幾乎每個網絡都使用三種基本設備——網絡交換機、網絡路由器和網絡防火墻。它們可以集成到小型網絡(例如家庭網絡)的一臺設備中,但大型網絡則不然。對于任何網絡,這三種設備都不能被解雇。在本文中了解它們的工作原理以及它們如何構建您的網絡。
交換機——在網絡中橋接您的設備
在局域網 (LAN) 中,網絡交換機的功能類似于城市中的立交橋,橋接其他網絡設備,如交換機、路由器、防火墻和無線接入點 (WAP),并連接客戶端設備,如計算機、服務器、Internet協議 (IP) 攝像機和 IP 打印機。它為網絡上的所有不同設備提供了一個中央連接位置。
圖 1:交換機橋接不同的網絡設備和客戶端設備,就像城市中的立交橋
開關如何工作?
交換機通過保存在哪個交換機端口上看到的媒體訪問控制 (MAC) 地址的表格來切換數據幀。MAC 地址是網絡接口控制器 (NIC) 硬件中的烙印。每個網卡以及交換機和路由器的每個端口都有一個唯一的 MAC 地址。交換機從數據幀中學習源和目標 MAC 地址,并將它們保存在表中。它參考該表來確定將它接收到的幀發送到哪里。如果它收到表中沒有的目標 MAC 地址,它會將幀泛洪到所有交換機端口,這稱為廣播。當它收到響應時,它會將 MAC 地址放入表中,下次不需要泛洪。
圖 2:交換機從數據幀中學習 MAC 地址
路由器——連接互聯網
路由器(有時稱為網關)是用于在不同網絡之間路由數據包并將您的網絡連接到 Internet 的硬件設備。事實上,互聯網是由數十萬個路由器組成的。
路由器如何工作?
路由器檢查每個數據包的源和目標 IP 地址,在路由器的 IP 路由表中查找數據包的目標,并將數據包路由到另一個路由器或交換機。該過程不斷發生,直到到達目標 IP 地址并做出響應。當到達目的 IP 地址的方式不止一種時,路由器可以智能地選擇最經濟的方式。當數據包的目的地未在路由表中列出時,數據包將被發送到默認路由器(如果有的話)。如果數據包不存在目的地,它將被丟棄。
圖 3:路由器如何將數據包從源路由到目的地
通常,您的路由器由您的互聯網服務提供商 (ISP) 提供。您的 Internet 提供商會為您分配一個路由器 IP 地址,這是一個公共 IP 地址。當您瀏覽 Internet 時,通過公共 IP 地址向外界識別您的身份,并且您的私有 IP 地址受到保護。但是,你的臺式機、筆記本、iPad、電視媒體盒、網絡復印機的私有IP地址是完全不同的。否則,路由器無法識別哪個設備在請求什么。
路由器有什么作用?
路由器解釋不同的網絡。除了最常用的以太網外,還有許多其他不同的網絡,例如 ATM 和令牌環網。網絡以不同的方法封裝數據,因此它們無法直接通信。路由器可以“翻譯”來自不同網絡的這些數據包,以便它們能夠相互理解。
路由器防止廣播風暴。如果沒有路由器,廣播將到達每個設備的每個端口并被每個設備處理。當廣播量過大時,整個網絡就會出現混亂。路由器將網絡細分為兩個或多個由它連接的較小網絡,并且不允許廣播在子網之間流動。
圖 4:廣播量大時會出現廣播風暴
交換機與路由器
為什么要比較交換機和路由器?因為三層交換機可以做路由。有人可能會問為什么不直接使用 L3 交換機,那么您根本不需要路由器。每個設備都有自己的特點,選擇取決于許多因素。一方面,例如,對于擁有 10-100 個用戶的小型網絡,L3 交換機在成本或功能方面都有些過分。合適的路由器可以以合理的成本很好地完成這項工作。另一方面,您可以根據需要在路由器上安裝交換模塊,使其像 L3 交換機一樣工作。所以使用哪種設備的要點應該考慮它的可擴展性、彈性、軟件特性、硬件性能等。
防火墻——保護您網絡的人
防火墻實際上是用于在緊急情況下阻止火災的墻。網絡防火墻在 Intranet/LAN 和 Internet 之間設置一道屏障。通常,網絡防火墻保護內部/專用 LAN 免受外部攻擊,并防止重要數據泄露。沒有防火墻功能的路由器盲目地在兩個獨立的網絡之間傳遞流量,而防火墻會監視流量并阻止未經授權的流量。
圖 5:防火墻在 Internet 和 Intranet/LAN 之間設置一道屏障
網絡防火墻除了將局域網與互聯網隔離之外,還可以用于將局域網內的重要數據與普通數據隔離開來。這樣也可以避免內部入侵。
圖 6:內部防火墻將重要數據與其他數據分開
網絡防火墻如何工作?
一種常見類型的硬件防火墻允許您定義阻止規則,例如通過 IP 地址、通過端口的傳輸控制協議 (TCP) 或用戶圖協議 (UDP)。因此,禁止不需要的端口和 IP 地址。其他一些防火墻是軟件應用程序和服務。這樣的防火墻就像一個代理服務器,連接兩個網絡。內部網絡不直接與外部網絡通信。這兩種類型的組合通常更安全、更有效。
交換機、路由器和防火墻:它們是如何連接的?
通常路由器是您在 LAN 中的第一件事,網絡防火墻位于內部網絡和路由器之間,以便可以過濾所有流入和流出的流量。然后開關隨之而來。由于許多 Internet 提供商現在都提供光纖服務 (FiOS),因此您需要在網絡防火墻之前安裝一個調制解調器,以將數字信號轉換為可以通過以太網電纜傳輸的電信號。所以典型的配置是 Internet-modem-firewall-switch。然后交換機連接其他網絡設備。
圖 7:交換機、路由器和防火墻在網絡中的連接方式
概括
交換機支持 LAN 中的內部通信;路由器將您連接到互聯網;防火墻保護您的網絡。這三個組件在網絡中缺一不可。小型網絡可能具有這三者的集成設備,而大型網絡如企業網絡、數據中心、您的互聯網服務提供商將擁有所有這三者,以保持多重、復雜和高度安全的通信。
