網(wǎng)絡(luò)互連設(shè)備及技術(shù)

網(wǎng)絡(luò)互連設(shè)備及技術(shù)第一頁(yè)，共四十八頁(yè)，編輯于2023年，星期三網(wǎng)絡(luò)互連的基本概念網(wǎng)絡(luò)互連（Internetworking）是指將分布在不同地理位置的網(wǎng)絡(luò)、設(shè)備相連接，以構(gòu)成更大規(guī)模的互連網(wǎng)絡(luò)系統(tǒng)，并實(shí)現(xiàn)互連網(wǎng)絡(luò)資源的共享；互連的網(wǎng)絡(luò)和設(shè)備可以是同種類(lèi)型的網(wǎng)絡(luò)、不同類(lèi)型的網(wǎng)絡(luò)，以及運(yùn)行不同網(wǎng)絡(luò)協(xié)議的設(shè)備與系統(tǒng)。第二頁(yè)，共四十八頁(yè)，編輯于2023年，星期三典型網(wǎng)絡(luò)互連設(shè)備——交換機(jī)第三頁(yè)，共四十八頁(yè)，編輯于2023年，星期三局域網(wǎng)交換機(jī)的工作原理（續(xù)）以A機(jī)器向C機(jī)器發(fā)送數(shù)據(jù)包為例：A機(jī)器向控制單元發(fā)送一個(gè)數(shù)據(jù)幀，控制單元截取該數(shù)據(jù)幀的首部，該幀的首部包括了目標(biāo)機(jī)器的MAC地址，控制單元將到交換表中查詢(xún)?cè)揗AC地址對(duì)應(yīng)的端口信息，然后將該數(shù)據(jù)幀從C機(jī)器所對(duì)應(yīng)的端口發(fā)送到C機(jī)器。第四頁(yè)，共四十八頁(yè)，編輯于2023年，星期三局域網(wǎng)交換機(jī)的技術(shù)特點(diǎn)低交換延遲支持不同的傳輸速率和工作模式支持虛擬局域網(wǎng)服務(wù)第五頁(yè)，共四十八頁(yè)，編輯于2023年，星期三典型網(wǎng)絡(luò)互連設(shè)備——網(wǎng)橋網(wǎng)橋的應(yīng)用環(huán)境：一個(gè)單位的多個(gè)部門(mén)局域網(wǎng)的互連；辦公樓之間局域網(wǎng)的互連；將數(shù)千臺(tái)計(jì)算機(jī)按地理位置或組織關(guān)系劃分為多個(gè)子網(wǎng)的互連；超過(guò)單個(gè)局域網(wǎng)的最大覆蓋范圍的多個(gè)局域網(wǎng)互連；企業(yè)中部門(mén)的信息對(duì)安全、保密方面要求不同的局域網(wǎng)互連。第六頁(yè)，共四十八頁(yè)，編輯于2023年，星期三網(wǎng)橋的基本特征

網(wǎng)橋在數(shù)據(jù)鏈路層上實(shí)現(xiàn)局域網(wǎng)互連；網(wǎng)橋能夠互連兩個(gè)采用不同數(shù)據(jù)鏈路層協(xié)議、不同傳輸介質(zhì)與不同傳輸速率的網(wǎng)絡(luò)；網(wǎng)橋以接收、存儲(chǔ)、地址過(guò)濾與轉(zhuǎn)發(fā)的方式實(shí)現(xiàn)互連的網(wǎng)絡(luò)之間的通信；網(wǎng)橋需要互連的網(wǎng)絡(luò)在數(shù)據(jù)鏈路層以上采用相同的協(xié)議；網(wǎng)橋可以分隔兩個(gè)網(wǎng)絡(luò)之間的廣播通信量，有利于改善互連網(wǎng)絡(luò)的性能與安全性。第七頁(yè)，共四十八頁(yè)，編輯于2023年，星期三網(wǎng)橋的分類(lèi)透明網(wǎng)橋透明網(wǎng)橋由各網(wǎng)橋自己來(lái)決定路由選擇，局域網(wǎng)上的各結(jié)點(diǎn)不負(fù)責(zé)路由選擇；源路選網(wǎng)橋源路選網(wǎng)橋由發(fā)送幀的源結(jié)點(diǎn)負(fù)責(zé)路由選擇。第八頁(yè)，共四十八頁(yè)，編輯于2023年，星期三第九頁(yè)，共四十八頁(yè)，編輯于2023年，星期三網(wǎng)橋與廣播風(fēng)暴第十頁(yè)，共四十八頁(yè)，編輯于2023年，星期三典型網(wǎng)絡(luò)互連設(shè)備——路由器路由器是在網(wǎng)絡(luò)層上實(shí)現(xiàn)多個(gè)網(wǎng)絡(luò)互連的設(shè)備；局域網(wǎng)的數(shù)據(jù)鏈路層與物理層可以是不同的，但數(shù)據(jù)鏈路層以上的高層要采用相同的協(xié)議；

路由器可以有效地隔離多個(gè)局域網(wǎng)的廣播通信量，每一個(gè)局域網(wǎng)都是獨(dú)立的子網(wǎng)。

第十一頁(yè)，共四十八頁(yè)，編輯于2023年，星期三路由器的工作原理

第十二頁(yè)，共四十八頁(yè)，編輯于2023年，星期三具體步驟第一步：當(dāng)數(shù)據(jù)包到達(dá)路由器，根據(jù)網(wǎng)絡(luò)物理接口的類(lèi)型，路由器調(diào)用相應(yīng)的鏈路層功能模塊，以解釋處理此數(shù)據(jù)包的鏈路層協(xié)議報(bào)頭。主要是對(duì)數(shù)據(jù)的完整性進(jìn)行驗(yàn)證，如CRC校驗(yàn)、幀長(zhǎng)度檢查等。

第十三頁(yè)，共四十八頁(yè)，編輯于2023年，星期三具體步驟（續(xù)）第二步：在鏈路層完成對(duì)數(shù)據(jù)幀的完整性驗(yàn)證后，路由器開(kāi)始處理此數(shù)據(jù)幀的IP層。根據(jù)數(shù)據(jù)幀中IP包頭的目的IP地址，路由器在路由表中查找下一跳的IP地址；同時(shí)，IP數(shù)據(jù)包頭的TTL（TimeToLive）域開(kāi)始減數(shù)，并重新計(jì)算校驗(yàn)和（Checksum）。

第十四頁(yè)，共四十八頁(yè)，編輯于2023年，星期三具體步驟（續(xù)）第三步：根據(jù)路由表中所查到的下一跳IP地址，將IP數(shù)據(jù)包送往相應(yīng)的輸出鏈路層，被封裝上相應(yīng)的鏈路層包頭，最后經(jīng)輸出網(wǎng)絡(luò)物理接口發(fā)送出去。

第十五頁(yè)，共四十八頁(yè)，編輯于2023年，星期三多協(xié)議路由器的工作原理第十六頁(yè)，共四十八頁(yè)，編輯于2023年，星期三典型的路由器產(chǎn)品

Cisco公司的Cisco系列路由器3Com公司的OfficeConnectNetBuilder系列Nortel公司的Accelar系列Intel公司的ExpressRouter系列華為公司的Quidway系列TP-LINKD-LINK第十七頁(yè)，共四十八頁(yè)，編輯于2023年，星期三典型企業(yè)

網(wǎng)結(jié)構(gòu)

第十八頁(yè)，共四十八頁(yè)，編輯于2023年，星期三實(shí)際問(wèn)題究竟有多少方法實(shí)現(xiàn)內(nèi)網(wǎng)和外網(wǎng)間的互聯(lián)？第十九頁(yè)，共四十八頁(yè)，編輯于2023年，星期三問(wèn)題的關(guān)鍵代理服務(wù)器路由器第二十頁(yè)，共四十八頁(yè)，編輯于2023年，星期三第二十一頁(yè)，共四十八頁(yè)，編輯于2023年，星期三第二十二頁(yè)，共四十八頁(yè)，編輯于2023年，星期三路由器與代理服務(wù)器的比較從性能穩(wěn)定的角度從價(jià)格角度從組網(wǎng)方便角度從故障發(fā)生角度第二十三頁(yè)，共四十八頁(yè)，編輯于2023年，星期三家庭組建寬帶無(wú)線(xiàn)網(wǎng)絡(luò)第二十四頁(yè)，共四十八頁(yè)，編輯于2023年，星期三典型網(wǎng)絡(luò)互連設(shè)備——網(wǎng)關(guān)第二十五頁(yè)，共四十八頁(yè)，編輯于2023年，星期三網(wǎng)關(guān)的基本類(lèi)型網(wǎng)關(guān)通過(guò)使用適當(dāng)?shù)挠布c軟件實(shí)現(xiàn)不同網(wǎng)絡(luò)協(xié)議之間的轉(zhuǎn)換功能；硬件提供不同網(wǎng)絡(luò)的接口，軟件實(shí)現(xiàn)不同互連網(wǎng)協(xié)議之間的轉(zhuǎn)換。

第二十六頁(yè)，共四十八頁(yè)，編輯于2023年，星期三網(wǎng)關(guān)實(shí)現(xiàn)協(xié)議轉(zhuǎn)換的方法網(wǎng)關(guān)直接將輸入網(wǎng)絡(luò)的信息包的格式轉(zhuǎn)換成輸出網(wǎng)絡(luò)信息包的格式；首先制定一種標(biāo)準(zhǔn)的網(wǎng)間信息包格式，網(wǎng)關(guān)在輸入端將輸入網(wǎng)絡(luò)信息包格式轉(zhuǎn)換成標(biāo)準(zhǔn)網(wǎng)間信息包格式，在輸出端再將標(biāo)準(zhǔn)網(wǎng)間信息包格式轉(zhuǎn)換成輸出網(wǎng)絡(luò)信息包格式。

第二十七頁(yè)，共四十八頁(yè)，編輯于2023年，星期三防火墻技術(shù)防火墻：是計(jì)算機(jī)網(wǎng)絡(luò)之間的一種特殊的訪(fǎng)問(wèn)控制設(shè)備，是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障。

防火墻具有下列特征：所有從內(nèi)到外和從外到內(nèi)的通信量都必須經(jīng)過(guò)防火墻。只有被認(rèn)可的通信量，通過(guò)本地安全策略進(jìn)行定義后，才允許傳遞。防火墻對(duì)于滲透是免疫的，即本身是不可穿透的。第二十八頁(yè)，共四十八頁(yè)，編輯于2023年，星期三防火墻體系結(jié)構(gòu)屏蔽路由器（ScreeningRouter）雙宿主機(jī)網(wǎng)關(guān)（DualHomedGateway）被屏蔽主機(jī)網(wǎng)關(guān)（ScreenedHostGateway）單宿堡壘機(jī)雙宿堡壘機(jī)被屏蔽子網(wǎng)（ScreenedSubnet）第二十九頁(yè)，共四十八頁(yè)，編輯于2023年，星期三屏蔽路由器（ScreeningRouter）第三十頁(yè)，共四十八頁(yè)，編輯于2023年，星期三雙宿主機(jī)網(wǎng)關(guān)（DualHomedGateway）第三十一頁(yè)，共四十八頁(yè)，編輯于2023年，星期三性能分析雙宿主機(jī)用兩個(gè)網(wǎng)絡(luò)適配器分別連接兩個(gè)網(wǎng)絡(luò)，又稱(chēng)堡壘主機(jī)。堡壘主機(jī)上運(yùn)行著防火墻軟件（通常是代理服務(wù)器），可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。雙宿主機(jī)網(wǎng)關(guān)有一個(gè)致命弱點(diǎn)，一旦入侵者侵入堡壘主機(jī)并使該主機(jī)只具有路由器功能，則任何網(wǎng)上用戶(hù)均可以隨便訪(fǎng)問(wèn)有保護(hù)的內(nèi)部網(wǎng)絡(luò)。第三十二頁(yè)，共四十八頁(yè)，編輯于2023年，星期三被屏蔽主機(jī)網(wǎng)關(guān)（單宿堡壘主機(jī)）第三十三頁(yè)，共四十八頁(yè)，編輯于2023年，星期三性能分析堡壘主機(jī)只有一個(gè)網(wǎng)卡，與內(nèi)部網(wǎng)絡(luò)連接。通常在路由器上設(shè)立過(guò)濾規(guī)則，并使這個(gè)單宿堡壘主機(jī)成為從Internet惟一可以訪(fǎng)問(wèn)的主機(jī)，確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶(hù)的攻擊。而Intranet內(nèi)部的客戶(hù)機(jī)，可以受控制地通過(guò)屏蔽主機(jī)和路由器訪(fǎng)問(wèn)Internet。

第三十四頁(yè)，共四十八頁(yè)，編輯于2023年，星期三性能分析在提供直接的因特網(wǎng)訪(fǎng)問(wèn)方面提供了靈活性，如路由器可以配置成允許Web服務(wù)器和因特網(wǎng)之間有直接的數(shù)據(jù)通信量。如果分組過(guò)濾器被攻破，則因特網(wǎng)和專(zhuān)用網(wǎng)中的通信量就可以直接通過(guò)路由器而進(jìn)入內(nèi)部網(wǎng)。第三十五頁(yè)，共四十八頁(yè)，編輯于2023年，星期三被屏蔽主機(jī)網(wǎng)關(guān)（雙宿堡壘主機(jī)）第三十六頁(yè)，共四十八頁(yè)，編輯于2023年，星期三性能分析雙宿堡壘主機(jī)型與單宿堡壘主機(jī)型的區(qū)別是，堡壘主機(jī)有兩塊網(wǎng)卡，一塊連接內(nèi)部網(wǎng)絡(luò)，一塊連接包過(guò)濾路由器。雙宿堡壘主機(jī)在應(yīng)用層提供代理服務(wù)，與單宿型相比更加安全。

第三十七頁(yè)，共四十八頁(yè)，編輯于2023年，星期三被屏蔽子網(wǎng)（ScreenedSubnet）第三十八頁(yè)，共四十八頁(yè)，編輯于2023年，星期三性能分析使用了兩個(gè)分組過(guò)濾路由器，一個(gè)在堡壘主機(jī)和因特網(wǎng)之間，另一個(gè)在堡壘主機(jī)和內(nèi)部網(wǎng)之間。這樣就創(chuàng)建了一個(gè)被隔離的子網(wǎng)，稱(chēng)為非軍事區(qū)DMZ。因特網(wǎng)和內(nèi)部網(wǎng)都有DMZ子網(wǎng)上主機(jī)的訪(fǎng)問(wèn)權(quán)利，但是穿越DMZ子網(wǎng)的通信量將被阻斷。這種配置的優(yōu)點(diǎn)：有三級(jí)防衛(wèi)措施來(lái)抵抗入侵者。外部的路由器只對(duì)因特網(wǎng)通告屏蔽子網(wǎng)DMZ的存在，因此，內(nèi)部網(wǎng)對(duì)于因特網(wǎng)是不可見(jiàn)的。內(nèi)部路由器只對(duì)內(nèi)部網(wǎng)絡(luò)通告屏蔽子網(wǎng)的存在，因此，內(nèi)部網(wǎng)絡(luò)中的系統(tǒng)不能構(gòu)造到因特網(wǎng)的直接通信。第三十九頁(yè)，共四十八頁(yè)，編輯于2023年，星期三防火墻的一種常用配置

兩個(gè)路由器：根據(jù)某種規(guī)則表，進(jìn)行包過(guò)濾。一個(gè)應(yīng)用網(wǎng)關(guān)：審查應(yīng)用層信息。第四十頁(yè)，共四十八頁(yè)，編輯于2023年，星期三防火墻產(chǎn)品選購(gòu)策略防火墻的安全性防火墻的高效性防火墻的適用性防火墻的可管理性完善及時(shí)的售后服務(wù)體系第四十一頁(yè)，共四十八頁(yè)，編輯于2023年，星期三典型防火墻產(chǎn)品介紹CiscoPIX防火墻實(shí)時(shí)嵌入式操作系統(tǒng)。保護(hù)方案基于自適應(yīng)安全算法（ASA），可以確保最高的安全性。用于驗(yàn)證和授權(quán)的“直通代理”技術(shù)。最多支持250000個(gè)同時(shí)連接。URL過(guò)濾。第四十二頁(yè)，共四十八頁(yè)，編輯于2023年，星期三典型防火墻產(chǎn)品介紹3ComOfficeConnectFirewall新增的網(wǎng)絡(luò)管理模塊使技術(shù)經(jīng)驗(yàn)有限的用戶(hù)也能保障他們的商業(yè)信息的安全。OfficeConnectInternetFirewall25使用全靜態(tài)數(shù)據(jù)包檢驗(yàn)技術(shù)來(lái)防止非法的網(wǎng)絡(luò)接入和防止來(lái)自Internet的“拒絕服務(wù)”攻擊，它還可以限制局域網(wǎng)用戶(hù)對(duì)Internet的不恰當(dāng)使用。第四十三頁(yè)，共四十八頁(yè)，編輯于2023年，星期三選讀：第三層交換技術(shù)與應(yīng)用

增加網(wǎng)絡(luò)帶寬與提高網(wǎng)絡(luò)服務(wù)質(zhì)量的解決途徑可以有兩個(gè)：一是采用光纖作為傳輸介質(zhì)，增加傳輸通道的帶寬；二是研究出性能更優(yōu)越的路由器產(chǎn)品，提高網(wǎng)絡(luò)數(shù)據(jù)交換能力;高性能的網(wǎng)絡(luò)路由器設(shè)備是網(wǎng)絡(luò)硬件制造商重點(diǎn)研究的問(wèn)題之一;將交換機(jī)制引入路由器的設(shè)計(jì)中，大幅度縮短路由器對(duì)數(shù)據(jù)包的處理時(shí)間，提高網(wǎng)絡(luò)數(shù)據(jù)交換能力，由此產(chǎn)生了第三層交換的概念。第四十四頁(yè)，共四十八頁(yè)，編輯于2023年，星期三4.4.2網(wǎng)橋、交換機(jī)與第二層交換

局域網(wǎng)交換機(jī)與傳統(tǒng)的集線(xiàn)器相比較，具有低數(shù)據(jù)傳輸延遲、高傳輸帶寬的明顯優(yōu)點(diǎn)；網(wǎng)橋的數(shù)據(jù)幀轉(zhuǎn)發(fā)功能是通過(guò)軟件來(lái)實(shí)現(xiàn)的，而局域網(wǎng)交換機(jī)的數(shù)據(jù)幀轉(zhuǎn)發(fā)功能是通過(guò)硬件來(lái)實(shí)現(xiàn)的；局域網(wǎng)交換機(jī)可以起到網(wǎng)橋的作用，同時(shí)又具有低交換傳輸延遲、高傳輸帶寬的優(yōu)點(diǎn)；通過(guò)硬件結(jié)構(gòu)，使得局域網(wǎng)交換機(jī)的數(shù)據(jù)幀處理的延遲時(shí)間由網(wǎng)橋的幾百個(gè)μs減少到幾十μs。第四十五頁(yè)，共四十八頁(yè)，編輯于2023年，星期三4.4.3第三層交換技術(shù)與產(chǎn)品

第三層交換技術(shù)：將局域網(wǎng)交換機(jī)的設(shè)計(jì)思想應(yīng)用在路由器的設(shè)計(jì)中，就出現(xiàn)了第三層交換的概念；傳統(tǒng)的路由器通過(guò)軟件來(lái)實(shí)現(xiàn)路由選擇功能，而第三層交換的路由器通過(guò)專(zhuān)用集成電路芯片來(lái)實(shí)現(xiàn)路由選擇功能，將數(shù)據(jù)包處理時(shí)間從傳統(tǒng)路由器的幾千μs減少到幾十μs，大大縮短數(shù)據(jù)包在交換設(shè)備中的傳輸延遲時(shí)間；通過(guò)硬件來(lái)實(shí)現(xiàn)第三層交換的路由器，在網(wǎng)絡(luò)層協(xié)議類(lèi)型上受到一定的限制。

第四十六頁(yè)，共四十八頁(yè)，編輯于2023年，星期三典型的第三層交換產(chǎn)品

Cabletron公司的SmartSwitch系列路由器Foundry公司的BigIron系列與SererIron系列交換機(jī)PacketEng