【正文】 靠性、可用性和安全性。網(wǎng)橋通常比路由器難控制。 數(shù)據(jù)鏈路層互聯(lián)設(shè)備 41 交換機 交換機 (Switch)也稱為交換器活交換式集線器，是專門為計算機之間能夠相互通信且獨享帶寬而設(shè)計的一種包交換設(shè)備。 數(shù)據(jù)鏈路層互聯(lián)設(shè)備 42 交換機的最大特點是可以將一個局域網(wǎng)劃分成多個端口 ,每個端口可以構(gòu)成一個網(wǎng)段 ,扮演著一個網(wǎng)橋的角色 ,而且每一個連接到交換機上的設(shè)備都可以享用自己的專用帶寬。 下面以實例說明交換機 MAC地址表的建立過程。交換機獲得到了所有終端的 MAC地址，并建立了對應(yīng)關(guān)系表，如下圖所示。按應(yīng)用領(lǐng)域劃分： 1 直接交換方式 2 存儲轉(zhuǎn)發(fā)方式 改進的直接交換方式 3 數(shù)據(jù)鏈路層互聯(lián)設(shè)備 49 交換機的基本類型 自 1993年局域網(wǎng)交換機出現(xiàn)后 ,隨著交換機技術(shù)的發(fā)展 ， 其產(chǎn)品的類型也越來越多 ， 通常分類方法有 3種 。 ⑶ 按結(jié)構(gòu)形式劃分： 可分為獨立式交換機 、 堆疊式交換機和模塊式交換機 。 集線器只能工作在半雙工模式下 ,交換機 可以工作在全雙工模式下。 2 隔離廣播風(fēng)暴功能： 將網(wǎng)絡(luò)分成各自獨立的廣播網(wǎng)域，使網(wǎng)絡(luò)中的廣播通信量限定在某一局部，避免廣播風(fēng)暴的形成。 網(wǎng)絡(luò)層互聯(lián)設(shè)備 53 路由器1 路由器3 路由器的工作原理 路由器是在網(wǎng)絡(luò)層實現(xiàn)多個網(wǎng)絡(luò)互聯(lián)的設(shè)備，它除了應(yīng)具有網(wǎng)橋的功能外，還具有路徑選擇功能，下圖給出了用三個路由器實現(xiàn)互聯(lián)的四個不同類型的網(wǎng)絡(luò)。 ⑶ 單協(xié)議路由器和多協(xié)議路由器： 僅支持單一路由協(xié)議的路由器被稱為單協(xié)議路由器 ,它所連接的兩個網(wǎng)絡(luò)的網(wǎng)絡(luò)層的路由協(xié)議必須一樣 。因此，在交換機不斷發(fā)展的過程中，出現(xiàn)了將第二層交換和第三層路由相結(jié)合的設(shè)備，這就是第三層交換機，也被稱作 “ 路由交換機 ” 。 ⑶防火墻自身應(yīng)具有非常強的抗攻擊免疫力： 這是防火墻之所以能擔(dān)當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò)安全防護重任的先決條件。公司一般采用防火墻作為安全的第一道防線。 IDS是 Intrusion Detection System的縮寫，即入侵檢測系統(tǒng)，主要用于檢測黑客（ Hacker或 Cracke）通過網(wǎng)絡(luò)進行的入侵行為。 應(yīng)用層互聯(lián)設(shè)備 61 網(wǎng)關(guān) 網(wǎng)關(guān)的主要功能 網(wǎng)關(guān)的主要作用是實現(xiàn)不同網(wǎng)絡(luò)傳輸協(xié)議的翻譯和轉(zhuǎn)換工作。 ⑶ 協(xié)議轉(zhuǎn)換： 通過中間網(wǎng)絡(luò)設(shè)備改變數(shù)據(jù)的封裝格式，以保證不同協(xié)議格式的系統(tǒng)之間可以進行通信。顯然，網(wǎng)關(guān)互聯(lián)的網(wǎng)絡(luò)數(shù)越多，編寫協(xié)議轉(zhuǎn)換程序模塊的工作量越大 。雙邊網(wǎng)關(guān)進行兩種協(xié)議的轉(zhuǎn)換；多邊網(wǎng)關(guān)實現(xiàn)多種協(xié)議之間的轉(zhuǎn)換。 網(wǎng)關(guān)的基本類型 網(wǎng)關(guān)可用于不同體系結(jié)構(gòu)的局域網(wǎng)與主機系統(tǒng)的連接，在互聯(lián)設(shè)備中，它是最復(fù)雜的。 2 1 67 演講完畢，謝謝觀看！ 。 網(wǎng)絡(luò)互聯(lián)的基本設(shè)備有網(wǎng)橋、路由器和網(wǎng)關(guān)。 3 安全型網(wǎng)關(guān)： 對數(shù)據(jù)包的原地址、目的地址、端口號、網(wǎng)絡(luò)協(xié)議進行過濾， 對那些沒有許可權(quán)的數(shù)據(jù)包進行攔截或丟棄。 應(yīng)用層互聯(lián)設(shè)備 63 ⑵ 制定標(biāo)準(zhǔn)的網(wǎng)間報文格式： 將進入網(wǎng)關(guān)的報文格式轉(zhuǎn)換為標(biāo)準(zhǔn)的網(wǎng)間報文格式 ,在輸出端再由網(wǎng)間報文格式轉(zhuǎn)換為另一網(wǎng)絡(luò)的報文格式，如圖所示 。實現(xiàn)網(wǎng)絡(luò)協(xié)議轉(zhuǎn)換的方法有以下兩種： ⑴ 直接轉(zhuǎn)換： 將進入網(wǎng)關(guān)的報文格式直接轉(zhuǎn)換成輸出網(wǎng)絡(luò)的報文格式，如下頁圖（ a）所示。網(wǎng)關(guān)支持不同協(xié)議之間的通信的方式有 3種： ⑴ 遠端業(yè)務(wù)協(xié)議封裝： 外部業(yè)務(wù)數(shù)據(jù)采用本地網(wǎng)絡(luò)數(shù)據(jù)格式進行封裝，當(dāng)數(shù)據(jù)到達接收端用戶后，去掉本地網(wǎng)絡(luò)的封裝格式，將原有的數(shù)據(jù)內(nèi)容提交給應(yīng)用系統(tǒng)。與防火墻聯(lián)動，更有效地阻斷所發(fā)生的攻擊事件，從而使網(wǎng)絡(luò)隱患降至較低限度。與此同時，目前的網(wǎng)絡(luò)環(huán)境也變得越來越復(fù)雜，各式各樣的復(fù)雜的設(shè)備，需要不斷升級、補漏的系統(tǒng)使得網(wǎng)絡(luò)管理員的工作不斷加重，不經(jīng)意的疏忽便有可能造成重大的安全隱患。典型信任的區(qū)域包括互聯(lián)網(wǎng)（一個沒有信任的區(qū)域）和一個內(nèi)部網(wǎng)絡(luò)（一個高信任的區(qū)域）。 使用第三層交換機作為主干的校園網(wǎng) VLAN1 VLAN3 VLAN1 VLAN3 VLAN4 VLAN4 Cisco 2950 Cisco 2948GL3 Cisco 2950 Cisco 2950 Cisco 2950 VLAN1 VLAN2 VLAN2 VLAN4 VLAN1 VLAN2 網(wǎng)絡(luò)層互聯(lián)設(shè)備 57 防火墻 防火墻的基本特性 典型的防火墻具有以下三個方面的基本特性： ⑴內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻 ： 這是防火墻所處網(wǎng)絡(luò)位置特性，只有當(dāng)防火墻是內(nèi)、外部網(wǎng)絡(luò)之間通信的唯一通道，才可以全面、有效地保護企業(yè)內(nèi)部網(wǎng)絡(luò)不受侵害。 網(wǎng)絡(luò)層互聯(lián)設(shè)備 55 三層交換機 第三層交換技術(shù)的引入 第二層交換技術(shù)能夠克服網(wǎng)絡(luò)帶寬的局限，并提供靈活的網(wǎng)絡(luò)配置。 ⑵ 靜態(tài)路由器和動態(tài)路由器： 靜態(tài)路由器需要管理員來修改所有網(wǎng)絡(luò)的路由表 ,它一般只用于小型的網(wǎng)間互聯(lián) 。 4 安全訪問控制功能： 路由器具有加密和優(yōu)先級等處理功能，能有效地利用帶寬資源 , 并能利用數(shù)據(jù)過濾限定特定數(shù)據(jù)的轉(zhuǎn)發(fā)。 Ether FDDI Token Bus Token Ring 路由器 1 路由器 3 路由器 2 路由器 4 路由器與網(wǎng)關(guān)是局域網(wǎng)與廣域網(wǎng)互聯(lián)的主要設(shè)備。 OSI體系結(jié)構(gòu) 工作方式 工作帶寬 集線器屬于 OSI的第 1層物理層設(shè)備，而 交換機屬于 OSI的第 2層數(shù)據(jù)鏈路層設(shè)備 。廣域網(wǎng)交換機主要應(yīng)用于電信領(lǐng)域 ,提供通信基礎(chǔ)平臺；局域網(wǎng)交換機則應(yīng)用于局域網(wǎng)絡(luò) ， 用于連接終端設(shè)備 。 通過 MAC地址表轉(zhuǎn)發(fā)數(shù)據(jù) MAC地址表 E0: E2: E1: E3: E3 E2 E0 E1 A C B D 數(shù)據(jù)鏈路層互聯(lián)設(shè)備 48 ⑵ 交換機的幀轉(zhuǎn)發(fā)方式：早期的交換機采用靜態(tài)交換方式，即端口連接通道是不變的 ,它由人工預(yù)先進行配置。 交換機的 MAC地址表為空表 MAC地址表 （開機時， MAC 地址表是空的） E3 E2 E0 E1 A C B D 數(shù)據(jù)鏈路層互聯(lián)設(shè)備 45 ② 當(dāng)終端 A第一次向終端 C發(fā)送數(shù)據(jù)幀時，由于首次發(fā)送時不知道終端 C在何處，所以向其它各端口復(fù)制轉(zhuǎn)發(fā)這個數(shù)據(jù)幀，這個過程稱為泛洪，如下圖所示。 (1) MAC地址表： 集線器雖然也能組網(wǎng) ,但僅起到物理層的電信號放大作用，需要通過網(wǎng)絡(luò)上層的幫助才能完成將數(shù)據(jù)幀轉(zhuǎn)發(fā)到目的計算機，這樣會降低數(shù)據(jù)傳輸?shù)男省? 交換機的主要功能 交換機大多工作數(shù)據(jù)鏈路層 ,其功能是對封裝數(shù)據(jù)進行轉(zhuǎn)發(fā)，在端口之間建立并行的連接，以縮小沖突域，并隔離廣播風(fēng)暴。而網(wǎng)橋則只用 MAC地址和物理拓撲進行工作。 網(wǎng)橋并不了解其轉(zhuǎn)發(fā)幀中高層協(xié)議的信息，這使它可以同時以同種方式處理 IP、 IPX等協(xié)議，它還提供了將無路由協(xié)議的網(wǎng)絡(luò)（如 NetBEUI）分段的功能。 5 本地橋和遠程橋： 本地網(wǎng)橋用于連接近距離局域網(wǎng)；遠程網(wǎng)橋具有廣域網(wǎng)連接能力，實現(xiàn)局域網(wǎng)的遠程連接，如無線網(wǎng)橋。 網(wǎng)橋工作原理示意圖 LAN1 LAN2 結(jié)點104 結(jié)點103 結(jié)點201 結(jié)點202 網(wǎng)橋 104 Data 104 Data 數(shù)據(jù)鏈路層互聯(lián)設(shè)備 37 網(wǎng)橋的基本類型 1 透明網(wǎng)橋： 通過一個內(nèi)部轉(zhuǎn)發(fā)地址進行路徑選擇，它的存在和操作對網(wǎng)絡(luò)站點是完全透明的，故稱它為透明橋。 網(wǎng)橋的主要功能 ⑴ 接收與學(xué)習(xí)功能： 當(dāng)網(wǎng)橋接收到一個信息包時 ， 它會查看信息幀的源