他每个 node 的 distance vector，告诉 neighbor 自己的 distance vector，通过 neighbor 的 distance vector 更新自己的 distance vector。link state 发生改变时，会经过多轮迭代进行传播并最终收敛。

在 link cost 减小时，收敛是较快的。

但是在 link cost 增大时，收敛可能需要边权值域大小轮次的迭代（称作 count-to-infinity problem），并在过程中产生 routing loop，例如下图所示的情况：¹

使用 poisoned reverse 可以避免出现二元环：如果 $u$ 使用了 $(u, v)$ 这条边来走向 $w$，则在 $u$ 告诉 $v$ 的 distance vector 中，$u$ 到 $w$ 的距离是 $\infty$。

但是 poisoned reverse 不能避免多元环的出现。

Comparison of LS and DV Routing Algorithms

• message complexity: LS 需要让每个 node 都获取到全局的 link state，要传送大量信息，且信息需要发送到很远的地方；DV 只需要从 neighbor 获取信息。
• speed of convergence: LS 有 Dijkstra 的低复杂度，DV 则较慢，而且过程中可能出现 routing loop，还有 count-to-infinity problem。
• robustness: 在 LS 中，每个 node 可以提供错误的 link state，但影响有限，每个 node 只为自己计算 forwarding table；在 DV 中，每个 node 的计算结果都是其他 node 的计算的一部分，影响可以很大。

实际上，Internet 同时使用了这两种算法。

Intra-AS Routing in the Internet: OSPF

如果统一管理所有 router，一方面规模过大性能无法接受，另一方面无法满足自治的需求。所以，实际上 router 被分成了很多个 autonomous system (AS)，每个 AS 有一个 ICANN 赋予的编号。例如，每个 ISP 可能管理着一个或多个 AS。

每个 AS 内使用同一个 intra-AS routing protocol，例如 OSPF (Open Shortest Path First) ，它非常复杂，书中只有简要介绍。

OSPF 使用的是 LS routing algorithm，边权由管理员设置，每个 router 都会向整个 AS 内的其他所有 router（在 link state 发生变化时 & 周期性地）broadcast link state。

• OSPF message 直接通过 IP 传输，不使用 transport-layer protocol。
• 支持 authentication。
• 有多条最短路时，可以同时使用。
• 有 MOSPF 扩展来支持 multicast。
• 可以将 AS 划分为多个 area 形成 AS 内部的 hierarchy，每个 area 内部走最短路，不同 area 之间通过每个 area 的 border router 走 backbone area。

Routing Among the ISPs: BGP

The Role of BGP

BGP (Border Gateway Protocol) 是所有 AS 共用的 inter-AS routing protocol，将各个 AS 连接在一起。

在 BGP 中，destination 不是特定的 IP address，而是 CIDR prefix。BGP 使得一个 AS 可以向其他 AS advertise prefix，并计算出到达各个 prefix 的 route。

Advertising BGP Route Information

不同 router 之间会建立称作 BGP connection 的 TCP connection（不是 physical link），一般来说负责连接两个 AS 的 gateway router 之间会建立 external BGP (eBGP) connection；而 AS 内部的 router 两两之间建立 internal BGP (iBGP) connection。

一条 BGP advertisement（称作一个 route）包含 AS-PATH 和 NEXT-HOP 等信息：

• AS-PATH 即经过哪几个 AS 能到达目的地，一个 AS 收到来自其他 AS 的 route 后，可以在 AS-PATH 中加上自己，继续向 neighbor 发送；
• NEXT-HOP 是从当前 AS 出发向目的地走，走出当前 AS 遇到的第一个 router 的 IP address。

Determining the Best Routes

从一个 AS 出发到达某个 prefix 可能有很多条路径，BGP 按照下面的顺序来决定 best route（平局则使用下一条规则）：

1. 由管理员设置或从其他 AS 获取的 local preference
2. shortest AS-PATH（经过最少个 AS）
3. 在 AS 内走最短路（通过 intra-AS protocol 以及 NEXT-HOP 得到）到达 gateway router
4. 根据 BGP identifier 选

IP-anycast

BGP 可以计算出到达某个 prefix (IP address) 的 best route，如果为多个 host 设置相同的 IP address，则可以实现 IP-anycast，例如在 CDN 中可以让用户从多个内容相同的 server 中挑选最适合的一个，而这一挑选是在 router 处通过 BGP 实现的。

但是 IP-anycast 如果用于 TCP 可能导致同一个 TCP connection 发给不同 host，所以 CDN 一般不采用 IP-anycast，而 DNS root server 则采用了 IP-anycast（DNS 使用 UDP）。

Routing Policy

BGP 通过 local preference 给管理员提供了决定如何选择 route 的自由，以实现某些 policy。

例如，当一个 access ISP 连接到多个 backbone ISP（即 multi-home）时，access ISP 不应该作为中介在不同 backbone ISP 之间进行传输。一般来说，一个 ISP 只会在通信双方至少有一方是其 customer 时提供服务。

The SDN Control Plane

SDN 分为 SDN controller、network management applications（例如 routing、access control、load balancing）、controlled devices 三个部分。其中 SDN controller 连接了 network management applications 和 controlled devices。

SDN 使用 generalized forwarding，将 data plane 和 control plane 分开，通过 network management applications 提供 network control functions，实现了 programmable network。

SDN 将 network functionality 进行了 unbundle，使得 packet switches、SDN controller、network management applications 可以来自不同的供应商，各自发展。

• communication layer (northbound API): controlled devices 和 SDN controller 进行通信。SDN controller 向 controlled device 发送信息（例如 flow table），从 controlled device 获取 link state 等信息，并在 network state 发生改变时被通知。可以使用 OpenFlow、SNMP 等协议。
• network-wide state-management layer: SDN controller 存储了一些信息，包括 network state、flow table、统计数据等。
• interface to the network-control application layer (southbound API): network management applications 可以从 SDN controller 获取 network state，订阅状态发生改变的 event。通过 RESTful API 等方式通信。

在 OpenFlow 中，SDN controller 可以向 controlled device 发送：

• configuration，修改配置参数
• modify-state，例如修改 flow table
• read-state，例如获取统计信息
• send-packet，让 router 发出一个 packet

controlled device 可以向 SDN controller 发送：

• flow-removed: 通知一个 flow table entry 已被移除（timeout 或者被 modify-state 删除）
• port-status: 例如一个 link up/down 了
• packet-in: 如果一个 packet 在 flow table 中没有 match，或者 action 为发送到 controller

ICMP: The Internet Control Message Protocol

ICMP 用来进行 router 和 host 之间的通信，作为 IP payload 进行传输。

ICMP message 有很多种，例如：

• 用来 ping 的 echo request 和 echo reply
• destination network/host/protocol/port unreachable
• router advertisement
• router discovery
• TTL expired
• IP header bad

Traceroute 就是通过 ICMP 实现的：向一个 unlikely port number 发送 TTL 递增的 UDP datagram，通过 TTL expired 得到每个 router 的信息，通过 port unreachable 得到终点的信息。

Network Management and SNMP, NETCONF/YANG

Network management involves the deployment, integration and coordination of all the hardware, software and human elements to monitor, test, poll, configure, analyze, evaluate, and control the network and element resources to meet the real-time, operational performance and quality-of-service (QoS) requirements at reasonable cost.²

network management 包括 managing server (以及 network manager)、managed device、data（每个 device 有 configuration、operational data、device statistics，而 managing server 有每个 device 以及整个 network 的 data）、network management agent、network management protocol。

network management 有若干方式：

• CLI: error-prone，难以 scale。
• SNMP/MIB: 每个 device 有 management information base (MIB) objects，可以通过 simple network management protocol (SNMP) 来获取/设置 MIB objects 中的 data，device 也可以通过 trap message 向 managing server 通知状态变化。SNMP/MIB 是针对单个 device 的，也难以 scale。
• NETCONF/YANG: NETCONF 比起 SNMP 更注重于配置管理，可以一次性操控多个 device (atomic network management transaction)，可以设置 constraint 检查配置的正确性，使用 YANG 作为 data modeling language，以 XML 格式通过 TLS 进行通信。

Overview of Network Layer

Network Layer 可以被细分为 data plane 和 control plane 两部分。

data plane 的主要功能是 forwarding（也称作 switching），即一个 router 将 input link 收到的数据转发到正确的 output link。

control plane 的主要功能是 routing，即决定从 sending host 到 receiving host 的路径。

router 中会有一个 forwarding table，从 packet header 中选取某些 field 用来 index forwarding table，得到 outgoing link interface。

计算 forwarding table 则是 control plane 的任务，有两种实现方式：

• the traditional approach: router 之间根据 routing protocol 互相通信，根据 routing algorithm 计算得到 forwarding table。
• the SDN approach: router 只实现 forwarding，而 routing 由一个 remote controller 完成：router 向 remote controller 发送信息，由 remote controller 计算得到 forwarding table 发给 router。这个 remote controller 通常是由软件实现的，所以这种方法被称作 software-defined networking (SDN)。

What’s Inside a Router?

router 一般包含以下部分：

• input ports

  • incoming link 的 physical layer 和 link layer
  • input queue
  • lookup:
    • 从 forwarding table 查 output port
    • 将 control packet（例如包含 routing protocol information 的 packet）forward 到 routing processor

• switching fabric: 连接 input ports 和 output ports

• output ports

  • outgoing link 的 link layer 和 physical layer
  • output queue

• routing processor: 得到 forwarding table，进行 network management

  • traditional: 执行 routing protocol
  • SDN: 与 remote controller 通信

为了保证通信速度，forwarding 的用时需要在 ns 级，所以要用硬件实现；而 control plane 的用时一般在 ms 或 s 级，可以用软件实现。

Input Port Processing and Destination-Based Forwarding

多个 input port 可以合并到一个 line card 上。

forwarding table 会从 routing processor 给每个 line card 都复制一份，从而可以在每个局部分别计算，不需要集中计算。

对于 destination-based forwarding，forwarding table 一般是 index 为 IP 地址前缀，value 为 link interface，采用 longest prefix matching。

lookup 通常要在 ns 级别的时间内完成，而 forwarding table 很大，不仅需要通过硬件实现，还需要使用特殊的算法或存储器，例如使用 TCAM。

input port processing 除了 lookup 还有 physical-layer 和 link-layer processing，还需要检查/更新 packet version、checksum、TTL，更新 network management 的 counter。

Switching

switching 有多种形式：

• via memory: packet 从 input port 复制到 memory 再复制到 output port，如果使用集中的 memory 而非每个 line card 分别的 memory，则传输速率会受 memory 的速率限制。
• via bus: 将 packet 加上一个 switch-internal label 再通过 bus 发送给所有 output port，收到后根据 label 决定是否保留这个 packet，传输速率会受 bus 的速率限制。
• via interconnection network: 每个 input port 对应一个 bus，每个 output port 对应一个 bus，每对 input port bus 和 output port bus 之间都有 crosspoint，通过控制 crosspoint 来控制从哪传到哪（结构和 ROM 类似）。这是 non-blocking 的，只要两个 packet 的 output port 不同就可以同时传输。

Input Queuing

如果 switching fabric 的速率达到了所有 input port 的速率之和，则不会发生 input queuing，否则可能要等待其他 packet 在 switching fabric 上传输。

以 switching via interconnection network 为例，只有多个 packet 传输到同一个 output port 才会发生 input queuing，但是一个 packet 即使没有和它 output port 相同的 packet 也可能因为 input queue 中在它前面的其他 packet 而被 block，即 HOL blocking。

Output Queuing

如果 packet 到达 output port 的速率超过了 output line 的速率，则会发生 output queuing。

若 packet 到达时 buffer 已经满了，则需要决定 drop 哪个 packet。在 buffer 满之前进行 packet dropping 或 marking 称作 active queue management (AQM)，例如 ECN、random early detection (RED) 等。

How Much Buffering Is “Enough”?

有 $N$ 个 independent TCP flow 经过一个带宽为 $C$ 的 link 时，buffer 需要有 $\mathrm{RTT} \cdot C / \sqrt N$。

更大的 buffer 能减少 packet loss，但可能会增加 delay。TCP 可能会使得 buffer 一直不被清空，从而导致 queuing delay 是 constant 且 persistent 的，这被称作 bufferbloat，可以通过一些 AQM 措施来缓解。

Packet Scheduling

• FIFO (FCFS)
• priority queuing
  （在 non-preemptive priority queuing 中，如果低优先级的 packet 已经开始传输，高优先级的 packet 再到来不会打断传输。）
• weighted fair queuing (WFQ): 给每种 packet 类型一个 weight，决定选择这种类型的频率。

packet scheduling 可以根据 IP datagram header 中的各种信息优先传输或 block 某一类 packet。Order on Protecting and Promoting an Open Internet (2015) 规定了 net neutrality 的三条原则：no blocking、no throttling、no paid prioritization。而 Restoring Internet Freedom Order (2017) 则收回了这些限制，而是注重于 ISP transparency。

The Internet Protocol (IP)

IPv4 Datagram Format

IPv4 datagram 的格式如下图所示：¹

• version: 例如 IPv4、IPv6
• header length: 因为可能有 options，header 是不定长的
• type of service (TOS): 用来识别各种类型的流量，例如 real-time datagram (对延时敏感)，其中有 2 个 bit 用于 ECN
• datagram length: header + data 的长度，为放入 Ethernet frame，一般不超过 1500 bytes
• identifier、flags、fragmentation offset: 用于 IP fragmentation，在 IPv6 中已被弃用
• TTL: 为了防止死循环，TTL 每经过一个 router 会减一，到 0 就会被 drop
• protocol: transport-layer protocol，用来连接 network layer 和 transport layer
• header checksum: 只计算 header 不计算 data，使用 ones’ complement sum；header 每经过一个 router 都会更新，checksum 也要相应地更新
• source and destination IP address
• options: 由于会影响性能，在 IPv6 中已被弃用
• data: 一般是 transport-layer segment，但也可能是 ICMP message 之类的其他数据

IPv4 Addressing

一般来说，每个 host 有至少一个 interface 来接入网络，每个 router 有多个 interface 来与其他 router 或 host 连接。每个（接入 Internet 而不在 NAT 后的）interface 都有一个 IP address。

多个 host 和 router 之间可以通过 Ethernet switch、wireless access point 等方式互相连接，构成一个 routerless network。在 IP 中，这被称作一个 subnet，即 interface 之间由 link 连接、不经过 router 和 host 而构成的连通块。

一个 subnet 会有一个 subnet address，例如 223.1.1.0/24，而其中的 IP address 包括 223.1.1.1、223.1.1.2、223.1.1.3 等。

Internet 分配 IP address 的方案是 classless interdomain routing (CIDR)，其规定了 subnet address 的格式，例如 /24 表示前 24 位是这个 subnet 的地址（network prefix），这个 subnet 中的 IP address 的后 8 位可以取其他值。这样的地址分配方案和 router lookup 使用的 longest prefix matching 配合在一起可以减少 lookup table 的表项。

在 CIDR 之前，曾使用过 classful addressing，相当于是 mask length 只能是 8、16、24，分别被称作 class A, B, C network，这使得不同 class 之间的 address 数量相差过大，难以按需选择，容易造成浪费，最终促成了 classless 的 CIDR。

longest prefix matching 也使得 address aggregation 成为可能：可以在 lookup table 中将多个有 common prefix 的 subnet 合并为一个更大的 subnet address，即使这些 subnet 并没有覆盖这个大的 subnet address 中的所有 address，没覆盖到的部分还可以由更小的 subnet address（更长的 prefix）override。

255.255.255.255 是一个特殊的 IP address，表示 broadcast，destination address 为 broadcast address 的 datagram 会发送给整个 subnet 内的所有 host，还有可能发送给 neighbour。

Obtaining Addresses

Obtaining a Block of Addresses

IP address 由 ICANN 管理，ISP 以及 organization 可以从由 ICANN 管理的 Internet registry (Address Supporting Organization) 处获得 IP address block。

ISP 可以将其拥有的 IP address block 再进行细分来提供给用户。

Obtaining a Host Address: DHCP

router 的 IP address 一般是手动（半自动）配置的，而 host 的 IP address 通常是通过 Dynamic Host Configuration Protocol (DHCP) 自动进行的。

使用 DHCP 能减少手动配置的工作量，尤其是在 host 经常移动时（例如笔记本电脑在教室和寝室之间移动），手动配置几乎是不可能的。

DHCP 可以给 host 提供一个固定或临时的 IP address，除此之外还能提供 subnet mask、first-hop router address (default gateway)、local DNS server address 等信息。

每个 subnet 一般都会有至少一个 DHCP server，或者一个知道 DHCP server address 的 DHCP relay agent（一个 router）。

使用 DHCP 获取 IP address 的步骤如下：

1. host 发送 DHCP discover message：通过 UDP 发送到 255.255.255.255、port 67，包含一个 transaction ID（由于 DHCP 使用 broadcast，需要通过 transaction ID 区分不同 host）。
2. DHCP server 收到 DHCP discover message 后发送 DHCP offer message，是一个发送到 port 68 的 broadcast，包含 transaction ID、proposed IP address、IP address lease time（proposed IP address 的有效时间，一般是几个小时或几天）、DHCP server address 等信息。
3. host 收到 DHCP offer message 后，选择其中一个（如果收到了多个）发送 DHCP request message，包含和 DHCP offer message 类似的信息，也是一个 broadcast（虽然此时已知 DHCP server address，但可能有多个 DHCP server，broadcast 可以让其他 server 知道可以取消 address reservation 了²）。
4. DHCP server 收到 DHCP request message 后回应 DHCP ACK message。

（实际上，DHCP offer 和 ACK 也可能不是 broadcast。³）

host 收到 DHCP ACK message 后就可以在 lease time 内使用这个 IP address 了。DHCP 还提供了延长 lease time 的机制。

Network Address Translation (NAT)

subnet 需要一段连续的 IP address，如果设备数量增长超过了原来的 IP address block 大小，新地址的分配将会变得困难。而且，每个设备都有一个 globally unique address 对于 IPv4 来说难以承担。Network Address Translation (NAT) 可以解决（缓解）这些问题。

使用 NAT 时，subnet 内使用 IP address space reserved for private network（10.0.0.0/8、172.16.0.0/12、192.168.0.0/16），有一个 router 与外界连接并进行 NAT，这个 router 对外界表现为 a single device with a single IP address，通过 NAT translation table 在 private address + port 和 WAN-side address + port 之间进行转换（使用不同的 NAT port 来区分不同的 host 以及 application port）。这个 router 的 public address 从 ISP（可以通过 DHCP）获得，而它作为 DHCP server 为 subnet 内部提供 private address。

NAT 一般会改变 port，而有时需要使用特定的 port 不能改变，可以通过 NAT traversal 来实现。（勾起了一些远古的 MC 联机回忆，虽然当时并没成功（

IPv6

为了解决 IPv4 address 即将耗尽的问题，IPv6 被研发了出来。除了将 IP address 从 32 bits 扩展到 128 bits，IPv6 还顺带解决了 IPv4 中的一些其他问题。

IPv6 datagram 的格式如下图所示：⁴

IPv6 的主要变化：

• 在 unicast 和 broadcast 的基础上引入了 anycast，即向多个地址之一发送信息，例如可以用来向多个有相同内容的 server 发送 anycast 来获取其中最近的一个的 response。
• 使用定长 (40 bytes) 的 header。
• 引入了 flow label 使得 router 可以对 flow 进行特殊处理。
• 删除了 fragmentation 功能以提高性能。
• 删除了 checksum，因为 transport-layer segment 一般已经有 checksum 了，每次修改 TTL 都更新 checksum 也非常耗时。
• 删除了 options，而 next header 不一定是 transport-layer protocol，也可以是 option。
• TOS 改为 traffic class，TTL 改为 hop limit，datagram length 改为 payload length（不含 header length），protocol 改为 next header。

network-layer protocol 的改动非常困难，IPv4 到 IPv6 的转换至今仍在进行中。

新的设备（router）可以同时支持 IPv4 和 IPv6，但旧的设备只能支持 IPv4，为了使它们共存，可以采用 tunneling，即将 IPv6 datagram 作为 IPv4 的 payload 进行传输，两个 IPv6 router 之间的一系列 IPv4 router 被称作 tunnel。

Generalized Forwarding and SDN

generalized forwarding 基于“match-plus-action”的原则，比起 destination-based forwarding，“match”时可以考虑 IP header 中 destination 以外的其他 field，也可以考虑 link-layer header、transport-layer header、ingress port 等；“action”除了 forward 还可以是 drop、修改 header field 等。

OpenFlow 是一个 generalized forwarding 的协议，规定了 match 时可以/不能使用哪些 field，以及可以采取哪些 action。设计一个 flow table，就可以实现各种功能，例如 forwarding、load balancing、NAT、firewall 等。

P4 (Programming Protocol-independent Packet Processors) 是一个用来实现 generalized forwarding 的 programming language，可以比 flow table 更加灵活。

Middleboxes

在 network 中，除了基础的 forwarding，还有一些用来实现其他功能的设施，称作 middlebox：

• NAT translation
• security services，例如 firewall、email filter
• performance enhancement，例如 Web cache、load balancing、TCP splitter

为了降低运营维护的成本，有的 middlebox 用软件甚至云服务代替硬件来实现，称作 network function virtualization (NFV)。

middlebox 在一定程度上破坏了 network 的 layered architecture：很多 middlebox 位于 network layer，却依赖于 transport layer 甚至 application layer 的信息。例如 NAT 会修改 IP address 和 port，firewall 可能依赖于 application message 的内容。

Internet architecture 的基本原则是“the goal is connectivity, the tool is the Internet Protocol, and the intelligence is end to end rather than hidden in the network”。⁵在 network layer 中只有 IP 一个 protocol、将 complexity 放在 end system，可以简化 network layer 的功能，保证 connectivity，而 middlebox 在一定程度上破坏了这样的原则。

尽管在架构上有些不完美，但 middlebox 承担着非常重要的功能，并不会消亡。