常用网络设备

nullnull**page *网络设备本章重点： ●网络接口卡及其使用 ●集线器及其使用 ●交换机及其使用 ●路由器及其使用 ●硬件防火墙null**page *交换机交换机防火墙防火墙主机主机WEB服务器WEB服务器路由器应用服务器应用服务器因特网集线器数据库企业内部网外部访问子网外界因特网网络设备在OSI体系中的位置**page *网络设备在OSI体系中的位置网络设备的功能层次中继器（集线器）的概念结构**page *中继器（集线器）的概念结构中继器（集线器）网桥（交换机）的概念结构**page *网桥（交换机）的概念结构网桥（交换机）路由器的概念结构**page *路由器的概念结构路由器网关的概念结构**page *网关的概念结构网关7.1 网络接口卡NIC**page *7.1 网络接口卡NIC网络接口卡（网卡）是连接主机与网络的基本设备 每台主机都应配置一个或多个网卡 每个网卡都有一个或多个网络接口 不能独立工作，必须依赖于宿主主机 连接不同的局域网需要使用不同的网卡 以太网卡 令牌环网卡 FDDI网卡 ATM网卡1. 网卡的功能**page *1. 网卡的功能数据缓存 匹配主机数据处理速率与网络的传输速率 封装/解封装 加上控制字段→以帧为单位进行传输→卸下控制字段 介质访问控制 CSMA/CD、Token Passing 串/并转换 将主机的并行数据转换成串行位流 数据编码/解码 转换为适合网络介质传输的信号形式 数据发送/接收2. 网卡的结构**page *2. 网卡的结构发送/接收部件——负责信号的发送、接收 载波检测部件——检测介质上有否信号 发送/接收控制部件及数据缓冲区 曼彻斯特编码/解码器——对发送的数据编码，变换成适合于在LAN上传输的信号或把接收的信号解码为二进制数据 LAN管理部件 主机总线接口部件 CPU(部分网卡有)——增强网卡智能化，减少网络传输对 主机CPU的依赖，提高传输效率null**page * 网卡地址：即网卡的物理地址，或称为MAC地址， 固化在网卡硬件中（有些网卡可由用户修改） 配置参数 •全双工 / 半双工 •传输速率（仅10/100Mbps双速网卡可选） 3．网卡的配置参数null**page *4. 网络接口卡的种类5. 网卡的选择考虑的因素包括： LAN的类型：Ethernet、Token Ring、ATM、FDDI LAN的速度：10M/100M/1000M、4M/16M、25M/155M 网络接口类型：AUI/BNC、RJ-45、SC/ST/MT-RJ 主机总线类型：ISA、EISA、PCI、USB、PCMCIA 应用场合：服务器、工作站、笔记本 其他附加功能：PnP、防病毒、远程唤醒、链路聚合等以太网卡的类型**page *以太网卡的类型三个基本概念**page *三个基本概念广播 向网络上的所有设备发送数据 广播域 网络上所有能够接收到同样广播分组的设备的集合 冲突域 网络中的一部分，以网桥、交换机或者路由器为边界，在冲突域中任意两台主机同时发送数据都会产生冲突 一个广播域包含一个或多个冲突域null**page *7.2 中继器与集线器1. 中继器（Repeater） 工作在物理层 功能：信号整形和放大，在网段之间复制比特流 特点： 不进行存储——信号延迟小 不检查错误——会扩散错误 不对信息进行任何过滤 可进行介质转换——如UTP转换为光纤 用中继器连接的多个网段是一个冲突域 应用注意事项：不能构成环、应遵守以太网的3-4-5规则2. 集线器**page *2. 集线器多端口的中继器，工作在物理层 功能：在网段之间复制比特流，信号整形和放大 可认为它是将总线折叠到铁盒子中的集中连接设备 特点： 具有与中继器同样的特点 可改变网络物理拓扑形式：总线连接→星形连接 逻辑上仍是一个总线型共享介质网络 端口数：8，12，16，24集线器的类型：按是否可管理划分**page *集线器的类型：按是否可管理划分智能HUB 允许用网管软件对其进行管理的集线器，它内部包含有CPU等智能控制部件。 在需要进行网络管理的中大型网络系统中，一般都要求使用智能集线器（后面将要介绍的网络交换机也需要是智能化的）。 非智能（普通） HUB 不能用网管软件进行管理的集线器。 小型网络为降低成本，一般使用普通集线器。集线器的类型：按速度划分**page *集线器的类型：按速度划分传统集线器 传输速度为10Mb/s（10Base-T网络） 快速以太网集线器 传输速度为100Mb/s （100Base-T网络） 10/100M自适应集线器 传输速度自适应 内部有两个网段：10M和100M，集线器根据连接速度将主机连接到不同网段上。 网段之间用交换方式连接。 保护投资，便于升级 以集线器为核心的网络的特点**page *以集线器为核心的网络的特点所有主机共享带宽 无法限制冲突和广播 适用于小型网络例：用集线器搭建简单的网络**page *例：用集线器搭建简单的网络以1台服务器，3台PC机为例： 一台HUB 4块UTP接口的网卡 4台PC机 8个RJ45接头（水晶头） 若干米UTP双绞线 NICHUBUTPPC机服务器7.3 网桥与网络交换机**page *7.3 网桥与网络交换机交换技术教学片 共享信道LAN的缺点 冲突域中的多个站点同时发送会造成冲突； 因此实际带宽为3～4Mb/s（或30～40Mb/s） 网络中站点越多，冲突现象越严重； 网络总带宽BW ，由于共享信道使得每个站点的平均拥有带宽为BW/n。 解决的 提高网络传输速度——没有从根本上解决问题 网络分段（微网段化） 减少每个网段中站点的数量, 使冲突的概率减小； 增加了网络的总体带宽。 实现网络分段的设备：网桥、交换机、路由器 网桥和交换机可以隔离冲突域 路由器不仅可以隔离冲突域，还能隔离广播域null**page *网络分段示意广播域独立的冲突域独立的冲突域网桥或网络交换机交换机只能分隔冲突域，但不能分隔广播域HUB冲突域/广播域网段2网段1总带宽: BW*2 结点带宽: BW/4总带宽: BW 结点带宽: BW/81. 网桥**page *1. 网桥存储转发设备，工作在数据链路层 用网桥连接的多个网络对外呈现为一个单独的物理网络 具有惟一的网络地址 根据路径选择方法，有两种网桥： 透明网桥（Transparency Bridge） 由网桥负责路由选择，网桥和路由对站点透明 以太网中最常用 源选径网桥（Source Routing Bridge） 由源站点负责路由选择，网桥和路由对站点不透明透明网桥**page *透明网桥工作原理 网桥有寻址和路由选择能力，路由选择采用查法： 网桥内的转发表描述了到达每个站点的路由； 转发表主要由端口号和站点MAC地址组成。 工作原理 对于从端口收到的每个报文，查看其目的MAC地址，并与转发表对照： 若目的MAC地址在接收端口的表项中，则丢弃报文——过滤； 若目的MAC地址在某一端口的表项中，则把报文转发到与该端口连接的网段——交换（转发）； 若目的MAC地址不在表中，则向接收端口外的其他所有端口广播该报文——广播。透明网桥工作原理归纳为：基于转发表的过滤、转发和广播。网桥转发的例子：A→B， A→C**page *C网桥转发的例子：A→B， A→CBA转发表的建立**page *转发表的建立刚加电时转发表为空； 在转发过程中逆向自学习路由； 逆向学习——检查收到的报文的源MAC地址： 若收到的报文的源MAC地址不在转发表中，则插入到表中。 每个表项的生存期都是有限的： 在一段时间内未收到以同一MAC地址为源地址的报文时，该表项被删除，以适应网络拓扑的变化。 想一想：如前图，当刚打开电源时，若站点A向站点C发送了一个报文，网桥是如何转发该报文的？透明网桥需要解决的问题**page *透明网桥需要解决的问题循环连接，造成： 转发表振荡，报文无限循环，包丢失LAN1LAN2B1B2AB1212接口2又收到A发出的帧接口1收到A发出的帧接口1收到A发出的帧接口2又收到A发出的帧发往主机B的数据包会被两个网桥无休止地转发，这样会占用所有可能获取的网络带宽，导致网络阻塞。当透明网桥将改变各自的路由表以指明主机A在LAN2中时，恰巧主机B向主机A发送数据包，两个网桥接收到此数据包后，会将其丢弃，因为它们的转发表中指明主机A位于LAN2中。这样发给主机A的数据将会丢失。网桥的优缺点**page *网桥的优缺点优点： 可实现不同类型的LAN互连； 能够隔离错误帧，不会使错误扩散； 限制了冲突域的范围； 隔离故障。 缺点： 无法控制广播； 只能用存储转发方式，速度比较慢； 无流量控制，负载重时会出现丢帧现象。2. 网络交换机**page *2. 网络交换机网络交换机和网桥属同一类设备，工作在数据链路层上。但网络交换机的端口数多，并且交换速度快。在这个意义上，网络交换机可看作是多端口的高速网桥。 交换机比网桥优越的地方： 交换速度快，可实现线速转发； 能解决网络主干上的通信拥挤问题； 端口密度高，一台交换机可连接多个网段，降低了组网成本。 工作原理与网桥类似： 学习源地址（构造转发表） 过滤本网段帧（隔离冲突域） 转发异网段帧（交换） 广播未知帧（寻找目的站点）我公司宽带运营所用的交换机**page *我公司宽带运营所用的交换机交换机的特点**page *交换机的特点交换机通过内部的交换矩阵把网络划分为多个网段——每个端口为一个冲突域； 交换机能够同时在多对端口间无冲突地交换帧。例：交换网络的带宽**page *例：交换网络的带宽若交换机每个端口带宽为BW，则交换机构成的网络 网络总带宽 ＝ (BW*n)/2 ～ BW*n n＝8，BW=10Mb/s时，网络总带宽最高可达80Mb/s； 连接到交换机端口上的每台计算机的带宽为10Mb/s 。 比较： 10Mb/s 的8口集线器构成的网络（连接了8台计算机） 网络总带宽仍为10Mb/s ； 网络中每台计算机的带宽为1.25Mb/s。 使用网络交换机的好处**page *使用网络交换机的好处分割冲突（碰撞）域——减少了冲突； 允许建立多个连接——提高了网络总体带宽； 减少每个网段中的站点数——提高了站点平均拥有带宽； 允许全双工连接——提高带宽； 能够连接不同速度的网段。网络交换机应用中的问题**page *网络交换机应用中的问题主干/服务器连接 增加1-2个高速端口(Big Pipe)。缓解主干/服务器连接的瓶颈问题。 自动协商： 速度自动协商：10/100Mbps自适应交换机。 半双工/全双工自动协商。 流量控制——背压技术（Back Pressure） 缓冲区大小有限，为防止溢出（帧丢失），快满时向信息到达端口发送拥塞信号，造成冲突的假象，使发送站点停止发送。 根据错误帧出现概率自动在存储转发方式和直通转发方式之间进行切换。网络交换机的应用场合**page *网络交换机的应用场合作为LAN核心主干连接设备，如网络中心、数据中心等； 网络通信流量很大的应用场合，如图像处理、视频流等； 对网络响应速度要求比较高的场合。以网桥/交换机为核心的网络的特点**page *以网桥/交换机为核心的网络的特点每个网段独享带宽 最佳可达到每台主机独享带宽 可以限制冲突，但不能限制广播 有可能产生广播风暴 适用于小型网络到大型园区网络 大型网络中需解决广播问题null**page *企业网络结构示意图虚拟局域网（VLAN）**page *虚拟局域网（VLAN）是一种网络构造和用户的组织形式： 通过交换机（或路由器）划分； 由网段和站点构成的逻辑工作组。 用交换机划分的若干个VLAN在逻辑上完全独立（可看作是分离的物理网络），广播帧不会越过逻辑网络边界，即：VLAN限制了广播域的范围。 VLAN可跨越交换机。 同一VLAN中的成员不受物理位置的限制而像处于同一个局域网中那样互相访问。VLAN示意**page *VLAN示意VLAN能够隔离（限制）广播域**page *VLAN能够隔离（限制）广播域VLAN划分前，整个网络都在一个广播域中VLAN能够隔离（限制）广播域**page *VLAN能够隔离（限制）广播域VLAN划分后，网络被分割成几个较小的广播域VLAN的优点**page *VLAN的优点提高管理效率 站点的物理位置改变无需重新布线和配置 用户性质改变后很容易通过软件将其从一个VLAN划分到另一个VLAN 控制广播数据 增强了网络的安全性 实现虚拟工作组 用户的工作地点不必在同一个物理地点 可在企业内建立灵活的、动态化的组织结构VLAN划分的方法**page *VLAN划分的方法基于端口（静态划分） 根据端口号划分VLAN 基于MAC地址（动态划分） 根据用户计算机的MAC地址划分VLAN 基于网络地址或网络类型（动态） 根据用户计算机的IP地址划分VLAN主干(Trunk)的概念**page *主干(Trunk)的概念主干用于实现跨交换机的VLAN，它是指交换机之间用于传输多个VLAN信息的链路 主干上传输的数据包加上特殊标签（通常是802.1q和Cisco的ISL等）——称为贴标签（Tagging）VLAN的Tagging操作**page *VLAN的Tagging操作VLAN间通信**page *VLAN间通信不同VLAN间的计算机即使连在同一台交换机上也不能互相通信 VLAN间通信只能通过第三层设备实现 路由器 三层交换机7.4 路由器Router**page *7.4 路由器Router工作在OSI第三层（网络层）。 功能： 在网络之间转发网络分组； 为网络分组寻找最佳传输路径； 实现子网隔离，限制广播风暴。(目的地址无法识别时，路由器将其丢弃，而不是广播——比较网络交换机) 提供逻辑地址，以识别互联网上的主机； 提供广域网服务。 应用：把LAN连入广域网或作为广域网的核心连接设备。路由器与交换机的主要区别： 用路由器连接起来的若干个网络，它们仍是各自独立的。要想从一个网络访问用路由器连接起来的另一个网络中的站点，必须指定该站点的逻辑地址（IP地址），通过广播是无法与之进行通信的。null**page *用路由器进行网络互联路由器冲突域2冲突域1路由器可以隔离冲突域和广播域冲突域3广播域2广播域1路由表**page *路由表路由器如何确定最佳路由？——路由表（Routing Table） 路由表是保存到达其他网络的路由信息的数据库 包含目的网络地址（号）、传输路径、传输开销等 根据目的网络地址查找路由表并确定分组转发路径的过程称为路由选择（Routing）。 路由表的信息随网络拓扑的变化而变化——建立、更新路由表的算法称为路由算法（Routing Algorithm）： 网络中的每个路由器都会根据路由算法定时地或在网络拓扑发生变化时更新其路由表； 静态路由：由网络管理员预先手工设置路由信息； 动态路由：由路由器在运行时动态地建立与更新。 自动学习、记忆网络的变化并根据路由算法重新计算路由的协议称为路由选择协议（Routing Protocol）。路由表的例子**page *路由表的例子2.0ABnull**page *路由表的基本172.16.2.0172.16.1.0172.16.4.0AB路由器A的路由表.3.1.2.3路径：用下一路由器对应端口的IP地址来表示。 路径成本/开销：用线路速度、距离或跨越的路由器的个数（步跳数）、成本、线路可靠性等表示。（大多数情况下用步跳数来表示）路由表的基本内容（续）**page *路由表的基本内容（续）注意：路由器是根据网络号来转发IP数据包的，所以路由表中存放的是目的网络号，而不是目的主机号。 类比：邮政局在城市间转发信件依据的是城市名。 这样做的优点是路由表小（网络的数目要比主机少的多），节省路由器的存储空间，路由表的路由更新速度快。路由器的路由选择过程**page *路由器的路由选择过程也采用存储转发的方法： 接收并缓存IP数据分组； 提取分组中的目的主机的IP地址； 计算目的主机所在的网络地址； 用目的网络地址查找路由表决定转发路径： 如果目的网络地址就是与输入接口连接的网络，则丢弃； 如果目的网络地址就是与输出接口连接的网络，则直接递交； 如果找到匹配项，则通过对应接口转发出去； 如果有默认路径，则通过与默认路径对应的接口转发出去； 未查到，丢弃该分组。 比较： 交换机也用查表的方法决定转发路径，但该表是“端口-MAC地址”表，存放的是端口与目的MAC地址之间的关系，要用帧中的MAC地址查表； 而路由器中的路由表是“端口-网络地址”表，存放的是端口与目的网络地址之间的关系，故要从分组中提取IP地址，并解析出其中的网络地址部分来查表。路由器的结构**page *路由器的结构路由处理器 CPU、RAM、IOS 路由表 协议软件 网络接口（LAN、WAN、CONSOLE） 输入接口，输出接口 交换结构（Switching Fabric） null**page *外部网络接口 LAN接口：一个或多个Ethernet WAN接口：一个或多个Sync/Async Serial 拨号类接口：BRI，PRI等 控制台CONSOLE输入端口的功能**page *输入端口的功能数据链路层: 如以太网等物理层: 位的接收分散化的交换: 给定数据报目的地址, 在路由表中查找输出端口 目标: 以线速实现输入端口处理； 排队: 若数据报到达太快，来不及处理时。输出端口缓冲的作用**page *输出端口缓冲的作用 当来自于交换引擎的数据报太多以至于来不及发送时就需要进行缓冲处理。否则输出端口缓冲溢出会引起排队延迟和分组丢失（如右下图）!路由器的优缺点**page *路由器的优缺点优点 限制了冲突域； 可以用于LAN 或WAN的环境； 可以连接不同介质的网络和不同体系结构的网络； 可以为分组确定传输的最佳路径； 可以过滤广播信息。 缺点 昂贵； 必须用于可路由协议网络； 配置复杂； 处理速度比桥接器慢。防火墙定义**page *防火墙定义 一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。 防火墙定义**page *防火墙定义两个安全域之间通信流的唯一通道 null**page *软件防火墙硬件防火墙按形态分类按保护对象分类各种类型的防火墙保护整个网络保护单台主机网络防火墙单机防火墙null**page *硬件防火墙&软件防火墙硬件防火墙软件防火墙仅获得Firewall软件，需要准备额外的OS平台 安全性依赖低层的OS 网络适应性弱（主要以路由模式工作） 稳定性高 软件分发、升级比较方便硬件+软件，不用准备额外的OS平台 安全性完全取决于专用的OS 网络适应性强（支持多种接入模式） 稳定性较高 升级、更新不太灵活null**page *我公司宽带网络运营示意图EPON接入用户以太网接入华为Ma5605T华为S3300华为S9300华为ME60华为NE80Eudemon500用户数据VLAN tag用户数据VLAN tagVLAN tagVLAN tagVLAN tag华为HE813E汇聚所以接入设备的信息计费认证（用户是否合法）汇聚各局点ME60的数据