cq9电子·(中国)官方网站

  交換機、路由器、防火牆幾乎是現代局域網絡都要使用的網絡設備，其中，交換機負責連接網絡設備(如交換機、路由器、防火牆、無線AP等)和終端設備(如計算機、服務器、攝像頭、網絡打印機等);路由器實現局域網與局域網的互聯，局域網與Internet的互聯;而防火牆作爲一個安全網絡設備，作用于內部網絡與內部網絡之間，或者內部網絡與Internet之間。總的來說，交換機負責連接設備，路由器負責連接網絡，防火牆負責網絡訪問限制。

  下面通過分別對交換機、路由器、防火牆的圖文描述，讓大家對這三個網絡設備有進一步的了解。

  一、交換機概述

  1、交換機的功能

  交換機的功能是連接計算機、服務器、網絡打印機、網絡攝像頭、IP電話等終端設備，並實現與其它交換機、無線接入點、路由器、網絡防火牆等網絡設備的互聯，從而構建局域網絡，實現所有設備之間的通信。

  2、交換機的工作原理

  交換機位于OSI參考模型中的第二層(數據鏈路層)，交換機的工作依賴于對MAC地址的識別(所有的網絡設備都有一個唯一的MAC地址，通常是由廠商直接燒錄進網卡中)。

  當交換機從其某個端口收到一個數據包時，先讀取包頭中的源MAC地址(即發送該數據包的設備網卡的MAC地址)，將該MAC地址和端口對應起來添加到交換機內存裏的地址表中;然後再讀取包頭中的目的MAC地址，對照內存裏的地址表看該MAC地址與哪個端口對應，如果地址表中有該MAC地址的對應端口，則將該數據包直接複制到對應的端口上，如果沒有找到，則將該數據幀作爲一個廣播幀發送到所有的端口，對應的MAC地址設備會自動接受該幀數據，同時，交換機將接受該幀數據的端口與這個目的MAC地址對應起來放入內存中的地址表中。

  二、路由器概述

  路由器的功能

  路由器是一種智能選擇數據傳輸路徑的網絡設備，其依賴的是數據中的IP地址，功能如下：

  1、連接網絡

  路由器也稱爲網關，它將局域網絡連接起來組成規模更大的廣域網絡，在連接異構網絡時(異構網絡就是指不同的網絡類型，如ATM網絡，FDDI網絡，以太網絡等)，由于異構網絡采用不同的數據封裝方式，無法直接通信，而路由器能夠將這些不同的封裝數據進行“翻譯”，從而實現異構網絡的通信。此外，對于局域網而言，廣域網無疑是一個異構網絡。

  2、隔離廣播

  由于交換機會將廣播發送到整個網絡中的每個端口，這會嚴重影響網絡的傳輸效率，並且會大量占用計算機的CPU性能。路由器可以將這些廣播隔離在局域網內，以達到分隔廣播域的作用，從而提高每個局域網的傳輸效率。

  如上圖所示，路由器將廣播域分成四個部分，每個交換機連接一個小的局域網，四個小型局域網分別使用各自的廣播域廣播。另外，使用VLAN(虛擬網)技術也能實現分隔廣播域的作用。

  3、路由選擇

  在路由器內存中的路由表中列出了整個互聯網絡的各個節點，以及這些節點的路徑和傳輸費用(路由表會根據網絡的實際情況不斷的動態更新它的路由表，從而保持有效的路由表)，路由器會按照預先制定的策略，智能的選擇到達目的路由器的路徑。

  如上路，如果不考慮傳輸費用的情況，路由器1到路由器4的傳輸，它會自動選擇1-4的路徑，而不是1-2-3-4的路徑。

  4、網絡安全

  作爲整個局域網絡與外界聯絡的唯一出口，路由器還擔負著保護內部用戶和數據的責任。

  地址裝換：局域網內的終端設備使用的是內部保留IP地址(一般情況這些IP地址的IP段有：192.168.0.0--192.168.255.255,10.0.0.0--10.255.255.255,172.16.0.0--172.16.255.255等)，這些IP地址並不會被路由到Internet，當內部終端設備需要和外部網絡通信時，路由器會將地址轉換爲合法的IP地址，實現對Internet的訪問。

  訪問列表：網絡工程師可以預先在路由器上設定各種訪問策略，規定哪段時間，什麽網絡協議和哪種網絡服務可以被允許進出局域網，從而提高了網絡的傳輸效率和安全性。

  路由器的工作原理

  當同一網絡中的計算機需要向同一網絡中的另一台計算機發送數據時，只需將這一數據發送到這個網絡，另一台計算機就能收到;當需要向其它網絡的計算機發送數據時，將直接把數據發送到默認網關(即路由器的IP地址)，由默認網關將數據通過最佳傳輸路徑轉發至目的計算機的默認網關，再由目的計算機的默認網關將數據發送給目的計算機。

  路由器在發送數據包的時候會根據數據包中的目的IP地址查找路由表，如果路由表中有該IP的信息，路由器會選擇最佳傳輸路徑發送。如果路由表中沒有該IP，路由器則會將數據傳輸到路由器的默認網關(路由器的默認網關爲網絡中的另一個路由器的IP)，通過路由器的默認網關路由器將數據傳輸出去，如果始終無法找到目的IP終端，則該數據包會被網絡丟棄。

  三、防火牆概述

  防火牆又稱網絡防火牆，是指設置在計算機網絡之間的一道隔離裝置，它可以隔離兩個或者多個網絡，限制網絡互訪，從而保護內部網絡用戶和數據的安全。

  網絡防火牆的功能

  1、隔離網絡

  網絡防火牆通常位于路由器與內部網絡(即局域網)之間，對所有進出局域網的數據進行過濾和篩選，從而避免了來自外部網絡的網絡攻擊，保護了內部網絡。

  同時，網絡防火牆還可以隔離內部網絡，將內部網絡中的一些重要部門和普通用戶隔離起來，從而避免來自網絡內部的惡意攻擊。

  2、保障安全

  網絡防火牆能將所有的安全軟件(如密碼、加密、身份證、審計等)設置在防火牆上，進行集中有效的管理。

  內部網絡和外部網絡的所有數據流都要進過防火牆，防火牆通過查看這些數據流的IP地址和端口判定數據流是否符合防火牆預先設定的安全策略，如果符合，讓其通過;如果不符，則禁止通過。

  網絡防火牆可以將MAC地址與IP地址綁定起來，防止受控的網絡內部用戶通過修改IP地址來訪問外網。

  網絡防火牆的工作原理

  防火牆的種類大致可以分爲兩種，一種是包過濾型防火牆，一種是應用代理防火牆。

  1、包過濾防火牆

  包過濾防火牆工作于OSI參考模型的第四層(即網絡傳輸層)，通過檢查每個數據包的IP地址，所采用的通信協議和端口號等判斷是否允許放行。防火牆通過將數據包的內部狀態信息和自己內存中設定的安全策略進行對照，如果該數據包符合安全策略中的某一條策略，那麽允許數據通過;如果不符合任何安全策略，那麽防火牆會執行默認的處理規則(一般情況下，默認的處理規則就是丟棄該數據包)。

  2、應用代理防火牆

  應用代理防火牆工作于OSI參考模型的第七層(即應用層)，當客戶機需要使用服務器上的數據時，首先將數據請求發送給代理服務器，由代理服務器根據這一請求向服務器請求數據。然後再由代理服務器將返回的數據轉給客戶機。由于外部系統與內部服務器之間沒有直接的數據通道，外部的攻擊就難以進入到內部網絡。