网络设备

一、交换机

1、工作原理

    交换机位于OSI参考模型中的数据链路层（即第二层），是一种基于MAC地址识别的，用于完成数据的封装和转发的网络设备。交换机可以学习MAC地址，并把其存放在内部地址表中，通过在数据帧的始发者和目标接受者之间建立临时的交互路径，使数据帧直接由源地址到达目的地址。

2、工作过程

（1）当交换机从某个端口收到一个数据包时，先读取包中的源MAC地址，从而建立源端口与源MAC地址的对应关系，并将其添加至地址表。

（2）读取包头中的目的MAC地址，并在地址表中查找相应的端口。

（3）如果地址表中有与该目的MAC地址对应的端口，则把数据包直接复制到这端口上。
（4）如果在MAC地址表中没有找到该MAC地址，也就是说，该目的MAC地址是首次出现，则将该帧发送到所有其他端口（源端自除外），相当于该帧是一个广播帧。拥有该MAC地址的网卡在接收到该广播帧后，将立即作出应答，从而使交换机将“端口号-MAC地址”对照表添加到地址表。

3、在网络中的应用

（1）提供网络接口：连接交换机、路由器、防火墙、无线接入点等网络设备；连接计算机、服务器等计算机设备。

（2）扩充网络接口：尽管交换机大都拥有较多数量的端口（通常为8~52个），但当网络规模较大、接入的设备数量较多时，一台交换机所能提供的网络接口往往不够。此时，就必须将两台或更多的交换机连接在一起，从而成倍地扩充网络接口。

（3）扩展网络范围：交换机与计算机或其他网络设备是依靠传输介质（如双绞线、光纤等）连接在一起的而每种介质的传输距离都是有限的然而，当网络规模较大，需要较远距离的传输时，必须借助交换机进行中继，以成倍地扩展网络覆盖半径。

 

二、路由器

路由器也称网关，是一种智能选择数据传输路由的设备。

1、工作原理

    路由器工作于OSI参考模型的网络层（即第三层）。路由器通常拥有多个网络接口，分别连接至局域网络和广域网络。每个网络接口分别连接至不同的网络，并分别配置有所连接网络的IP地址信息。同时，路由器还维护着一张路由表，记录网络地址与网络端口的对应关系。

2、路由选择

    路由器的一个最重要的功能就是选择最佳路由。路由器间互通信息进行路由更新，更新维护路由表使之正确反映网络的拓扑变化，并由路由器根据量度来决定最佳路径。路由选择算法将收集到的不同信息填入路由表中，根据路由表可将目的网络与下一跳的关系告诉路由器。路由选择协议通过度量值来决定到达目的地的最佳路径，而小的度量值则代表优选的路径。如果两条或更多路径都有一个相同的小度量值，那么所有这些路径将被平等地分享。通过多条路径分流数据流量被称为到目的地的负载均衡。

常见的路由选择协议包括路由信息协议（RIP）、开放式最短路径优先协议（OSPF）和边界网关协议（BGP）等。

3、数据转发

    当路由器收到IP包时，将根据IP包中的目的IP地址项查找路由表，根据查找的结果将此IP数据包送往对应端口。下一台IP路由器收到此IP包后继续转发，直至发送到目的地。同时，路由器也有其默认网关，用来传送无法判断目的地的数据包。这样，路由器将已知目的网络的IP包正确地转发出去，未知网络的IP包传送给默认网关路由器，在路由器间重复这项操作，最终将IP包传送到目的地。至于那些无法送达目的地的IP包，就会被网络自动丢弃。

三、防火墙

防火墙的作用是将内部网络与外部网络分隔开来，对所有进入和外出内部网络的数据进行分析和监控，从而抵御外来非法用户的入侵，并保证内部的重要和敏感数据不致流失。另外，网络防火墙还具有隔离网段、提供代理服务、流量控制等功能，可以满足用户的各种需求。

1、防火墙的功能

隔离网络：网络防火墙最基本的功能就是隔离内、外网络，不仅要确保隔离非法用户入侵，更要保证不能使内部信息外泄。因此，网络防火墙通常位于路由器与内部网络（即局域网）之间，使所有进出局域网的数据都能进行过滤和筛选，从而避免来自外部（主要是Internet）的网络攻击和欺骗，确保内部网络正常、稳定的运行，以及内部的重要和敏感数据的访问安全。

包过滤：只有符合安全策略的数据流才能通过防火墙。

绑定MAC地址：将MAC地址与IP地址绑定起来，主要用于防止受控的内部用户通过更换IP地址访问外网。

2、工作原理

包过滤防火墙：包过滤防火墙又称作网络级防火墙，工作于OSI参考模型的网络层，通过检查每个数据包的IP地址，采用通信协议和端口号等来判断是否允许放行。防火墙将提取的内部状态信息与其连接状态表进行比较，如果符合其中的某一条规则，就允许数据通过：如果没有符合任何规则，就会使用默认规则进行处理（一般情况下，默认规则就是丢弃该包）。

应用代理防火墙：应用代理防火墙又称为应用级网关，工作于OSI参考模型的应用层。该类防火墙类似于代理服务器，可以达到隐藏内部网络结构的作用。其工作过程如下：当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，由代理服务器根据这一请求向服务器请求数据。然后再由代理服务器将返回的数据转给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的攻击就难以进入到内部企业网。