弱電筆記｜數(shù)據(jù)機(jī)房?jī)?nèi)交換機(jī)、路由器、防火墻的架構(gòu)與使用

弱電筆記｜數(shù)據(jù)機(jī)房?jī)?nèi)，交換機(jī)、路由器、防火墻的架構(gòu)與使用

交換機(jī)、路由器、防火墻幾乎是現(xiàn)代局域網(wǎng)絡(luò)都要使用的網(wǎng)絡(luò)設(shè)備，其中，交換機(jī)負(fù)責(zé)連接網(wǎng)絡(luò)設(shè)備（如交換機(jī)、路由器、防火墻、無線AP等）和終端設(shè)備（如計(jì)算機(jī)、服務(wù)器、攝像頭、網(wǎng)絡(luò)打印機(jī)等）；路由器實(shí)現(xiàn)局域網(wǎng)與局域網(wǎng)的互聯(lián)，局域網(wǎng)與Internet的互聯(lián)；而防火墻作為一個(gè)安全網(wǎng)絡(luò)設(shè)備，作用于內(nèi)部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間，或者內(nèi)部網(wǎng)絡(luò)與Internet之間?？偟膩碚f，交換機(jī)負(fù)責(zé)連接設(shè)備，路由器負(fù)責(zé)連接網(wǎng)絡(luò)，防火墻負(fù)責(zé)網(wǎng)絡(luò)訪問限制。交換機(jī)連接圖：交換機(jī)連接方式圖路由器連接圖：路由器第一種連接方式圖路由器第二種連接方式圖防火墻連接圖：第一種連接方式防火墻第一種連接方式圖防火墻第二種連接方式圖下面通過分別對(duì)交換機(jī)、路由器、防火墻的圖文描述，讓大家對(duì)這三個(gè)網(wǎng)絡(luò)設(shè)備有進(jìn)一步的了解。一.交換機(jī)概述1.交換機(jī)的功能交換機(jī)的功能是連接計(jì)算機(jī)、服務(wù)器、網(wǎng)絡(luò)打印機(jī)、網(wǎng)絡(luò)攝像頭、IP電話等終端設(shè)備，并實(shí)現(xiàn)與其它交換機(jī)、無線接入點(diǎn)、路由器、網(wǎng)絡(luò)防火墻等網(wǎng)絡(luò)設(shè)備的互聯(lián)，從而構(gòu)建局域網(wǎng)絡(luò)，實(shí)現(xiàn)所有設(shè)備之間的通信。交換機(jī)連接功能圖2.交換機(jī)的工作原理交換機(jī)位于OSI參考模型中的第二層（數(shù)據(jù)鏈路層），交換機(jī)的工作依賴于對(duì)MAC地址的識(shí)別（所有的網(wǎng)絡(luò)設(shè)備都有一個(gè)唯一的MAC地址，通常是由廠商直接燒錄進(jìn)網(wǎng)卡中）。當(dāng)交換機(jī)從其某個(gè)端口收到一個(gè)數(shù)據(jù)包時(shí)，先讀取包頭中的源MAC地址（即發(fā)送該數(shù)據(jù)包的設(shè)備網(wǎng)卡的MAC地址），將該MAC地址和端口對(duì)應(yīng)起來添加到交換機(jī)內(nèi)存里的地址表中；然后再讀取包頭中的目的MAC地址，對(duì)照內(nèi)存里的地址表看該MAC地址與哪個(gè)端口對(duì)應(yīng)，如果地址表中有該MAC地址的對(duì)應(yīng)端口，則將該數(shù)據(jù)包直接復(fù)制到對(duì)應(yīng)的端口上，如果沒有找到，則將該數(shù)據(jù)幀作為一個(gè)廣播幀發(fā)送到所有的端口，對(duì)應(yīng)的MAC地址設(shè)備會(huì)自動(dòng)接受該幀數(shù)據(jù)，同時(shí)，交換機(jī)將接受該幀數(shù)據(jù)的端口與這個(gè)目的MAC地址對(duì)應(yīng)起來放入內(nèi)存中的地址表中。二.路由器概述：路由器的功能路由器是一種智能選擇數(shù)據(jù)傳輸路徑的網(wǎng)絡(luò)設(shè)備，其依賴的是數(shù)據(jù)中的IP地址，功能如下：1.連接網(wǎng)絡(luò)路由器也稱為網(wǎng)關(guān)，它將局域網(wǎng)絡(luò)連接起來組成規(guī)模更大的廣域網(wǎng)絡(luò)，在連接異構(gòu)網(wǎng)絡(luò)時(shí)（異構(gòu)網(wǎng)絡(luò)就是指不同的網(wǎng)絡(luò)類型，如ATM網(wǎng)絡(luò)，F(xiàn)DDI網(wǎng)絡(luò)，以太網(wǎng)絡(luò)等），由于異構(gòu)網(wǎng)絡(luò)采用不同的數(shù)據(jù)封裝方式，無法直接通信，而路由器能夠?qū)⑦@些不同的封裝數(shù)據(jù)進(jìn)行“翻譯”，從而實(shí)現(xiàn)異構(gòu)網(wǎng)絡(luò)的通信。此外，對(duì)于局域網(wǎng)而言，廣域網(wǎng)無疑是一個(gè)異構(gòu)網(wǎng)絡(luò)。異構(gòu)網(wǎng)絡(luò)連接圖2.隔離廣播由于交換機(jī)會(huì)將廣播發(fā)送到整個(gè)網(wǎng)絡(luò)中的每個(gè)端口，這會(huì)嚴(yán)重影響網(wǎng)絡(luò)的傳輸效率，并且會(huì)大量占用計(jì)算機(jī)的CPU性能。路由器可以將這些廣播隔離在局域網(wǎng)內(nèi)，以達(dá)到分隔廣播域的作用，從而提高每個(gè)局域網(wǎng)的傳輸效率。路由器分隔廣播域圖如上圖所示，路由器將廣播域分成四個(gè)部分，每個(gè)交換機(jī)連接一個(gè)小的局域網(wǎng)，四個(gè)小型局域網(wǎng)分別使用各自的廣播域廣播。另外，使用VLAN(虛擬網(wǎng))技術(shù)也能實(shí)現(xiàn)分隔廣播域的作用。3.路由選擇在路由器內(nèi)存中的路由表中列出了整個(gè)互聯(lián)網(wǎng)絡(luò)的各個(gè)節(jié)點(diǎn)，以及這些節(jié)點(diǎn)的路徑和傳輸費(fèi)用（路由表會(huì)根據(jù)網(wǎng)絡(luò)的實(shí)際情況不斷的動(dòng)態(tài)更新它的路由表，從而保持有效的路由表），路由器會(huì)按照預(yù)先制定的策略，智能的選擇到達(dá)目的路由器的路徑。路由選擇圖如上路，如果不考慮傳輸費(fèi)用的情況，路由器1到路由器4的傳輸，它會(huì)自動(dòng)選擇1-4的路徑，而不是1-2-3-4的路徑。4.網(wǎng)絡(luò)安全作為整個(gè)局域網(wǎng)絡(luò)與外界聯(lián)絡(luò)的唯一出口，路由器還擔(dān)負(fù)著保護(hù)內(nèi)部用戶和數(shù)據(jù)的責(zé)任。地址裝換：局域網(wǎng)內(nèi)的終端設(shè)備使用的是內(nèi)部保留IP地址（一般情況這些IP地址的IP段有：--55,--55,--55等），這些IP地址并不會(huì)被路由到Internet，當(dāng)內(nèi)部終端設(shè)備需要和外部網(wǎng)絡(luò)通信時(shí)，路由器會(huì)將地址轉(zhuǎn)換為合法的IP地址，實(shí)現(xiàn)對(duì)Internet的訪問。訪問列表：網(wǎng)絡(luò)工程師可以預(yù)先在路由器上設(shè)定各種訪問策略，規(guī)定哪段時(shí)間，什么網(wǎng)絡(luò)協(xié)議和哪種網(wǎng)絡(luò)服務(wù)可以被允許進(jìn)出局域網(wǎng)，從而提高了網(wǎng)絡(luò)的傳輸效率和安全性。路由器的工作原理當(dāng)同一網(wǎng)絡(luò)中的計(jì)算機(jī)需要向同一網(wǎng)絡(luò)中的另一臺(tái)計(jì)算機(jī)發(fā)送數(shù)據(jù)時(shí)，只需將這一數(shù)據(jù)發(fā)送到這個(gè)網(wǎng)絡(luò)，另一臺(tái)計(jì)算機(jī)就能收到；當(dāng)需要向其它網(wǎng)絡(luò)的計(jì)算機(jī)發(fā)送數(shù)據(jù)時(shí)，將直接把數(shù)據(jù)發(fā)送到默認(rèn)網(wǎng)關(guān)（即路由器的IP地址），由默認(rèn)網(wǎng)關(guān)將數(shù)據(jù)通過最佳傳輸路徑轉(zhuǎn)發(fā)至目的計(jì)算機(jī)的默認(rèn)網(wǎng)關(guān)，再由目的計(jì)算機(jī)的默認(rèn)網(wǎng)關(guān)將數(shù)據(jù)發(fā)送給目的計(jì)算機(jī)。默認(rèn)網(wǎng)關(guān)圖路由器在發(fā)送數(shù)據(jù)包的時(shí)候會(huì)根據(jù)數(shù)據(jù)包中的目的IP地址查找路由表，如果路由表中有該IP的信息，路由器會(huì)選擇最佳傳輸路徑發(fā)送。如果路由表中沒有該IP，路由器則會(huì)將數(shù)據(jù)傳輸?shù)铰酚善鞯哪J(rèn)網(wǎng)關(guān)（路由器的默認(rèn)網(wǎng)關(guān)為網(wǎng)絡(luò)中的另一個(gè)路由器的IP），通過路由器的默認(rèn)網(wǎng)關(guān)路由器將數(shù)據(jù)傳輸出去，如果始終無法找到目的IP終端，則該數(shù)據(jù)包會(huì)被網(wǎng)絡(luò)丟棄。路由器工作原理圖三.防火墻概述防火墻又稱網(wǎng)絡(luò)防火墻，是指設(shè)置在計(jì)算機(jī)網(wǎng)絡(luò)之間的一道隔離裝置，它可以隔離兩個(gè)或者多個(gè)網(wǎng)絡(luò)，限制網(wǎng)絡(luò)互訪，從而保護(hù)內(nèi)部網(wǎng)絡(luò)用戶和數(shù)據(jù)的安全。網(wǎng)絡(luò)防火墻的功能1.隔離網(wǎng)絡(luò)網(wǎng)絡(luò)防火墻通常位于路由器與內(nèi)部網(wǎng)絡(luò)（即局域網(wǎng)）之間，對(duì)所有進(jìn)出局域網(wǎng)的數(shù)據(jù)進(jìn)行過濾和篩選，從而避免了來自外部網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊，保護(hù)了內(nèi)部網(wǎng)絡(luò)。防火墻隔離內(nèi)部和外部網(wǎng)絡(luò)圖同時(shí)，網(wǎng)絡(luò)防火墻還可以隔離內(nèi)部網(wǎng)絡(luò)，將內(nèi)部網(wǎng)絡(luò)中的一些重要部門和普通用戶隔離起來，從而避免來自網(wǎng)絡(luò)內(nèi)部的惡意攻擊。防火墻隔離內(nèi)部重要網(wǎng)絡(luò)2.保障安全網(wǎng)絡(luò)防火墻能將所有的安全軟件（如密碼、加密、身份證、審計(jì)等）設(shè)置在防火墻上，進(jìn)行集中有效的管理。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的所有數(shù)據(jù)流都要進(jìn)過防火墻，防火墻通過查看這些數(shù)據(jù)流的IP地址和端口判定數(shù)據(jù)流是否符合防火墻預(yù)先設(shè)定的安全策略，如果符合，讓其通過；如果不符，則禁止通過。網(wǎng)絡(luò)防火墻可以將MAC地址與IP地址綁定起來，防止受控的網(wǎng)絡(luò)內(nèi)部用戶通過修改IP地址來訪問外網(wǎng)。網(wǎng)絡(luò)防火墻的工作原理防火墻的種類大致可以分為兩種，一種是包過濾型防火墻，一種是應(yīng)用代理防火墻。1.包過濾防火墻包過濾防火墻工作于OSI參考模型的第四層（即網(wǎng)絡(luò)傳輸層），通過檢查每個(gè)數(shù)據(jù)包的IP地址，所采用的通信協(xié)議和端口號(hào)等判斷是否允許放行。防火墻通過將數(shù)據(jù)包的內(nèi)部狀態(tài)信息和自己內(nèi)存中設(shè)定的安全策略進(jìn)行對(duì)照，如果該數(shù)據(jù)包符合安全策略中的某一條策略，那么允許數(shù)據(jù)通過；如果不符合任何安全策略，那么防火墻會(huì)執(zhí)行默認(rèn)的處理規(guī)則（一般情況下，默認(rèn)的處理規(guī)則就是丟棄該數(shù)據(jù)包）。2.應(yīng)用代理防火墻應(yīng)用