幾乎每個網絡都有交換機、路由器和防火牆這3種基本設備,本文將詳細解析這3種設備的原理及它們之間的區別。
交換機——橋接網絡設備
在區域網(LAN)中,交換機類似於城市中的立交橋,它的主要功能是橋接其他網絡設備(路由器、防火牆和無線接入點),並連接客戶端設備(計算機、伺服器、網絡攝像機和IP印表機)。
簡而言之,交換機可以為網絡上所有的不同設備提供一個中心連接點。
交換機的工作原理
MAC地址通常由網卡(NIC)決定,並且每個網卡、交換機和路由器的每個埠都有唯一的MAC地址。交換機從數據幀中查找源MAC和目的MAC,並將在某個交換機埠上看到的MAC地址保存在表中。
如果接收到表中沒有目的MAC地址,則會將幀泛洪到所有的交換機埠,這個過程被稱為廣播。當接收到響應時,則會將MAC地址放在表中,下一次不再泛洪。
路由器——接入網際網路
路由器也被稱為網關設備,它通常被用來路由不同網絡之間的數據包,也會根據信道的情況自動選擇和設定路由,並將您的網絡與Internet連接起來。事實上,網際網路是由成千上萬個路由器組成的。
路由器的工作原理
路由器檢查每個數據包的源IP位址和目的IP位址,並在IP路由表中查找數據包的目的地,再一遍又一遍地將數據包路由到另一個路由器或交換機上,直到到達目的IP位址並作出回應。
當有多種方式都可以到達目的IP位址時,路由器可以巧妙地選擇最經濟快捷的方式。當路由表中沒有列出報文的目的地時,報文將被發送到默認路由器(如果有的話),如果數據包沒有目的地,它將被丟棄。
通常情況下,路由器由Internet服務提供商(ISP)提供,並且 Internet 服務提供商會為您分配一個公共的路由器IP位址。當瀏覽網際網路時,公共的IP位址會被識別為是外界IP位址,而私有IP位址會受到保護。
然而,桌面、筆記本電腦、iPad、電視媒體盒和網絡複印機的私有 IP 地址完全不同,否則,路由器無法識別每個設備的請求。
路由器的作用
路由器在不同的網絡之間進行轉換。除了最常用的乙太網,還有許多其他不同的網絡,如ATM和令牌環網。網絡會以不同的方法封裝數據,因此它們不能直接通信,而路由器可以從不同的網絡「轉換」這些數據包,以便不同網絡之間能夠更有效地傳輸數據。
路由器可以減少網絡混亂。若沒有路由器,廣播將轉發到每個設備的每個埠,並由每個設備處理。當廣播數量太大時,整個網絡都會比較混亂,這時候路由器將網絡細分為兩個或多個由其連接的較小的網絡,並且不允許廣播在子網之間傳輸。
交換機和路由器的區別
由於三層交換機能夠進行路由,因此有人可能會問如果網絡中有三層交換機,那麼是不是不需要路由器?答案是依然需要路由器。每個設備都有自己的功能,要不要路由器取決於很多因素。
一方面,對於具有10-100個用戶的小型網絡,三層交換機的成本過高,而選擇一個合適的路由器就能夠以合理的成本滿足網絡需要。
另一方面,您可以在路由器上安裝交換模塊,使其像三層交換機一樣工作。因此,設備的選擇應該考慮可擴展性、軟體功能、硬體性能、應用情況、成本等因素,不能一概而論。
防火牆——保護網絡
防火牆也被稱為防護牆,它是一種位於內部網絡與外部網絡之間的網絡安全系統,可以將內部網絡和外部網絡隔離。
通常,防火牆可以保護內部/私有區域網免受外部攻擊,並防止重要數據泄露。在沒有防火牆的情況下,路由器會在內部網絡和外部網絡之間盲目傳遞流量且沒有過濾機制,而防火牆不僅能夠監控流量,還能夠阻止未經授權的流量。
除了將內部區域網與外部 Internet 隔離之外,防火牆還可以將區域網中的普通數據和重要數據進行分離,所以也可以避免內部入侵。
防火牆的工作原理
防火牆有硬體防火牆和軟體防火牆這兩種類型,硬體防火牆允許您通過埠的傳輸控制協議(TCP)或用戶數據報協議(UDP)來定義阻塞規則,例如禁止不必要的埠和 IP 地址的訪問。
軟體防火牆就像互連內部網絡和外部網絡的代理伺服器,它可以讓內部網絡不直接與外部網絡進行通信,但是很多企業和數據中心會將這兩種類型的防火牆進行組合,主要是因為這樣做可以更加有效地提升網絡的安全性。
如何連接交換機、路由器和防火牆?
通常來說,路由器是區域網的第一步,而內部網絡和路由器之間的防火牆用來過濾非法接入,接下來需要連接的是交換機。
需要注意的是,許多網際網路提供商現在正在提供光纖服務(FiOS),因此您需要在防火牆之前使用數據機將數位訊號轉換成可通過乙太網銅纜傳輸的電信號。
所以典型的連接方式依次是 Internet-數據機-路由器-防火牆-交換機,然後交換機再連接其他網絡設備。
交換機可以啟用區域網內部通信,路由器將您接入網際網路,防火牆保護您的網絡。所以這三個設備在網絡中不可或缺。