网络设备

一、交换机

1、工作原理

    交换机位于OSI参考模型中的数据链路层(即第二层),是一种基于MAC地址识别的,用于完成数据的封装和转发的网络设备。交换机可以学习MAC地址,并把其存放在内部地址表中,通过在数据帧的始发者和目标接受者之间建立临时的交互路径,使数据帧直接由源地址到达目的地址。

2、工作过程

(1)当交换机从某个端口收到一个数据包时,先读取包中的源MAC地址,从而建立源端口与源MAC地址的对应关系,并将其添加至地址表。

(2)读取包头中的目的MAC地址,并在地址表中查找相应的端口。

(3)如果地址表中有与该目的MAC地址对应的端口,则把数据包直接复制到这端口上。
(4)如果在MAC地址表中没有找到该MAC地址,也就是说,该目的MAC地址是首次出现,则将该帧发送到所有其他端口(源端自除外),相当于该帧是一个广播帧。拥有该MAC地址的网卡在接收到该广播帧后,将立即作出应答,从而使交换机将“端口号-MAC地址”对照表添加到地址表。

3、在网络中的应用

(1)提供网络接口:连接交换机、路由器、防火墙、无线接入点等网络设备;连接计算机、服务器等计算机设备。

(2)扩充网络接口:尽管交换机大都拥有较多数量的端口(通常为8~52个),但当网络规模较大、接入的设备数量较多时,一台交换机所能提供的网络接口往往不够。此时,就必须将两台或更多的交换机连接在一起,从而成倍地扩充网络接口。

(3)扩展网络范围:交换机与计算机或其他网络设备是依靠传输介质(如双绞线、光纤等)连接在一起的而每种介质的传输距离都是有限的然而,当网络规模较大,需要较远距离的传输时,必须借助交换机进行中继,以成倍地扩展网络覆盖半径。

 

二、路由器

路由器也称网关,是一种智能选择数据传输路由的设备。

1、工作原理

    路由器工作于OSI参考模型的网络层(即第三层)。路由器通常拥有多个网络接口,分别连接至局域网络和广域网络。每个网络接口分别连接至不同的网络,并分别配置有所连接网络的IP地址信息。同时,路由器还维护着一张路由表,记录网络地址与网络端口的对应关系。

2、路由选择

    路由器的一个最重要的功能就是选择最佳路由。路由器间互通信息进行路由更新,更新维护路由表使之正确反映网络的拓扑变化,并由路由器根据量度来决定最佳路径。路由选择算法将收集到的不同信息填入路由表中,根据路由表可将目的网络与下一跳的关系告诉路由器。路由选择协议通过度量值来决定到达目的地的最佳路径,而小的度量值则代表优选的路径。如果两条或更多路径都有一个相同的小度量值,那么所有这些路径将被平等地分享。通过多条路径分流数据流量被称为到目的地的负载均衡。

常见的路由选择协议包括路由信息协议(RIP)、开放式最短路径优先协议(OSPF)和边界网关协议(BGP)等。

3、数据转发

    当路由器收到IP包时,将根据IP包中的目的IP地址项查找路由表,根据查找的结果将此IP数据包送往对应端口。下一台IP路由器收到此IP包后继续转发,直至发送到目的地。同时,路由器也有其默认网关,用来传送无法判断目的地的数据包。这样,路由器将已知目的网络的IP包正确地转发出去,未知网络的IP包传送给默认网关路由器,在路由器间重复这项操作,最终将IP包传送到目的地。至于那些无法送达目的地的IP包,就会被网络自动丢弃。

三、防火墙

防火墙的作用是将内部网络与外部网络分隔开来,对所有进入和外出内部网络的数据进行分析和监控,从而抵御外来非法用户的入侵,并保证内部的重要和敏感数据不致流失。另外,网络防火墙还具有隔离网段、提供代理服务、流量控制等功能,可以满足用户的各种需求。

1、防火墙的功能

隔离网络:网络防火墙最基本的功能就是隔离内、外网络,不仅要确保隔离非法用户入侵,更要保证不能使内部信息外泄。因此,网络防火墙通常位于路由器与内部网络(即局域网)之间,使所有进出局域网的数据都能进行过滤和筛选,从而避免来自外部(主要是Internet)的网络攻击和欺骗,确保内部网络正常、稳定的运行,以及内部的重要和敏感数据的访问安全。

包过滤:只有符合安全策略的数据流才能通过防火墙。

绑定MAC地址:将MAC地址与IP地址绑定起来,主要用于防止受控的内部用户通过更换IP地址访问外网。

2、工作原理

包过滤防火墙:包过滤防火墙又称作网络级防火墙,工作于OSI参考模型的网络层,通过检查每个数据包的IP地址,采用通信协议和端口号等来判断是否允许放行。防火墙将提取的内部状态信息与其连接状态表进行比较,如果符合其中的某一条规则,就允许数据通过:如果没有符合任何规则,就会使用默认规则进行处理(一般情况下,默认规则就是丢弃该包)。

应用代理防火墙:应用代理防火墙又称为应用级网关,工作于OSI参考模型的应用层。该类防火墙类似于代理服务器,可以达到隐藏内部网络结构的作用。其工作过程如下:当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,由代理服务器根据这一请求向服务器请求数据。然后再由代理服务器将返回的数据转给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的攻击就难以进入到内部企业网。

 

 

posted @ 2019-12-09 16:42  付能量  阅读(401)  评论(0编辑  收藏  举报