交换机·路由器·防火墙综述

交换机·路由器·防火墙综述纪律要求遵守上课时间,将严格考勤。上课时注意听讲，认真完成上课实验内容，不得在实验室内打游戏。按时认真完成作业。爱护设施，不得将任何设施带出实验室。不得损坏设备，损坏设备须赔偿。保持卫生，不得在实验室内吸烟和吃东西。交换机的功能和原理路由器的功能和原理防火墙的功能和原理本课内容重点交换机、路由器、防火墙的基本功能交换机、路由器、防火墙的基本原理难点交换机、路由器、防火墙的基本原理第1章交换机·路由器·防火墙综述交换机、路由器和防火墙是几乎所有局域网络都要使用的基本设备。其中，交换机将其他网络设备（如集线器、交换机、路由器等）和所有终端设备（如计算机、服务器、网络打印机等）连接在一起，实现彼此之间的通讯。第1章交换机·路由器·防火墙综述路由器用于实现局域网之间，以及局域网与Internet的互联，将所有的网络连接在一起。防火墙则用于在内部网络之间，以及内部网络和Internet之间创建一个安全屏障，将恶意攻击阻拦在内部网络之外。可见，对于任何局域网络而言，交换机、路由器和防火墙一个都不能少。交换机·路由器·防火墙之间的关系应用层网络层数据链路层防火墙路由器交换机1.1交换机概述随着网络技术和制造技术的不断发展，传统的集线设备——集线器（Hub）已经退出历史舞台，而交换机（Switch）则牢牢地占据了90%以上的市场份额。1.1.1交换机的功能1.连接设备所谓局域网络（Network），简单地说，其实就是若干计算机的集合。而这些计算机就是借助交换机才能相互连接在一起，因此，交换机往往拥有数量众多的端口（通常为8~48个端口）。CiscoCatalyst2950系列网络交换机

交换机最主要功能就是连接计算机、服务器、网络打印机、网络摄像头、IP电话等终端设备，并实现与其他交换机、无线接入点、路由器等网络设备的互联，从而构建局域网络，实现所有设备之间的通讯。

交换机与终端设备和网络设备的连接

2.隔离碰撞由集线器构建的网络是一个低效率的广播网络。对于集线器而言，它对连接到自己身上的电脑一点儿也不认识，它的任务就是将一个端口传来的数据广播到其它所有的端口上。

低效率的广播网络

如果网络中拥有大量的用户、繁忙的应用程序和各式各样的服务器，那么，整个网络的性能可能会非常低。交换机也可以将网络“分段”。交换机的每个端口就是一个“碰撞”域，可以将碰撞有效地隔离在每个端口内，只允许必要的网络流量通过交换机。同时，通过交换机的过滤和转发，可以有效的隔离广播风暴，减少误包和错包的出现，避免共享冲突。隔离碰撞域

1.1.2交换机与交换式网络我们可以形象地把计算机比喻为写字楼或工厂，网络布线比喻为城市马路或高速公路，网络应用比喻为不同类型的汽车，各种数据则是装在这些汽车上的货物，而交换机就是连接来自所有道路的立交桥。由交换机构建的局域网络，计算机之间的通讯也是同时进行，彼此不受影响干扰，并且每个通讯都可以“独享”带宽，即拥有端口所能提供的传输速率。这就好像在限速80千米/小时的立交桥上，每辆车都可以占用一个车道，都可以跑到80千米/小时。例如：6台计算机同时通讯的情形。

计算机同时通讯

由交换机构建的网络称为“交换式网络”。交换式网络的工作模式通常为“全双工”（FullDuplex），即终端设备可以同时接收和发送数据，数据流是双向的。对于100Mbps端口而言，在全双工工作模式下，接收和发送数据的速率均为100Mbps，总带宽即可达到200Mbps；对于1000Mbps端口而言，在全双工工作模式下，接收和发送数据的速率均为1000Mbps，总带宽即可达到2000Mbps。

全双工示意图

集线器的带宽实际上是由所有计算机来共享的。因此，由集线器构建的网络被称为“共享式网络”。共享式网络的工作模式通常为“半双工”（HalfDuplex），即终端设备或者接收数据，或者发送数据，而不能同时接收和发送数据。如果集线器的带宽是100Mbps，当连接10台计算机时，每台计算机所能分享的带宽为10Mbps；而当连接20台计算机时，每台计算机所能分享的带宽就只有5Mbps了。半双工示意图

1.1.3交换机的工作原理

交换机位于OSI模型中的链路层（即第2层），是一种基于MAC地址（MediaAccessControl，介质访问控制）识别，完成数据的封装和转发的网络设备。交换机可以“学习”MAC地址，并把其存放在内部地址表中，通过在数据帧的始发者和目标接收者之间建立临时的交换路径，使数据帧直接由源地址到达目的地址。交换机的工作过程：

1.某个端口收到数据包

读取源MAC地址

建立源端口与源MAC地址的对应关系

添加至地址表。交换机能够自动根据收到的以太网帧中的源MAC地址更新地址表的内容。交换机使用的时间越长，学习到的MAC地址就越多，未知的MAC地址就越少，因而广播的包就越少（目的MAC地址未知，则作广播处理），处理速度就越快。

2.读取包头中的目的MAC地址，并在地址表中查找相应的端口。

3.如果地址表中有与这目的MAC地址对应的端口，把数据包直接复制到这端口上。由于不是将该帧发送到所有端口，从而使那些既非源端口又非目的端口的端口间仍然可以进行相互间的通信，从而提供了更高的传输速率。

4.如果在MAC地址表中没有找到该MAC地址，则将该帧发送到所有其它端口（源端口除外）。拥有该MAC地址的网卡在接收到该广播帧后，将立即做出应答，从而使交换机将“端口号-MAC地址”对照表添加到地址表。重复上述过程，逐步学习和记忆MAC地址。交换机的工作过程：

1.2路由器概述路由器是一种用于连接多个网络。以路由器为基础构建（RouterBasedNetwork）的网络称为“网间网”。事实上，Internet就是由数以万计的路由器构建的、超大规模的、国际性性的“网间网”。虽然严格意义上讲，路由器是广域网设备，但是，作为局域网实现与其他网络和Internet互联的必需设备，也往往被归类于局域网设备之列。1.2.1路由器的功能路由器（Router），顾名思义，是一种智能选择数据传输路由的设备。路由器的端口数量虽然较少，但是，种类却非常丰富，可以满足各种类型网络接入的需要。Cisco2621路由器及其类型丰富的接口模块1.连接网络路由器也称为网关（Gateway）。将局域网络连接在一起，组建更大规模的广域网络，并在每个局域网出口对数据进行筛选和处理，是路由器的重要作用之一。连接异构网络

连接远程网络

2.隔离广播3.路由选择4.网络安全作为整个局域网络与外界联络的唯一出口，路由器还担当着保护内部用户和数据安全的重要责任。路由器的安全功能主要借助以下两种方式实现：

1、地址转化

2、访问列表1.3防火墙概述

“防火墙”（FireWall）的本意是指发生火灾时，用来防止火势蔓延的一道障碍物，一般都修筑在建筑物之间。而如今的网络防火墙则是指设置在计算机网络之间的一道隔离装置，可以隔离两个或者多个网络、限制网络互访，以保护内部网络用户和数据的安全。

1.3.1网络防火墙的功能

隔离网络保障安全整合安全策略、包过滤、绑定MAC地址、流量分析控制、审计报警机制。Internet共享网络防火墙的功能主要包括以下几个方面1.3.2防火墙的工作原理虽然目前防火墙的基本结构多种多样，但是它们都可以归入包过滤和应用代理两类。其中包过滤防火墙技术专注的是网络层和传输层的思考，而应用代理防火墙利用代理服务器关心的是应用层的保护。包保过滤防火墙原理应用代理防火墙工作原理1.4网络设备在网络中的应用交换机、路由器和防火墙作为最基本的网络设备，被广泛应用于各种规模的局域网络。其中，交换机作为必不可少的网络设备，将计算机和其他所有网络设备连接在一起。路由器只有在实现Internet连接或与其他网络互联时才用得到。网络防火墙并不是必需的网络设备，如果网络对安全性的要求不是太高，也可以不必选择。1.4.1交换机在网络中的应用1.提供网络接口（1）连接交换机、路由器、防火墙、无线接入点等网络设备。（2）连接计算机、服务器等计算机设备。（3）连接网络打印机、网络摄像机、IP电话等其他网络终端。2.扩充网络接口3.扩展网络范围1.4.2路由器在网络中的应用1.网络远程连接2.远程网络访问3.Internet连接共享1.4.3防火墙在网络中的应用1.保护网络安全2.远程安全访问网络防火墙往往拥有VPN（VirtualPrivateNetwork，虚拟私有网络）模块，用于在公用网络（如Internet）中创建安全专用网络通道，实现对内部网络的廉价、安全的远程连接与访问。远程客户端对内部网络的安全访问

两个远程网络借助Internet建立安全连接

3.Internet连接共享华三H3C交换机产品线Catalyst4500系列：4503/4506/4507RSTAR-S4909

RG-S3550-24G

STAR-S2800-L3Catalyst2950系列：2950T-24/2950-24/2950-12/2950C-24Catalyst2970系列STAR-S2126G/2150GRG-S1926F+/S1926G+S1916+/S1908+Catalyst6500系列：6503/6506/6509/6513RG-6810E/S6806E

RG-S6810/S6806

STAR-S6808RG-S6506Catalyst3550系列：3550-12T/12G/24/48Catalyst3560系列Catalyst3750系列RG-S3750-24/48RG-S3550-12G

STAR-S3550-24/48汇聚层接入层核心层骨干核心层锐捷交换机思科交换机锐捷交换机产品线Cisco16系列Cisco17系列Cisco18系列STAR-R2501+STAR-R621RG-NBR1000ERG-NBR200Cisco7500Cisco7600Cisco10000Cisco12000RG-RSR-08/08ERG-RSR-04RG-RSR-16RG-RSR-02/02ERG-R1762RG-R2692RG-R2632RG-R2690STAR-R2620STAR-R2624/R2614RG-R3642RG-R3662Cisco2600系列Cisco2800系列Cisco3600系列Cisco3700系列Cisco3800系列Cisco7200系列Cisc