幾乎每個(gè)網(wǎng)絡(luò)都使用三種基本設(shè)備——網(wǎng)絡(luò)交換機(jī)、網(wǎng)絡(luò)路由器和網(wǎng)絡(luò)防火墻。它們可以集成到小型網(wǎng)絡(luò)(例如家庭網(wǎng)絡(luò))的一臺設(shè)備中,但大型網(wǎng)絡(luò)則不然。對于任何網(wǎng)絡(luò),這三種設(shè)備都不能被解雇。在本文中了解它們的工作原理以及它們?nèi)绾螛?gòu)建您的網(wǎng)絡(luò)。
交換機(jī)——在網(wǎng)絡(luò)中橋接您的設(shè)備
在局域網(wǎng) (LAN) 中,網(wǎng)絡(luò)交換機(jī)的功能類似于城市中的立交橋,橋接其他網(wǎng)絡(luò)設(shè)備,如交換機(jī)、路由器、防火墻和無線接入點(diǎn) (WAP),并連接客戶端設(shè)備,如計(jì)算機(jī)、服務(wù)器、Internet協(xié)議 (IP) 攝像機(jī)和 IP 打印機(jī)。它為網(wǎng)絡(luò)上的所有不同設(shè)備提供了一個(gè)中央連接位置。
圖 1:交換機(jī)橋接不同的網(wǎng)絡(luò)設(shè)備和客戶端設(shè)備,就像城市中的立交橋
開關(guān)如何工作?
交換機(jī)通過保存在哪個(gè)交換機(jī)端口上看到的媒體訪問控制 (MAC) 地址的表格來切換數(shù)據(jù)幀。MAC 地址是網(wǎng)絡(luò)接口控制器 (NIC) 硬件中的烙印。每個(gè)網(wǎng)卡以及交換機(jī)和路由器的每個(gè)端口都有一個(gè)唯一的 MAC 地址。交換機(jī)從數(shù)據(jù)幀中學(xué)習(xí)源和目標(biāo) MAC 地址,并將它們保存在表中。它參考該表來確定將它接收到的幀發(fā)送到哪里。如果它收到表中沒有的目標(biāo) MAC 地址,它會將幀泛洪到所有交換機(jī)端口,這稱為廣播。當(dāng)它收到響應(yīng)時(shí),它會將 MAC 地址放入表中,下次不需要泛洪。
圖 2:交換機(jī)從數(shù)據(jù)幀中學(xué)習(xí) MAC 地址
路由器——連接互聯(lián)網(wǎng)
路由器(有時(shí)稱為網(wǎng)關(guān))是用于在不同網(wǎng)絡(luò)之間路由數(shù)據(jù)包并將您的網(wǎng)絡(luò)連接到 Internet 的硬件設(shè)備。事實(shí)上,互聯(lián)網(wǎng)是由數(shù)十萬個(gè)路由器組成的。
路由器如何工作?
路由器檢查每個(gè)數(shù)據(jù)包的源和目標(biāo) IP 地址,在路由器的 IP 路由表中查找數(shù)據(jù)包的目標(biāo),并將數(shù)據(jù)包路由到另一個(gè)路由器或交換機(jī)。該過程不斷發(fā)生,直到到達(dá)目標(biāo) IP 地址并做出響應(yīng)。當(dāng)?shù)竭_(dá)目的 IP 地址的方式不止一種時(shí),路由器可以智能地選擇最經(jīng)濟(jì)的方式。當(dāng)數(shù)據(jù)包的目的地未在路由表中列出時(shí),數(shù)據(jù)包將被發(fā)送到默認(rèn)路由器(如果有的話)。如果數(shù)據(jù)包不存在目的地,它將被丟棄。
圖 3:路由器如何將數(shù)據(jù)包從源路由到目的地
通常,您的路由器由您的互聯(lián)網(wǎng)服務(wù)提供商 (ISP) 提供。您的 Internet 提供商會為您分配一個(gè)路由器 IP 地址,這是一個(gè)公共 IP 地址。當(dāng)您瀏覽 Internet 時(shí),通過公共 IP 地址向外界識別您的身份,并且您的私有 IP 地址受到保護(hù)。但是,你的臺式機(jī)、筆記本、iPad、電視媒體盒、網(wǎng)絡(luò)復(fù)印機(jī)的私有IP地址是完全不同的。否則,路由器無法識別哪個(gè)設(shè)備在請求什么。
路由器有什么作用?
路由器解釋不同的網(wǎng)絡(luò)。除了最常用的以太網(wǎng)外,還有許多其他不同的網(wǎng)絡(luò),例如 ATM 和令牌環(huán)網(wǎng)。網(wǎng)絡(luò)以不同的方法封裝數(shù)據(jù),因此它們無法直接通信。路由器可以“翻譯”來自不同網(wǎng)絡(luò)的這些數(shù)據(jù)包,以便它們能夠相互理解。
路由器防止廣播風(fēng)暴。如果沒有路由器,廣播將到達(dá)每個(gè)設(shè)備的每個(gè)端口并被每個(gè)設(shè)備處理。當(dāng)廣播量過大時(shí),整個(gè)網(wǎng)絡(luò)就會出現(xiàn)混亂。路由器將網(wǎng)絡(luò)細(xì)分為兩個(gè)或多個(gè)由它連接的較小網(wǎng)絡(luò),并且不允許廣播在子網(wǎng)之間流動。
圖 4:廣播量大時(shí)會出現(xiàn)廣播風(fēng)暴
交換機(jī)與路由器
為什么要比較交換機(jī)和路由器?因?yàn)槿龑咏粨Q機(jī)可以做路由。有人可能會問為什么不直接使用 L3 交換機(jī),那么您根本不需要路由器。每個(gè)設(shè)備都有自己的特點(diǎn),選擇取決于許多因素。一方面,例如,對于擁有 10-100 個(gè)用戶的小型網(wǎng)絡(luò),L3 交換機(jī)在成本或功能方面都有些過分。合適的路由器可以以合理的成本很好地完成這項(xiàng)工作。另一方面,您可以根據(jù)需要在路由器上安裝交換模塊,使其像 L3 交換機(jī)一樣工作。所以使用哪種設(shè)備的要點(diǎn)應(yīng)該考慮它的可擴(kuò)展性、彈性、軟件特性、硬件性能等。
防火墻——保護(hù)您網(wǎng)絡(luò)的人
防火墻實(shí)際上是用于在緊急情況下阻止火災(zāi)的墻。網(wǎng)絡(luò)防火墻在 Intranet/LAN 和 Internet 之間設(shè)置一道屏障。通常,網(wǎng)絡(luò)防火墻保護(hù)內(nèi)部/專用 LAN 免受外部攻擊,并防止重要數(shù)據(jù)泄露。沒有防火墻功能的路由器盲目地在兩個(gè)獨(dú)立的網(wǎng)絡(luò)之間傳遞流量,而防火墻會監(jiān)視流量并阻止未經(jīng)授權(quán)的流量。
圖 5:防火墻在 Internet 和 Intranet/LAN 之間設(shè)置一道屏障
網(wǎng)絡(luò)防火墻除了將局域網(wǎng)與互聯(lián)網(wǎng)隔離之外,還可以用于將局域網(wǎng)內(nèi)的重要數(shù)據(jù)與普通數(shù)據(jù)隔離開來。這樣也可以避免內(nèi)部入侵。
圖 6:內(nèi)部防火墻將重要數(shù)據(jù)與其他數(shù)據(jù)分開
網(wǎng)絡(luò)防火墻如何工作?
一種常見類型的硬件防火墻允許您定義阻止規(guī)則,例如通過 IP 地址、通過端口的傳輸控制協(xié)議 (TCP) 或用戶圖協(xié)議 (UDP)。因此,禁止不需要的端口和 IP 地址。其他一些防火墻是軟件應(yīng)用程序和服務(wù)。這樣的防火墻就像一個(gè)代理服務(wù)器,連接兩個(gè)網(wǎng)絡(luò)。內(nèi)部網(wǎng)絡(luò)不直接與外部網(wǎng)絡(luò)通信。這兩種類型的組合通常更安全、更有效。
交換機(jī)、路由器和防火墻:它們是如何連接的?
通常路由器是您在 LAN 中的第一件事,網(wǎng)絡(luò)防火墻位于內(nèi)部網(wǎng)絡(luò)和路由器之間,以便可以過濾所有流入和流出的流量。然后開關(guān)隨之而來。由于許多 Internet 提供商現(xiàn)在都提供光纖服務(wù) (FiOS),因此您需要在網(wǎng)絡(luò)防火墻之前安裝一個(gè)調(diào)制解調(diào)器,以將數(shù)字信號轉(zhuǎn)換為可以通過以太網(wǎng)電纜傳輸?shù)碾娦盘枴K缘湫偷呐渲檬?Internet-modem-firewall-switch。然后交換機(jī)連接其他網(wǎng)絡(luò)設(shè)備。
圖 7:交換機(jī)、路由器和防火墻在網(wǎng)絡(luò)中的連接方式
概括
交換機(jī)支持 LAN 中的內(nèi)部通信;路由器將您連接到互聯(lián)網(wǎng);防火墻保護(hù)您的網(wǎng)絡(luò)。這三個(gè)組件在網(wǎng)絡(luò)中缺一不可。小型網(wǎng)絡(luò)可能具有這三者的集成設(shè)備,而大型網(wǎng)絡(luò)如企業(yè)網(wǎng)絡(luò)、數(shù)據(jù)中心、您的互聯(lián)網(wǎng)服務(wù)提供商將擁有所有這三者,以保持多重、復(fù)雜和高度安全的通信。
