交换机，路由器和防火墙概述

交换机，路由器和防火墙几乎是现代局域网中使用的所有网络设备. 其中，交换机负责连接网络设备（例如交换机，路由器，防火墙，无线AP等）和终端设备（例如计算机，服务器，摄像机，网络打印机等）；路由器实现局域网与局域网之间的互连，以及局域网与互联网之间的互连. 防火墙作为一种安全的网络设备，在内部网络与内部网络之间或内部网络与Internet之间起作用. 通常，交换机负责连接设备，路由器负责连接到网络，防火墙负责网络访问限制.

开关连接图:

开关连接图

路由器连接图:

路由器的第一个连接模式图

路由器的第二连接模式图

防火墙连接图:

第一种连接方法

防火墙的第一个连接方法图

防火墙的第二个连接模式图

以下文字描述了交换机，路由器和防火墙，以使您更好地了解这三个网络设备.

1. 开关概述1.开关功能

交换机的功能是连接终端设备，例如计算机，服务器，网络打印机，网络摄像机，IP电话，并实现与其他网络设备的互连，例如交换机，无线接入点，路由器，网络防火墙等. ，建立局域网. 实现所有设备之间的通信.

开关连接功能图2.开关的工作原理

该开关位于OSI参考模型的第二层（数据链路层）中. 交换机的工作取决于MAC地址的标识（所有网络设备都有唯一的MAC地址，通常由制造商直接将其刻录到网卡中）.

当交换机从其端口之一接收到数据包时，它首先读取数据包标头中的源MAC地址（即发送该数据包的设备网卡的MAC地址），然后添加交换机内存中的地址表的MAC地址和端口;然后读取标头中的目标MAC地址，并比较内存中的地址表以查看MAC地址对应的端口. 如果地址表中的MAC地址有相应的端口，则数据包将直接复制到相应的端口. 如果找不到，则数据帧将作为广播帧发送到所有端口. 相应的MAC地址设备将自动接受帧数据，同时，交换机将接受与该目标MAC地址相对应的帧数据端口，并将其放入内存中的地址表中.

2. 路由器概述: 路由器功能

路由器是一种智能地选择数据传输路径的网络设备. 它依赖于数据中的IP地址. 其功能如下:

1. 连接到互联网

路由器也称为网关. 它连接局域网以形成更大的广域网. 当连接异构网络（异构网络指的是不同的网络类型，例如ATM网络，FDDI网络，以太网网络等）时，由于异构网络采用不同的数据封装方法，因此它们无法直接通信，并且路由器可以“翻译”这些数据不同的封装数据以实现异构网络中的通信. 另外，对于局域网来说，广域网无疑是一个异构网络.

异构网络连接图

2. 隔离广播

因为该交换机会将广播发送到整个网络的每个端口，所以这将严重影响网络的传输效率，并消耗大量计算机CPU性能. 路由器可以将这些广播隔离在局域网中，以实现广播域分离的功能，从而提高每个局域网的传输效率.

路由器分隔的广播域地图

如上图所示，路由器将广播域分为四个部分，每个交换机都连接到一个小型LAN，这四个小型LAN使用它们自己的广播域进行广播. 此外，使用VLAN（虚拟网络）技术还可以起到分隔广播域的作用.

3. 路由选择

路由器内存中的路由表列出了整个Internet的节点，以及这些节点的路径和传输成本（路由表将根据网络的实际情况动态更新其路由表，以便为了使其保持有效的路由表），路由器将根据预先定义的策略智能地选择到目标路由器的路径.

路线选择图

与在路上一样，如果不考虑传输成本，则从路由器1到路由器4的传输将自动选择路径1-4，而不是路径1-2-3-4.

4. 网络安全性

作为整个局域网与外界通信的唯一出口，路由器还负责保护内部用户和数据.

地址替换: LAN中的终端设备使用内部保留的IP地址（通常，这些IP地址的IP段为: 192.168.0.0--192.168.255.255,10.0.0.0--10.255.255.255,172.16. 0.0--172.16.255.255等），这些IP地址将不会路由到Internet. 当内部终端设备需要与外部网络通信时，路由器会将地址转换为合法的IP地址以实现Internet访问.

访问列表: 网络工程师可以在路由器上预先设置各种访问策略，以指定时间段，可以允许局域网内外的网络协议和网络服务，从而提高传输效率和安全性. 网络.

路由器的工作方式

当同一网络中的计算机需要将数据发送到同一网络中的另一台计算机时，只需将此数据发送到该网络，另一台计算机就可以接收它；当需要将数据发送到另一个网络中的另一台计算机时当发送数据时，数据将直接发送到默认网关（即路由器的IP地址），默认网关会将数据转发到默认网关通过最佳传输路径访​​问目标计算机，然后目标计算机的默认网关会将数据发送到目标. 电脑.

默认网关映射

路由器发送数据包时，将根据数据包中的目标IP地址查找路由表. 如果路由表中包含有关IP的信息，则路由器将选择要发送的最佳传输路径. 如果路由表中没有这样的IP，则路由器会将数据传输到路由器的默认网关（路由器的默认网关是网络中另一台路由器的IP），并且数据将通过路由器的默认网关路由器传输. 如果仍然找不到目标IP终端，则数据包将被网络丢弃.

路由器3的工作原理图. 防火墙概述

防火墙，也称为网络防火墙，是指在计算机网络之间设置的隔离设备. 它可以隔离两个或多个网络，并限制网络之间的相互访问，从而保护内部网络用户和数据的安全.

网络防火墙的功能

1. 隔离网络

网络防火墙通常位于路由器和内部网络（即局域网）之间，并过滤和筛选所有进入和离开局域网的数据，从而避免了来自外部网络的网络攻击并提供保护内部网络.

防火墙隔离内部和外部网络图

同时，网络防火墙还可以隔离内部网络，隔离内部网络中的一些重要部门和普通用户，从而避免来自网络内部的恶意攻击.

防火墙隔离了重要的内部网络

2. 确保安全

网络防火墙可以在防火墙上设置所有安全软件（例如密码，加密，，审计等），以进行集中和有效的管理.

内部和外部网络上的所有数据流都必须通过防火墙. 防火墙检查这些数据流的IP地址和端口，以确定数据流是否符合防火墙的预设安全策略. 如果是这样，让它通过；如果不匹配，则禁止通过.

网络防火墙可以绑定MAC地址和IP地址，以防止受控网络的内部用户通过修改IP地址来访问外部网络.

网络防火墙的工作原理

防火墙有两种，一种是数据包筛选防火墙，另一种是应用程序代理防火墙.

1. 数据包过滤防火墙

包过滤防火墙在OSI参考模型的第四层（网络传输层）上工作，并通过检查每个数据包的IP地址，使用的通信协议和端口号来判断是否允许通过防火墙将数据包的内部状态信息与在其自己的内存中设置的安全策略进行比较. 如果报文符合安全策略中的某个策略，则允许数据通过；如果不符合任何安全策略，防火墙将执行默认处理规则（通常，默认处理规则是丢弃数据包）.

2. 应用程序代理防火墙

应用程序代理防火墙在OSI参考模型的第七层（应用程序层）上工作. 当客户端需要使用服务器上的数据时，客户端首先将数据请求发送到代理服务器，然后代理服务器根据此请求将数据发送到服务器. 请求数据. 然后，代理服务器将返回的数据转发给客户端. 由于外部系统和内部服务器之间没有直接的数据通道，因此外部攻击很难进入内部网络.

结论

无论是交换机，路由器还是防火墙，要实现这些网络设备的功能，都需要网络工程师预先配置设备（例如VLAN虚拟网络端口划分，防火墙安全策略配置，路由器默认设置）网关设置等），实际上，从某种程度上讲，这些网络设备都是具有cpu和内存的计算机，它们都通过将cpu转换为机器语言来实现硬件功能.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxingongju/article-308400-1.html