【正文】 2 1 67 演講完畢，謝謝觀看！ 。 網(wǎng)絡(luò)互聯(lián)的基本設(shè)備有網(wǎng)橋、路由器和網(wǎng)關(guān)。 網(wǎng)關(guān)的基本類型 網(wǎng)關(guān)可用于不同體系結(jié)構(gòu)的局域網(wǎng)與主機(jī)系統(tǒng)的連接，在互聯(lián)設(shè)備中，它是最復(fù)雜的。 3 安全型網(wǎng)關(guān)： 對(duì)數(shù)據(jù)包的原地址、目的地址、端口號(hào)、網(wǎng)絡(luò)協(xié)議進(jìn)行過濾， 對(duì)那些沒有許可權(quán)的數(shù)據(jù)包進(jìn)行攔截或丟棄。雙邊網(wǎng)關(guān)進(jìn)行兩種協(xié)議的轉(zhuǎn)換；多邊網(wǎng)關(guān)實(shí)現(xiàn)多種協(xié)議之間的轉(zhuǎn)換。 應(yīng)用層互聯(lián)設(shè)備 63 ⑵ 制定標(biāo)準(zhǔn)的網(wǎng)間報(bào)文格式： 將進(jìn)入網(wǎng)關(guān)的報(bào)文格式轉(zhuǎn)換為標(biāo)準(zhǔn)的網(wǎng)間報(bào)文格式 ,在輸出端再由網(wǎng)間報(bào)文格式轉(zhuǎn)換為另一網(wǎng)絡(luò)的報(bào)文格式，如圖所示 。顯然，網(wǎng)關(guān)互聯(lián)的網(wǎng)絡(luò)數(shù)越多，編寫協(xié)議轉(zhuǎn)換程序模塊的工作量越大 。實(shí)現(xiàn)網(wǎng)絡(luò)協(xié)議轉(zhuǎn)換的方法有以下兩種： ⑴ 直接轉(zhuǎn)換： 將進(jìn)入網(wǎng)關(guān)的報(bào)文格式直接轉(zhuǎn)換成輸出網(wǎng)絡(luò)的報(bào)文格式，如下頁圖（ a）所示。 ⑶ 協(xié)議轉(zhuǎn)換： 通過中間網(wǎng)絡(luò)設(shè)備改變數(shù)據(jù)的封裝格式，以保證不同協(xié)議格式的系統(tǒng)之間可以進(jìn)行通信。網(wǎng)關(guān)支持不同協(xié)議之間的通信的方式有 3種： ⑴ 遠(yuǎn)端業(yè)務(wù)協(xié)議封裝： 外部業(yè)務(wù)數(shù)據(jù)采用本地網(wǎng)絡(luò)數(shù)據(jù)格式進(jìn)行封裝，當(dāng)數(shù)據(jù)到達(dá)接收端用戶后，去掉本地網(wǎng)絡(luò)的封裝格式，將原有的數(shù)據(jù)內(nèi)容提交給應(yīng)用系統(tǒng)。 應(yīng)用層互聯(lián)設(shè)備 61 網(wǎng)關(guān) 網(wǎng)關(guān)的主要功能 網(wǎng)關(guān)的主要作用是實(shí)現(xiàn)不同網(wǎng)絡(luò)傳輸協(xié)議的翻譯和轉(zhuǎn)換工作。與防火墻聯(lián)動(dòng)，更有效地阻斷所發(fā)生的攻擊事件，從而使網(wǎng)絡(luò)隱患降至較低限度。 IDS是 Intrusion Detection System的縮寫，即入侵檢測(cè)系統(tǒng)，主要用于檢測(cè)黑客（ Hacker或 Cracke）通過網(wǎng)絡(luò)進(jìn)行的入侵行為。與此同時(shí)，目前的網(wǎng)絡(luò)環(huán)境也變得越來越復(fù)雜，各式各樣的復(fù)雜的設(shè)備，需要不斷升級(jí)、補(bǔ)漏的系統(tǒng)使得網(wǎng)絡(luò)管理員的工作不斷加重，不經(jīng)意的疏忽便有可能造成重大的安全隱患。公司一般采用防火墻作為安全的第一道防線。典型信任的區(qū)域包括互聯(lián)網(wǎng)（一個(gè)沒有信任的區(qū)域）和一個(gè)內(nèi)部網(wǎng)絡(luò)（一個(gè)高信任的區(qū)域）。 ⑶防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力： 這是防火墻之所以能擔(dān)當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò)安全防護(hù)重任的先決條件。 使用第三層交換機(jī)作為主干的校園網(wǎng) VLAN1 VLAN3 VLAN1 VLAN3 VLAN4 VLAN4 Cisco 2950 Cisco 2948GL3 Cisco 2950 Cisco 2950 Cisco 2950 VLAN1 VLAN2 VLAN2 VLAN4 VLAN1 VLAN2 網(wǎng)絡(luò)層互聯(lián)設(shè)備 57 防火墻 防火墻的基本特性 典型的防火墻具有以下三個(gè)方面的基本特性： ⑴內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻 ： 這是防火墻所處網(wǎng)絡(luò)位置特性，只有當(dāng)防火墻是內(nèi)、外部網(wǎng)絡(luò)之間通信的唯一通道，才可以全面、有效地保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)不受侵害。因此，在交換機(jī)不斷發(fā)展的過程中，出現(xiàn)了將第二層交換和第三層路由相結(jié)合的設(shè)備，這就是第三層交換機(jī)，也被稱作 “ 路由交換機(jī) ” 。 網(wǎng)絡(luò)層互聯(lián)設(shè)備 55 三層交換機(jī) 第三層交換技術(shù)的引入 第二層交換技術(shù)能夠克服網(wǎng)絡(luò)帶寬的局限，并提供靈活的網(wǎng)絡(luò)配置。 ⑶ 單協(xié)議路由器和多協(xié)議路由器： 僅支持單一路由協(xié)議的路由器被稱為單協(xié)議路由器 ,它所連接的兩個(gè)網(wǎng)絡(luò)的網(wǎng)絡(luò)層的路由協(xié)議必須一樣 。 ⑵ 靜態(tài)路由器和動(dòng)態(tài)路由器： 靜態(tài)路由器需要管理員來修改所有網(wǎng)絡(luò)的路由表 ,它一般只用于小型的網(wǎng)間互聯(lián) 。 網(wǎng)絡(luò)層互聯(lián)設(shè)備 53 路由器1 路由器3 路由器的工作原理 路由器是在網(wǎng)絡(luò)層實(shí)現(xiàn)多個(gè)網(wǎng)絡(luò)互聯(lián)的設(shè)備，它除了應(yīng)具有網(wǎng)橋的功能外，還具有路徑選擇功能，下圖給出了用三個(gè)路由器實(shí)現(xiàn)互聯(lián)的四個(gè)不同類型的網(wǎng)絡(luò)。 4 安全訪問控制功能： 路由器具有加密和優(yōu)先級(jí)等處理功能，能有效地利用帶寬資源 , 并能利用數(shù)據(jù)過濾限定特定數(shù)據(jù)的轉(zhuǎn)發(fā)。 2 隔離廣播風(fēng)暴功能： 將網(wǎng)絡(luò)分成各自獨(dú)立的廣播網(wǎng)域，使網(wǎng)絡(luò)中的廣播通信量限定在某一局部，避免廣播風(fēng)暴的形成。 Ether FDDI Token Bus Token Ring 路由器 1 路由器 3 路由器 2 路由器 4 路由器與網(wǎng)關(guān)是局域網(wǎng)與廣域網(wǎng)互聯(lián)的主要設(shè)備。 集線器只能工作在半雙工模式下 ,交換機(jī) 可以工作在全雙工模式下。 OSI體系結(jié)構(gòu) 工作方式 工作帶寬 集線器屬于 OSI的第 1層物理層設(shè)備，而 交換機(jī)屬于 OSI的第 2層數(shù)據(jù)鏈路層設(shè)備 。 ⑶ 按結(jié)構(gòu)形式劃分： 可分為獨(dú)立式交換機(jī) 、 堆疊式交換機(jī)和模塊式交換機(jī) 。廣域網(wǎng)交換機(jī)主要應(yīng)用于電信領(lǐng)域 ,提供通信基礎(chǔ)平臺(tái)；局域網(wǎng)交換機(jī)則應(yīng)用于局域網(wǎng)絡(luò) ， 用于連接終端設(shè)備 。按應(yīng)用領(lǐng)域劃分： 1 直接交換方式 2 存儲(chǔ)轉(zhuǎn)發(fā)方式 改進(jìn)的直接交換方式 3 數(shù)據(jù)鏈路層互聯(lián)設(shè)備 49 交換機(jī)的基本類型 自 1993年局域網(wǎng)交換機(jī)出現(xiàn)后 ,隨著交換機(jī)技術(shù)的發(fā)展 ， 其產(chǎn)品的類型也越來越多 ， 通常分類方法有 3種 。 通過 MAC地址表轉(zhuǎn)發(fā)數(shù)據(jù) MAC地址表 E0: E2: E1: E3: E3 E2 E0 E1 A C B D 數(shù)據(jù)鏈路層互聯(lián)設(shè)備 48 ⑵ 交換機(jī)的幀轉(zhuǎn)發(fā)方式：早期的交換機(jī)采用靜態(tài)交換方式，即端口連接通道是不變的 ,它由人工預(yù)先進(jìn)行配置。交換機(jī)獲得到了所有終端的 MAC地址，并建立了對(duì)應(yīng)關(guān)系表，如下圖所示。 交換機(jī)的 MAC地址表為空表 MAC地址表 （開機(jī)時(shí)， MAC 地址表是空的） E3 E2 E0 E1 A C B D 數(shù)據(jù)鏈路層互聯(lián)設(shè)備 45 ② 當(dāng)終端 A第一次向終端 C發(fā)送數(shù)據(jù)幀時(shí)，由于首次發(fā)送時(shí)不知道終端 C在何處，所以向其它各端口復(fù)制轉(zhuǎn)發(fā)這個(gè)數(shù)據(jù)幀，這個(gè)過程稱為泛洪，如下圖所示。 下面以實(shí)例說明交換機(jī) MAC地址表的建立過程。 (1) MAC地址表： 集線器雖然也能組網(wǎng) ,但僅起到物理層的電信號(hào)放大作用，需要通過網(wǎng)絡(luò)上層的幫助才能完成將數(shù)據(jù)幀轉(zhuǎn)發(fā)到目的計(jì)算機(jī)，這樣會(huì)降低數(shù)據(jù)傳輸?shù)男省? 數(shù)據(jù)鏈路層互聯(lián)設(shè)備 42 交換機(jī)的最大特點(diǎn)是可以將一個(gè)局域網(wǎng)劃分成多個(gè)端口 ,每個(gè)端口可以構(gòu)成一個(gè)網(wǎng)段 ,扮演著一個(gè)網(wǎng)橋的角色 ,而且每一個(gè)連接到交換機(jī)上的設(shè)備都可以享用自己的專用帶寬。 交換機(jī)的主要功能 交換機(jī)大多工作數(shù)據(jù)鏈路層 ,其功能是對(duì)封裝數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)，在端口之間建立并行的連接，以縮小沖突域，并隔離廣播風(fēng)暴。 數(shù)據(jù)鏈路層互聯(lián)設(shè)備 41 交換機(jī) 交換機(jī) (Switch)也稱為交換器活交換式集線器，是專門為計(jì)算機(jī)之間能夠相互通信且獨(dú)享帶寬而設(shè)計(jì)的一種包交換設(shè)備。而網(wǎng)橋則只用 MAC地址和物理拓?fù)溥M(jìn)行工作。網(wǎng)橋通常比路由器難控制。 網(wǎng)橋并不了解其轉(zhuǎn)發(fā)幀中高層協(xié)議的信息，這使它可以同時(shí)以同種方式處理 IP、 IPX等協(xié)議，它還提供了將無路由協(xié)議的網(wǎng)絡(luò)（如 NetBEUI）分段的功能。 數(shù)據(jù)鏈路層互聯(lián)設(shè)備 39 網(wǎng)橋與其它設(shè)備比較 ① 網(wǎng)橋與中繼器 ② 網(wǎng)橋的存儲(chǔ)和轉(zhuǎn)發(fā)功能與中繼器相比有優(yōu)點(diǎn)也有缺點(diǎn)，其優(yōu)點(diǎn)是： 1）使用網(wǎng)橋進(jìn)行互連克服了物理限制，這意味著構(gòu)成 LAN 的數(shù)據(jù)站總數(shù)和網(wǎng)段數(shù)很容易擴(kuò)充； 2）網(wǎng)橋納入存儲(chǔ)和轉(zhuǎn)發(fā)功能可使其適應(yīng)于連接使用不同 MAC 協(xié)議的兩個(gè) LAN，因而構(gòu)成一個(gè)不同 LAN 混連在一起的混合網(wǎng)絡(luò)環(huán)境； 3）網(wǎng)橋的中繼功能僅僅依賴于 MAC 幀的地址，因而對(duì)高層協(xié)議完全透明； 4）網(wǎng)橋?qū)⒁粋€(gè)較大的 LAN 分成段，有利于改善可靠性、可用性和安全性。 5 本地橋和遠(yuǎn)程橋： 本地網(wǎng)橋用于連接近距離局域網(wǎng)；遠(yuǎn)程網(wǎng)橋具有廣域網(wǎng)連接能力，實(shí)現(xiàn)局域網(wǎng)的遠(yuǎn)程連接，如無線網(wǎng)橋。 3 MAC網(wǎng)橋： 是工作在介質(zhì)訪問控制子層的網(wǎng)絡(luò)互聯(lián)設(shè)備，它