您所在位置：网站首页 > 医学/心理学 > 基础医学 > 网络互联设备PP课件

网络互联设备PP课件.ppt

241页

卖家[上传人]：m****

文档编号：586678150

上传时间：2024-09-05

文档格式：PPT

文档大小：4.66MB

文档加载中……请稍候！
如果长时间未打开，您也可以点击刷新试试。

下载文档到电脑，查找使用更方便

20金贝

下载

/ 241 举报版权申诉马上下载

文本预览

下载提示

常见问题

第7章网络互联设备第7章网络互联设备 7.1 中继器和集线器中继器和集线器 7.2 网络适配器网络适配器————网卡网卡 7.3 调制解调器调制解调器 7.4 网桥网桥 7.5 交换机交换机 7.6 路由器路由器 7.7 网关网关 7.8 防火墙防火墙小结小结习题与思考习题与思考第7章网络互联设备 7.1 中继器和集线器中继器和集线器 7.1.1 中继器中继器　　中继器(RP，Repeater)是连接网络线路的一种装置，常用于两个网络节点之间物理信号的双向转发工作中继器是最简单的网络互联设备，主要完成物理层的功能，负责在两个节点的物理层上按位传递信息，完成信号的复制、调整和放大功能，以此来延伸网络的长度它在OSI参考模型中的位置如图7.1所示第7章网络互联设备图7.1　OSI上的中继器第7章网络互联设备　　由于存在损耗，路上传输的信号功率会逐渐衰减，衰减到一定程度时将造成信号失真，因此会导致接收错误中继器就是为解决这一问题而设计的它完成物理线路的连接，对衰减的信号进行放大，保持与原数据相同　　一般情况下，中继器的两端连接的是相同的媒体，但有的中继器也可以完成不同媒体的转接工作。

从理论上讲中继器的使用是无限的，网络也因此可以无限延长事实上这是不可能的，因为网络标准中都对信号的延迟范围作了具体的规定，中继器只能在此规定范围内进行有效的工作，否则会引起网络故障以太网络标准中就约定一个以太网上只允许出现5个网段，最多使用4个中继器，而且其中只有3个网段可以挂接计算机终端第7章网络互联设备　　中继器是一个用来扩展局域网的硬件设备它把两段局域网连接起来，并把一段局域网上的电信号增强后传输到另一段上中继器对它所连接的局域网是不可见的(透明)　　中继器能持续检测电缆中模拟信号的设备当中继器检测到一根电缆中有信号传来时，它便转发一个放大的信号到另一根电缆第7章网络互联设备　　中继器是一种放大模拟或数字信号的网络连接设备由于信号在传输过程中有衰减，因此，必须对其放大以使其传输得更远一些这就是中继器完成的功能中继器属于OSI模型中的物理层，因而没有必要解释它所传输的信号例如，它们不能降低所传输的信号的质量，也不能提高所传输的信号的质量，更不能纠正错误信号它们只是转发信号，但同时它们也转发了信号的噪声，从这个意义上讲，它们不是智能设备第7章网络互联设备　　中继器不仅功能有限，而且作用范围也有限。

一个中继器只包含一个输入端口和一个输出端口，所以它就只能接收和转发数据流此外，中继器只适用于总线拓扑结构的网络(总线型网络)使用中继器的好处是扩展网络的成本较低廉例如，假设你需要把位于某一地域的一个以太网络连接到另外的一个以太网上，最近的数据接口在200 m开外，网络采用的是10 Base2以太网，而这种网络的线缆的最大传输距离是185 m在这种情况下，利用一个中继器，最大传输距离就可以再增加185 m，从而把一个以太网连接到另外一个以太网但要注意，仍然存在总的最大传输距离因为整个网络传输距离不能超过1000 m，所以扩展线缆的传输距离时，不能依次级联5个以上的中继器图7.2给出了使用中继器连接的示意图第7章网络互联设备图7.2　中继器连接两个以太网第7章网络互联设备 7.1.2 集线器集线器　　集线器(HUB)是中继器的一种形式，区别在于集线器能够提供多端口服务，也称为多口中继器集线器产品发展较快，局域网集线器通常分为五种不同的类型，它将对LAN交换机技术的发展产生直接影响　　　　1. 单中继网段集线器单中继网段集线器　　在硬件平台中，第一类集线器是一种简单中继LAN网段，最好的例子是叠加式以太网集线器或令牌环网多站访问部件(MAU)。

某些厂商试图在可管理集线器和不可管理集线器之间划一条界限，以便进行硬件分类这里忽略了网络硬件本身的核心特性，即它实现什么功能，而不是如何简易地配置它第7章网络互联设备　　　　2. 多网段集线器多网段集线器　　多网段集线器是从第一类集线器直接派生而来的，采用集线器背板，这种集线器带有多个中继网段多网段集线器通常是有多个接口卡槽位的机箱系统但是，一些非模块化叠加式集线器现在也支持多个中继网段多网段集线器的主要技术优点是可以将用户分布于多个中继网段上，以减少每个网段的信息流量负载，网段之间的信息流量一般要求独立的网桥或路由器第7章网络互联设备　　　　3. 端口交换式集线器端口交换式集线器　　端口交换式集线器是在多网段集线器基础上将用户端口和多个背板网段之间的连接过程自动化，并通过增加端口交换矩阵(PSM)来实现的PSM提供一种自动工具，用于将任何外来用户端口连接到集线器背板上的任何中继网段上这一技术的关键是“矩阵”，一个矩阵交换机是一种电缆交换机，它不能自动操作，要求用户介入它不能代替网桥或路由器，并不提供不同LAN网段之间的连接性，其主要优点就是实现移动、增加和修改的自动化。

第7章网络互联设备　　　　4. 网络互联集线器网络互联集线器　　端口交换式集线器注重端口交换，而网络互联集线器在背板的多个网段之间实际上提供一些类型的集成连接这可以通过一台综合网桥、路由器或LAN交换机来完成目前，这类集线器通常都采用机箱形式第7章网络互联设备　　　　5. 交换式集线器交换式集线器　　目前，集线器和交换机之间的界限已变得模糊交换式集线器有一个核心交换式背板，采用一个纯粹的交换系统代替传统的共享介质中继网段此类产品已经上市，并且混合的(中继/交换)集线器很可能在以后几年控制这一市场第7章网络互联设备 7.1.3 集线器的选择集线器的选择　　集线器(HUB)是对网络进行集中管理的重要工具，像树的主干一样，它是各分枝的汇集点HUB是一个共享设备，其实质是一个中继器在网络中，集线器主要用于共享网络的建设，是解决从服务器直接到桌面的最佳、最经济的方案在交换式网络中，HUB直接与交换机相连，将交换机端口的数据送到桌面使用HUB组网灵活，它处于网络的一个星型节点，对节点相连的工作站进行集中管理，不让出问题的工作站影响到整个网络的正常运行由于HUB在网络中的重要作用，因此对于它的选型也是非常重要的。

下面我们对此作一剖析第7章网络互联设备　　1) 以带宽为选择标准　　根据带宽的不同，目前市面上用于局域网(一般是指小型局域网)的HUB可分为10 MB、100 MB和10/100 MB自适应三种在规模较大的网络中，还使用1000 MB和100/1000 MB自适应两种第7章网络互联设备　　2) 是否满足拓展需求　　每一个单独的HUB根据端口数目的多少一般分为8口、16口和24口几种当一个集线器提供的端口不够时，一般有以下两种拓展用户数目的方法：　　(1) 堆叠堆叠是解决单个集线器端口不足时的一种方法，但是因为堆叠在一起的多个集线器还是工作在同一环境下，所以堆叠的层数也不能太多然而，市面上许多集线器以其堆叠层数比其他品牌的多而作为自己的卖点，如果遇到这种情况，要分类对待：一方面可堆叠层数越多，一般说明集线器的稳定性越高；另一方面，可堆叠层数越多，每个用户实际可享有的带宽则越小第7章网络互联设备　　(2) 级联级联是在网络中增加用户数的另一种方法，但是此项功能的使用一般是有条件的，即HUB必须提供可级联的端口，此端口上常标有“Uplink”或“MDI”字样，用此端口与其他的HUB进行级联。

如果没有提供专门的端口，当要进行级联时，连接两个集线器的双绞线在制作时必须要进行错线第7章网络互联设备　　3) 是否支持网管功能　　根据对HUB管理方式的不同可分为Damp HUB(亚集线器)和Intelligent HUB(智能集线器)两种Intelligent HUB改进了普通HUB的缺点，增加了网络的交换功能，具有网络管理和自动检测网络端口速度的能力(类似于交换机)而Damp HUB只起到简单的信号放大和再生的作用，无法对网络性能进行优化早期使用的共享式HUB一般为非智能型的，而现在流行的100 MB HUB和10/100 MB自适应HUB多为智能型的非智能型的HUB不能用于对等网络，而且所组成的网络中必须要有一台服务器但需要指出的是，尽管同样是对网管模块的管理(SNMP)提供支持，但不同厂商的模块是不能混合使用的同时，同一厂商的不同产品的模块也是不同的目前，提供SNMP功能的HUB其价格还很高，一般家庭用户不适合选用如果您使用的环境要求不是很高的话，非智能集线器完全可以满足您的需要第7章网络互联设备　　4) 以外形尺寸为依据　　集线器的选购一般是在综合布线结束，骨干设备已经定型之后。

如果您的系统比较简单，没有楼宇级别的综合布线，LAN内的用户比较少，SOHO系列的HUB就比较适合您，它们一般都有8个10Base-TX口为了能够利用多年以前敷设的介质(如粗缆、细缆)，有些集线器留出了BNC、AUI口如果您已完成整个智能大厦的布线，准备将网络设备置于机柜中您需要选购几何尺寸符合机架标准的集线器，它们的外观也许不如SOHO系列的集线器美观，但它符合19 in的工业规范，您可以轻松地安装在机柜中第7章网络互联设备　　5) 根据配置形式的不同来分类　　根据配置形式的不同，HUB可分为独立型HUB、模块化HUB以及可堆叠式HUB三大类　　(1) 独立型HUB独立型HUB是最早使用的设备，它具有低价格、容易查找故障、网络管理方便等优点，在小型的局域网中广泛使用但这类HUB的工作性能比较一般，尤其是在速度上缺乏优势第7章网络互联设备　　(2) 模块化HUB模块化HUB一般带有机架和多个卡槽，每个卡槽中可安装一块卡，每块卡的功能相当于一个独立型的HUB，多块卡通过安装在机架上的通信底板进行互连并进行相互间的通信现在常使用的模块化HUB一般具有4～14个插槽模块化HUB在较大的网络中便于实施对用户的集中管理，所以在大型网络中得到了广泛应用。

第7章网络互联设备　　(3) 可堆叠式HUB可堆叠式HUB是利用高速总线将单个独立型HUB“堆叠”或短距离连接的设备，其功能相当于一个模块化HUB一般情况下，当有多个HUB堆叠时，其中存在一个可管理HUB，利用可管理HUB可对此可堆叠式HUB中的其他独立型HUB进行管理可堆叠式HUB可非常方便地实现对网络的扩充，是新建网络时最为理想的选择第7章网络互联设备　　6) 注意接口类型　　选用HUB时，还要注意信号输入口的接口类型，与双绞线连接时需要具有RJ-45接口；如果与细缆相连，需要具有BNC接口；与粗缆相连需要有AUI接口；当局域网长距离连接时，还需要具有与光纤连接的光纤接口早期的10 M HUB一般具有RJ-45、BNC和AUI三种接口100 M HUB和10/100 M HUB一般只有RJ-45接口，有些还具有光纤接口第7章网络互联设备　　7) 考虑品牌和价格　　像网卡一样，目前市面上的HUB基本上由美国产品和我国台湾的产品所占据近来，我国大陆几家公司也相继推出了集线器产品但直到目前为止，高档HUB主要还是由美国产品占据，如3Com、Intel等，它们在设计上比较独特，一般几个甚至每个端口配置一个处理器，当然价格比较高。

我国台湾的D-LINK和ACCTON的产品占据了中低端市场上的主要份额，而大陆的一些公司如联想、实达也分别推出了自己的产品中低档产品一般均采用单处理器技术，其外围电路的设计思想也大同小异各个品牌在质量上差距已经不大相对而言，我国大陆产品的价格要便宜很多第7章网络互联设备 7.1.4 10Base- -T和和100Base- -T规则规则　　　　1. 10Base- -T以太网集线器规则以太网集线器规则　　10 Mb/s集线器在连网中继扩展中要遵循10Base-T的5-4-3-2-1的黄金规则：　　(1) 一个网段最多只能分5个子网段(每网段500 m长)；　　(2) 一个网段最多只能有4个中继器；　　(3) 一个网段最多只能有3个子网段含有PC；　　(4) 另两个网段除了做中继器间链路外，不能接任何节点　第7章网络互联设备　　以上就组成一个大型的冲突域，最大站数为1024，全网直径达2500 m　　图7.3展示了上述集成器的5-4-3-2-l设计规则，子网段2和子网段4是用来延长距离的该规则只适用于10 Mb/s以太网5-4-3-2-l规则虽只是一个粗略的设计指南，但在大多数情况下非常实用。

第7章网络互联设备图7.3　集线器5-4-3-2-1设计规则第7章网络互联设备　　　　2. 100Base- -T快速以太网集线器规则快速以太网集线器规则　　100Base-T快速以太网集线器和10Base-T以太网集线器的工作方式完全相同，两者的惟一区别是数据传输速度由于交换机具有分隔网段的功能，当网络中用交换机代替集线器作为集中设备时，只是在每一个网段中适用该规则交换机的每一个端口就相当于一个网段，凡是级联到交换机同一端口的所有集线器都处于同一个网段同一网段的所有集线器的拓扑结构必须遵循快速以太网的规则第7章网络互联设备　　对于100Base-T网络，IEEE根据集线器的延时特性定义出两类集线器Ⅰ类集线器不可以级联，其延时为0.7 μs或更小些在一个100Base-TX网络中只能有一个Ⅰ类集线器，两个站点之间的距离最长为200 mⅡ类中继器的延时为0.46 μs或更小些，因此是最优的产品Ⅱ类集线器可以级联2个，2个集线器之间的距离最长为5 m，所以两个站点之间的最长距离为205 m 第7章网络互联设备　　因此，100Base-T快速以太网集线器的规则如下：　　(1) 所有双绞线的长度不超过100 m(按照EIA568规则)。

　　(2) 一个单独的快速以太网可以有2个Ⅱ类集线器；连接Ⅱ类集线器的上行链路电缆长度不得超过5 m，线缆安装的总网络直径限制在205 m　　(3) 一个单独的快速以太网只能有一个Ⅰ类集线器；Ⅰ类集线器允许安装两段链路，两段链路的总长不能超过272 m　　(4) Ⅰ类和Ⅱ类集线器在同一个快速以太网中不能同时使用第7章网络互联设备 7.2 网络适配器网络适配器————网卡网卡 7.2.1 网卡概述网卡概述　　台式机一般都采用内置网卡来连接网络网卡也叫“网络适配器”，英文全称为Network Interface Card，简称NIC网卡是局域网中最基本的部件之一，它是连接计算机与网络的硬件设备无论是双绞线连接、同轴电缆连接还是光纤连接，都必须借助于网卡才能实现数据的通信第7章网络互联设备　　网卡的主要工作原理是整理计算机上发往网线上的数据，并将数据分解为适当大小的数据包之后向网络上发送出去对于网卡而言，每块网卡都有一个惟一的网络节点地址，它是网卡生产厂家在生产时烧入ROM(只读存储芯片)中的，我们把它叫做MAC地址(物理地址)，且保证绝对不会重复第7章网络互联设备　　我们日常使用的网卡都是以太网网卡。

目前网卡按其传输速度可分为10 M网卡、10/100 M自适应网卡以及千兆(1000 M)网卡如果只是作为一般用途，如日常办公等，比较适合使用10 M网卡和10/100 M自适应网卡两种如果应用于服务器等产品领域，就要选择千兆级的网卡第7章网络互联设备 7.2.2 网卡的类型网卡的类型　　1. 按总线接口类型划分　　网卡的类型按其总线接口类型一般可分为ISA接口网卡、PCI接口网卡PCI-X接口网卡、PCMCIA接口网卡和USB接口网卡在服务器上使用的是PCI-X总线接口类型的网卡，笔记本电脑中所使用的网卡是PCMCIA接口类型的第7章网络互联设备　　2. 按网络接口划分　　网卡的类型除了可以按其总线接口类型划分外，我们还可按其网络接口类型来划分网卡最终要与网络进行连接，所以也就必须有一个接口使网线通过它与其他计算机网络设备连接起来不同的网络接口适用于不同的网络类型，目前常见的接口主要有以太网的RJ-45接口、细同轴电缆的BNC接口和粗同轴电缆的AUI接口、FDDI接口、ATM接口等，相应地也就有这几种接口类型的网卡而且有的网卡为了适用于更广泛的应用环境，提供了两种或多种类型的接口，如有的网卡会同时提供RJ-45、BNC接口或AUI接口。

第7章网络互联设备　　3. 按带宽划分　　随着网络技术的发展，网络带宽也在不断提高，但是不同带宽的网卡所应用的环境也有所不同，目前主流的网卡主要有10 Mb/s网卡、100 Mb/s以太网卡、10/100 Mb/s自适应网卡、1000 Mb/s千兆以太网卡四种第7章网络互联设备　　4. 按网卡应用领域划分　　如果根据网卡所应用的计算机类型来分，可以将网卡分为应用于工作站的网卡和应用于服务器的网卡前面所介绍的基本上都是工作站网卡，通常它们也可用于普通的服务器上但是在大型网络中，服务器通常采用专门的网卡它相对于工作站所用的普通网卡来说，在带宽(通常在100 Mb/s以上，主流的服务器网卡都为64位千兆网卡)、接口数量、稳定性、纠错等方面都有比较明显的提高还有的服务器网卡支持冗余备份、热插拔等服务器专用功能　　除了以上几类网卡的划分方式外，还有一些非主流分类方式，如现在非常流行的无线网卡第7章网络互联设备 7.2.3 网卡的选择网卡的选择　　1. 明确实际需要　　首先，大家要确定网卡的用途如果是用在服务器中，就要购买服务器专用网卡如果用在普通的工作站上，采用一般的PC网卡就可以了。

　　其次，因为兼容性问题，笔者建议大家最好购买采用主流技术的网卡例如，在带宽方面，市场上的10 Mb/s网卡已被淘汰，而采用“自动协商”管理机制的10/100 Mb/s自适应网卡在市场上已成为绝对的主流产品如果组建的网络还有其他特殊要求的话，大家就要根据局域网实现的功能和要求来选择网卡例如，组建的局域网如果要实现远程控制功能，就应该选择带有远程唤醒功能的网卡第7章网络互联设备　　　　2. 学会鉴别网卡的真假学会鉴别网卡的真假　　一款优质网卡应该具备的条件如下：　　(1) 采用喷锡板优质网卡的电路板一般采用喷锡板，网卡板材为白色，而劣质网卡为黄色　　(2) 采用优质的主控制芯片主控制芯片是网卡上最重要的部件，它往往决定了网卡性能的优劣，所以优质网卡所采用的主控制芯片应该是市场上的成熟产品市面上很多劣质网卡为了降低成本而采用版本较老的主控制芯片，这无疑给网卡的性能打了一个折扣如图7.4所示即为一款网卡的控制芯片，其中的RTL8139D表明该芯片是10/100 Mb/s自适应芯片第7章网络互联设备图7.4　网卡控制芯片第7章网络互联设备　　(3) 镀钛金的金手指优质网卡的金手指选用镀钛金制作，既增大了自身的抗干扰能力又减少了对其他设备的干扰，同时，金手指的节点处为圆弧形设计，如图7.5所示。

而劣质网卡大多采用非镀钛金，节点也为直角转折，影响了信号传输的性能第7章网络互联设备图7.5　网卡金手指第7章网络互联设备　　(4) 是否有无盘启动芯片插槽，无盘启动芯片插槽(如图7.6所示)是用来安装无盘启动芯片的无盘启动芯片的主要作用是在局域网中，当计算机被作为无盘工作站时，可以通过这块启动芯片来启动计算机第7章网络互联设备图7.6　无盘启动芯片插槽第7章网络互联设备　　(5) 大部分采用SMT贴片式元件优质网卡除电解电容以及高压瓷片电容以外，其他阻容器件大部分采用比插件更加可靠和稳定的SMT贴片式元件劣质网卡则大部分采用插件，这使网卡的散热性和稳定性都不够好　　PCI网卡是现在应用最广泛、最流行的网卡，它具有性价比高、安装简单等特点USB接口网卡(如图7.7所示)是最近才出现的产品，这种网卡是外置式的，具有不占用计算机扩展槽的优点，因而安装更为方便，主要是为了满足没有内置网卡的笔记本电脑用户第7章网络互联设备图7.7　USB接口网卡第7章网络互联设备　　随着硬件产品价格的降低，无线网卡将会被越来越多的人使用无线网卡并不像有线网卡的主流产品只有10/100 Mb/s一种规格，而分为11 Mb/s、54 Mb/s以及108 Mb/s三种传输速率，这三种传输速率分别属于不同的无线网络传输标准。

同时，还要考虑到无线网卡的接口类型和价格等因素和无线网络传输有关的IEEE802.11系列标准中，现在与用户实际使用有关的标准包括802.11a、802.11b和802.11g，此外还有改进型的802.11g即Super G 第7章网络互联设备　　无线网卡按接口分类有PCI接口(内置)、USB接口(外置)和PCMCIA接口(外置)三种其中，PCI接口无线网卡适用于台式电脑，PCMCIA接口的产品(如图7.8所示)适合笔记本电脑，USB接口的产品可以兼顾台式电脑和笔记本电脑按天线分类，无线网卡又可分为内置天线与外置天线两种外置天线可以调节天线的方向从而得到更好的信号接收；而内置天线则方便携带，缺点是天线方向无法调节第7章网络互联设备图7.8　PCMICA无线网卡第7章网络互联设备 7.3 调调制制解解调调器器 7.3.1 调制解调器的作用调制解调器的作用　　调制解调器(Modem，俗称“猫”)是一种计算机硬件，它能把计算机的数字信号翻译成可沿普通线传送的脉冲信号，这一过程被称为调制(Modulator)，而这些脉冲信号又可被线路另一端的另一个调制解调器接收，并译成计算机可识别的数字信息，这一过程被称为解调(Demodulator)。

这一简单过程完成了两台计算机间的通信第7章网络互联设备 7.3.2 调制解调器的种类调制解调器的种类　　　　1. 按硬件安装方式分类按硬件安装方式分类　　按硬件安装方式分类，调制解调器有内置式Modem、外置式Modem和PCMCIA Modem三种　　1) 内置式Modem　　内置式Modem俗称“内猫”，如图7.9(a)所示内置式Modem和普通的计算机插卡一样，通常也被称为卡(FAX卡)内置式Modem通常有两个接口，一个标明“Line”的字样，用来连接线；另一个标明“Phone”的字样，用来接机第7章网络互联设备　　2) 外置式Modem　　外置式Modem俗称“外猫”，如图7.9(b)所示外置式Modem通常有串口Modem和USB接口Modem之分第7章网络互联设备 (a) (b) 图7.9　内置式和外置式Modem 第7章网络互联设备　　(1) 串口Modem：多为25针的RS232接口，用来和计算机的RS232口(串口)相连标有“Line”的接口接线，标有“Phone”的接口接机不同的Modem外形不同，但这些接口都是类似的除此之外，外置Modem通常带有一个变压器，为其提供直流电源。

　　(2) USB接口Modem：：只需将其接在主机的USB接口上即可，支持即插即用，这比内置式Modem和串口Modem在安装上具有优越性第7章网络互联设备　　3) PCMCIA Modem　　PCMCIA卡式Modem是笔记本电脑的专用产品，功能与普通Modem相同第7章网络互联设备　　　　2. 根据线路分类根据线路分类　　根据线路分类，调制解调器主要有调制解调器、ISDN调制解调器、基带调制解调器和ADSL调制解调器　　1) 调制解调器　　调制解调器主要用于数字和模拟信号之间的转换，从而能够通过话音线路传送数据信息在数据发送方，计算机数字信号被转换成适合通过模拟通信设备传送的形式；而在目标接收方，模拟信号被还原为数字形式第7章网络互联设备　　2) ISDN调制解调器　　综合业务数字网(Intergrated Services Digital Network，ISDN)能够通过普通线实现用户之间的双向数字连接标准的ISDN终端设备可以直接连入ISDN网络接口，非标准的ISDN终端设备，必须通过ISDN终端适配器(Terminal Adapter，TA)才能连入ISDN基本速率接口(BRI)。

从本质上说，ISDN终端适配器就相当于一台ISDN调制解调器　　ISDN调制解调器与一般调制解调器一样分为内置(ISA、PCI)和外置(TA)两种，内置的又有带模拟语音口和不带语音口两种从表面上看，ISDN连接用的是通常的双绞铜质线，但是实际上公司或电信提供商安装的是高速数字线路ISDN调制解调器运行速度最高可达128 kb/s 第7章网络互联设备　　3) 基带调制解调器　　用于接入DDN网络的调制解调器有基带调制解调器和频带调制解调器两种，其中基带传输是一种重要的数据传输方式，其作用是形成适当的波形，使数据信号在带宽受限的传输信道上通过时，不会由于波形失真而产生码间干扰第7章网络互联设备　　通过数据终端设备接入DDN这种方式是客户直接利用DDN提供的数据终端设备接入DDN，而无需增加单独的调制解调器这种方式的优点是：通过数据终端设备接入DDN时，在局端无需增加单独的调制解调器，只需在客户端放置数据终端设备；DDN网络管理中心能够对其所属的数据终端设备进行远程系统配置、参数修改和日常维护管理，找出设备本身或所连实线的故障，提高系统可靠性DDN提供的数据终端设备接口标准符合ITU-TV.24、V.35和X.21建议，接口速率范围为2.4～128 kb/s。

第7章网络互联设备　　4) ADSL调制解调器　　固定网宽带接入的主要方法是不对称的数字用户环路(Asymetric Digital Subscriber Loop，ADSL)ADSL使用普通线，实现专用的持续服务，传送数据、语音和视频信息ADSL为远程办公者、小型办公室/家庭办公用户、住宅用户以及其他小型商业用户提供了完美的高速数据通信解决方案第7章网络互联设备　　ADSL调制解调器分为内置、外置及USB三种类型其中外置的ADSL调制解调器安装设置使用较为方便，但价格稍贵，而且由于外置的ADSL调制解调器使用了以太网接口，所以在与计算机连接时还需要一块以太网卡而PCI接口的内置ADSL调制解调器具备价格便宜、不占外部空间等特点，一般家庭用户可选用内置调制解调器USB的ADSL调制解调器具备USB接口安装使用方便、支持热插拔和接口速度较快等特点　　ADSL接入的优点是可以利用现有的市内网，降低施工和维护成本缺点是对线路质量要求较高，线路质量不高时推广有困难它适合于下行传输速率为1～2 Mb/s的应用第7章网络互联设备 7.3.3 调制解调器的选择调制解调器的选择　　目前个人电脑接入Internet的方式已经开始变得多样化，宽带的诱惑也离我们越来越近了，高速上网似乎已经不只是一个梦想，不过目前中国宽带这最后“一千米”好像并不像我们想像的那样容易达到，经常是看到线已经接到了门口，却始终无法用到。

正是因为这种情况，现在很多朋友购买机器的时候，还依然把调制解调器作为上网的必需配置之一第7章网络互联设备　　外置调制解调器性能稳定，安装和使用都很方便，但是价格方面要高出内置调制解调器很多从综合角度来考虑，对于一般的用户来说，内置调制解调器的性价比相对要高一些不过内置调制解调器在选购、安装、使用的每一个环节上都要涉及到一些硬件知识，对于不太懂行的朋友来说，有一定的困难，一不小心很容易被不法商人坑害选购一款能够用起来“舒心”一点的内置调制解调器需要注意哪些事项呢？具体的安装和使用上，又有哪些常见的问题呢？第7章网络互联设备　　(1) 要弄清楚内猫也有软硬之分软猫实际上是将Modem芯片的部分功能交由CPU处理，目前电脑主机的速度越来越快，对于速度快的系统来说，这样做并不会大幅度降低系统速度，而对于那些本来速度就不是很快的系统来说，使用软猫会给系统带来非常大的负担此外还要注意的是，软猫是不能在DOS下使用的如果你选择软猫，要注意它的驱动程序升级情况，是否支持Windows 2000/Linux操作系统等第7章网络互联设备　　(2) 选择哪种芯片的猫比较好目前中国电信部门使用的大都是Rockwell或其兼容设备，因此相对其他芯片而言，Rockwell芯片的抗干扰能力比较好，特别适合我国的线路。

不过具体使用的时候，连接速度和数据的传输速度与线的质量还有很大的关系，我们说Rockwell芯片的抗干扰能力强，是路相对较好的情况下而言的　　(3) 安装内置猫要注意中断设置，老机器上还有不少使用的是COM口的鼠标，在安装的时候要注意看清楚说明书，因为可能需要做一些跳线的调整第7章网络互联设备　　(4) 线的质量非常重要很多朋友都有这样的苦恼，为什么我的猫明明是56 K的，连接速度却只有40 K左右？这可能是由很多原因导致的，驱动程序的问题、Modem设置上的问题都可能导致连接速度和传输速度不正常，而线路不好，往往是Modem无法正常发挥效能的最主要的原因第7章网络互联设备 7.4 网网桥桥 7.4.1 网桥的工作原理和功能网桥的工作原理和功能　　网桥工作在数据链路层，将两个局域网(LAN)连起来，根据MAC地址(物理地址)来转发帧，可以看作一个“低层的路由器”(路由器工作在网络层，根据网络地址如IP地址进行转发)它可以有效地连接两个LAN，使本地通信限制在本网段内，并转发相应的信号至另一网段，网桥通常用于连接数量不多的、同一类型的网段　　网桥并不了解其转发帧中高层协议的信息，这使它可以同时以同种方式处理IP、IPX等协议，它还提供了将无路由协议的网络(如NetBEUI)分段的功能。

网桥则只用MAC地址和物理拓扑进行工作，因此它一般适于小型、较简单的网络第7章网络互联设备 7.4.2 网桥的种类网桥的种类　　网桥通常有透明网桥和源路由选择网桥两大类　　　　1. 透明网桥透明网桥　　简单地讲，使用透明网桥，不需要改动硬件和软件，无需设置地址开关，无需装入路由表或参数，只需插入电缆即可，现有LAN的运行完全不受网桥的任何影响第7章网络互联设备　　　　2. 源路由选择网桥源路由选择网桥　　源路由选择的核心思想是假定每个帧的发送者都知道接收者是否在同一局域网(LAN)上当发送一帧到另外的网段时，源机器将目的地址的高位设置成1并作为标记另外，它还在帧头中加进此帧应走的实际路径　　透明网桥与源路由网桥的比较如表7.1所示第7章网络互联设备表7.1 两种网桥的比较第7章网络互联设备表7.1 两种网桥的比较第7章网络互联设备 7.4.3 远程网桥远程网桥　　远程网桥(Remote Bridge)通常使用远程通信线路连接不同区域的多个LAN网段远程网桥的使用为网络互联提出了新的挑战其中之一是LAN与WAN之间的速度差异，尽管目前许多高速WAN技术可建立在物理位置分散的互联网络上，但由于LAN的速度常常比WAN的速度快得多，因此，无法在WAN上运行对延迟非常敏感的LAN的应用程序。

　　远程网桥无法提高WAN的传输速度，但可以通过足够的缓冲控制3 Mb/s的数据传输能力，这样才不至于对64 kb/s的串行链路造成压力即先将传送来的数据存储于缓冲区中，然后再以串行链路能够承受的速率转发只有当少量的突发性数量需要转发，且不会对网桥的缓冲能力有所影响时，这种方法才有效第7章网络互联设备 7.5 交交换换机机 7.5.1 交换机概述交换机概述　　交换机的英文名称为Switch，它是集线器的升级换代产品从外观上来看，交换机与集线器基本上没有多大区别，都是带有多个端口的长方体交换机是按照通信两端传输信息的需要，用人工或设备自动完成的方法把要传输的信息送到符合要求的相应路由上的技术统称广义的交换机就是一种在通信系统中完成信息交换功能的设备第7章网络互联设备　　交换机的主要功能包括物理编址、网络拓扑结构确定、错误校验、帧序列以及流量控制等目前一些高档交换机还具备了一些新的功能，如对VLAN(虚拟局域网)的支持、对链路汇聚的支持，甚至有的还具有路由器和防火墙的功能第7章网络互联设备　　交换机拥有一条很高带宽的背部总线和内部交换矩阵交换机的所有端口都挂接在这条背部总线上。

控制电路收到数据包以后，处理端口会查找内存中的MAC地址(网卡的硬件地址)对照表以确定目的MAC的NIC(网卡)挂接在哪个端口上，通过内部交换矩阵直接将数据包迅速传送到目的节点，而不是所有节点，目的MAC若不存在才广播到所有的端口我们可以明显地看出，这种方式一方面效率高，不会浪费网络资源，只是对目的地址发送数据，一般来说不易产生网络堵塞；另一方面数据传输安全，因为它不是对所有节点同时发送，发送数据时其他节点很难侦听到所发送的信息这也是交换机为什么会很快取代集线器的重要原因之一第7章网络互联设备　　交换机与集线器的区别主要体现在如下几个方面：　　(1) 在OSI/RM(OSI参考模型)中的工作层次不同交换机和集线器在OSI/RM开放体系模型中对应的层次不一样，集线器是同时工作在第一层(物理层)和第二层(数据链路层)，而交换机至少是工作在第二层，更高级的交换机可以工作在第三层(网络层)和第四层(传输层) 第7章网络互联设备　　(2) 交换机的数据传输方式不同集线器的数据传输方式是广播(Broadcast)方式；而交换机的数据传输是有目的的，数据只对目的节点发送，只是在自己的MAC地址表中找不到的情况下第一次使用广播方式发送，然后因为交换机具有MAC地址学习功能，第二次以后就不再是广播发送了，又是有目的的发送。

这样的好处是数据传输效率提高，不会出现广播风暴，在安全性方面也不会出现其他节点侦听的现象第7章网络互联设备　　(3) 带宽占用方式不同在带宽占用方面，集线器所有端口是共享集线器的总带宽，而交换机的每个端口都具有自己的带宽，这样交换机实际上每个端口的带宽比集线器端口可用带宽要高许多，也就决定了交换机的传输速度比集线器要快许多第7章网络互联设备　　(4) 传输模式不同集线器只能采用半双工方式进行传输，因为集线器是共享传输介质的，这样在上行通道上集线器一次只能传输一个任务，要么是接收数据，要么是发送数据而交换机则不一样，它是采用全双工方式来传输数据的，因此在同一时刻可以同时进行数据的接收和发送，这不但令数据的传输速度大大加快，而且在整个系统的吞吐量方面交换机比集线器至少要快一倍以上，因为它可以使接收和发送同时进行实际上还远不止一倍，因为端口带宽一般来说交换机比集线器也要宽许多倍第7章网络互联设备　　总之，交换机是一种基于MAC地址识别，能完成封装转发数据包功能的网络设备　　目前，主流的交换机厂商以国外的Cisco(思科)、3 Com、安奈特为代表，国内主要有华为、D-LINK等。

第7章网络互联设备 7.5.2 交换转发方式交换转发方式　　　　1. 交换转发方式交换转发方式　　LAN交换模式决定了当交换机端口接收到一个帧时将如何处理这个帧因此包(或分组)通过交换机所需的时间取决于所选的交换模式交换有三种模式：存储转发、直通模式和不分段方式第7章网络互联设备　　1) 存储转发　　存储转发(Store and Forward)交换是两种基本的LAN交换类型之一在这种方式下，LAN交换机将接收整个帧并复制到它的缓冲器中，同时进行循环冗余校验(CRC)如果这个帧有差错，或者太短(包含CRC在内，帧长少于64字节)，或者太长(包含CRC在内，帧长多于1518字节)，那么这个帧将被丢弃；否则确定输出接口，并将帧发往其目的端由于这种类型的交换要拷贝整个帧，并且进行CRC，因此转发速度较慢，且其延迟将随帧长度不同而变化第7章网络互联设备　　2) 直通模式　　直通(Cut Through)模式交换是另一种主要的LAN交换类型在这种方式下，LAN交换机仅将帧的目的地址(前缀之后的6个字节)拷贝到它的缓冲器中然后，在交换表中查找该目的地址，从而确定输出接口，将帧发往其目的端。

这种直通交换方式减少了延迟，因为交换机读到帧的目的地址，确定了输出接口，就立即转发帧有些交换机可以自适应地址选择交换方式，它可以工作在直通方式，直到某个端口上的差错达到用户定义的差错极限，交换机会由直通模式自动切换成存储转发模式；而当差错率降低到这个极限以下，交换机又会由存储转发模式切换成直通模式第7章网络互联设备　　3) 不分段方式(改进的直通模式)　　不分段方式是直通模式的一种改进形式在这种方式下，交换机在转发之前等待64字节的冲突窗口如果一个包有错，那么差错一般都会发生在前64字节中不分段方式较之直通模式提供了较好的差错检验，而且几乎没有增加延迟第7章网络互联设备　　　　2. 生成树协议生成树协议　　目前的网桥除支持存储转发方式外，有些网桥也支持直通模式在直通模式中，帧在高速缓冲区中不存储且不校验，所以可获得更快的速度但输入/输出端的传输速率必须相同它常用于传输图像一类要求高速而对误码率要求不高的实时传输中　　在网络设计上为了提高系统容错能力，在两个局域网互联时往往采用两个以上的网桥冗余路径图7.10所示的这类网络拓扑结构可能会产生帧无限制转发的循环路径第7章网络互联设备图7.10　网桥循环连接第7章网络互联设备　　在网桥冗余通路的环型拓扑结构中，可使用生成树算法来避免帧转发的循环。

生成树算法是一种分布式的算法，它允许网络相互通信，并学习网络结构为了建造生成树，首先必须选出一个网桥作为生成树的根　　通过选择根桥、根端口，按根到每个网桥的最短路径来构造生成树，使得一个网桥到达任意一个网段只存在惟一的路径(即一种树状结构)，消除了两个网段构成的连接循环，又保持了原网络的物理拓扑结构及网络拓扑关系的连通性当生成树建立之后，此算法还要继续工作，以便自动地检查拓扑结构的变化并更新生成树第7章网络互联设备　　　　3. 链路聚合链路聚合　　链路聚合(Trunking)功能是将交换机的多个低带宽交换端口捆绑成一条高带宽链路可以让交换机之间和交换机与服务器之间的链路带宽有非常好的伸缩性，如可以把2个、3个、4个千兆的链路绑定在一起，使链路的带宽成倍增长链路聚合技术可以实现不同端口的负载均衡，避免链路出现拥塞现象，同时也能够互为备份，保证链路的冗余性在这些千兆以太网交换机中，最多可以支持4组链路聚合，每组中最大4个端口链路聚合一般是不允许跨芯片设置的　　生成树协议和链路聚合都可以保证一个网络的冗余性在一个网络中设置冗余链路，并用生成树协议让备份链路阻塞，在逻辑上不形成环路一旦出现故障，即可启用备份链路。

第7章网络互联设备 7.5.3 局域网交换机的种类局域网交换机的种类　　根据交换机使用的网络传输介质及传输速率的不同，一般可以将局域网交换机分为以太网交换机、快速以太网交换机、千兆(G位)以太网交换机、10千兆(10G位)以太网交换机、ATM交换机、FDDI交换机和令牌环交换机等下面主要对前6类交换机予以介绍，令牌环交换机由于应用较少，此处略去不讲第7章网络互联设备　　　　1. 以太网交换机以太网交换机　　首先要说明的一点是，这里所指的“以太网交换机”是指带宽在100 Mb/s以下的以太网所用的交换机下面我们还要讲到的“快速以太网交换机”、“千兆以太网交换机”和“10千兆以太网交换机”其实也是以太网交换机，只不过它们所采用的协议标准或者传输介质不一样，当然其接口形式也可能不一样第7章网络互联设备图图7.11　以太网交换机　以太网交换机第7章网络互联设备　　以太网交换机是最普遍和较便宜的，它的档次比较齐全，应用领域也非常广泛，在大大小小的局域网中都可以见到它们的踪影以太网包括RJ-45、BNC和AUI三种网络接口，它们所用的传输介质分别为双绞线、细同轴电缆和粗同轴电缆。

不要以为一讲以太网就都是RJ-45接口的，只不过双绞线类型的RJ-45接口在网络设备中非常普遍而已当然现在的交换机通常不可能全是BNC或AUI接口的，因为目前采用同轴电缆作为传输介质的网络现在已经很少见了，而一般是在RJ-45接口的基础上为了兼顾同轴电缆介质的网络连接，也会配上BNC或AUI接口如图7.11所示是一款带有RJ-45和AUI接口的以太网交换机产品示意图第7章网络互联设备　　　　2. 快速以太网交换机快速以太网交换机　　快速以太网交换机是用于100 Mb/s快速以太网当中的快速以太网是一种在普通双绞线或者光纤上实现100 Mb/s传输带宽的网络技术要注意的是，一讲到快速以太网不要以为就全都是纯正100 Mb/s带宽的端口，事实上目前基本上还是10/100 Mb/s自适应型的为主同样，一般来说这种快速以太网交换机通常所采用的介质也是双绞线，有的快速以太网交换机为了兼顾与其他光传输介质的网络互联，或许会留有少数的光纤接口SC 第7章网络互联设备　　　　3. 千兆以太网交换机千兆以太网交换机　　千兆以太网交换机是用于目前较新的一种网络——千兆以太网当中的，也有人把这种网络称之为“吉位(GB)以太网”，那是因为它的带宽可以达到1000 Mb/s。

千兆以太网交换机一般用于一个大型网络的骨干网段，所采用的传输介质有光纤、双绞线两种，对应的接口为SC和RJ-45两种如图7.12所示是两款千兆以太网交换机产品示意图第7章网络互联设备图7.12　千兆以太网交换机第7章网络互联设备　　　　4. 10千兆以太网交换机千兆以太网交换机　　10千兆以太网交换机主要是为了适应当今10千兆以太网络的接入，它一般用于骨干网段上，采用的传输介质为光纤，其接口方式也就相应为光纤接口同样这种交换机也称之为“10G以太网交换机”，道理同上因为目前10G以太网技术还处于研发初级阶段，价格也非常昂贵(一般要2～9万美元)，所以10G以太网在各用户的实际应用中还不是很普遍，而多数企业用户都早已采用了技术相对成熟的千兆以太网，且认为这种速度已能满足企业数据交换需求第7章网络互联设备　　　　5. ATM交换机交换机　　ATM交换机是用于ATM网络的交换机产品ATM网络由于其独特的技术特性，现在还只是广泛用于电信、邮政网的主干网段，因此其交换机产品在市场上很少看到ADSL宽带接入方式中如果采用PPPoA协议的话，在局端(NSP端)就需要配置ATM交换机。

有线电视的Cable Modem互联网接入法在局端也采用ATM交换机ATM交换机的传输介质一般采用光纤，接口类型一般有两种：以太网RJ-45接口和光纤接口，这两种接口适合与不同类型的网络互连它相对于物美价廉的以太网交换机而言，ATM交换机的价格是很高的，所以也就在普通局域网中见不到它的踪迹第7章网络互联设备　　　　6. FDDI交换机交换机　　FDDI技术是在快速以太网技术还没有开发出来之前开发的，它主要是为了解决当时10 Mb/s以太网和16 Mb/s令牌网速度的局限，因为它的传输速度可达到100 Mb/s，这比当时的10 Mb/s和16 Mb/s这两个速度高出许多，所以在当时还是有一定市场的但它当时是采用光纤作为传输介质的，比以双绞线为传输介质的网络成本高许多，所以随着快速以太网技术的成功开发，FDDI技术也就失去了它应有的市场正因如此，FDDI设备，如FDDI交换机也就比较少见了FDDI交换机是用于老式中、小型企业的快速数据交换网络中的，它的接口形式都为光纤接口第7章网络互联设备 7.5.4 交换机的选择交换机的选择　　　　1. 价格价格　　价格无疑是广大用户在选购交换机时考虑最多的问题。

目前，适合家用或小型办公网络使用的交换机价格与即将淘汰的集线器(HUB)的价格已经相差无几比如5口的10/100 Mb/s自适应交换机价格大致在100～200元之间(国外的产品除外)，与8口同类交换机价格相差无几一般情况下，端口数量越多、速率越大、背板带宽越高、网管功能越强大的交换机产品的价格也越高第7章网络互联设备　　　　2. 品牌品牌　　在国内市场上，低端交换机产品涵盖了从3Com等国外网络巨头到D-Link、TP-Link、顶星等众多国内品牌在选购交换机时，要注意产品供应商的品牌知名度、用户的口碑、产品的售后服务以及质保情况第7章网络互联设备　　　　3. 外形外形　　交换机的外壳一般采用塑壳或铁壳包装，价格差别不大；外形通常采用小巧、迷你型，大家可以根据自己的喜好来选择第7章网络互联设备　　4. 性能指标　　1) 端口　　对于家庭或小型办公网络，一般使用价格低廉的5口或8口桌面型交换机即可通常端口数量越多，交换机价格越高当然，有条件的可以选择16口、24口或更高端口数的交换机，这样可以满足未来网络扩展的需要交换机的端口类型一般都是RJ-45交换端口，一般还提供一个UP-Link(级联)端口，用于实现交换设备的级联。

另外，有的端口还支持MDI/MDIX自动跳线功能，通过该功能可以在级联交换设备时自动按照适当的线序连接，无须手工配置第7章网络互联设备　　2) 传输速率　　在交换机速率方面，在家庭或小型办公网络中，使用100 Mb/s的传输速率即可，这样的速率一般都可以满足家庭用户的需要在市场上，百兆交换机主要以10/100 Mb/s自适应交换机为主虽然千兆网络技术已经快速发展，但是对于普通家庭或小型办公用户来说并不实用不过，有条件的用户可以选择10/100/1000 Mb/s自适应和100/1000 Mb/s自适应千兆交换机，以适应未来网络升级的需要第7章网络互联设备　　3) 传输介质　　低端交换机，比如10/100 Mb/s自适应交换机一般采用100Base-TX 5类UTP(非屏蔽双绞线)作为传输介质，支持100 Mb/s最大传输速率，支持最大100 m的传输距离另外，还支持10Base-T/10Base-TX 3类或3类以上UTP如果是千兆交换机，一般采用的传输介质为1000Base-TX超5类UTP或光纤第7章网络互联设备　　4) 传输模式　　目前，交换机一般都支持全/半双工自适应模式，“全双工”(Full Duplex)模式可以同时接收和发送数据，数据流是双向的，可以提高网络传输效率；“半双工”(Half Duplex)模式不能同时接收和发送数据，数据流是单向的。

第7章网络互联设备　　5) 网络标准　　交换机遵循的网络标准一般应该包括IEEE 802.3 10Base-T以太网、IEEE 802.3u 100Base-TX快速以太网以及IEEE 802.3x流量控制、IEEE 802.1q VLAN标准、IEEE 802.1p优先级控制、IEEE 802.1d生成树协议对于千兆交换机还应该支持IEEE 802.3z 1000Base-X或IEEE 802.3ab 1000Base-T标准第7章网络互联设备　　6) 交换方式　　目前交换机采用的交换方式主要有存储转发和直通转发两种存储转发是在交换机接收到全部数据包后再决定如何转发，可以检测数据包的错误、支持不同速率的输入、输出端口的交换，不过数据处理时延时较长存储转发技术是计算机网络领域使用最为广泛的技术之一，如今大部分的交换机产品都支持该技术直通转发是在交换机收到整个帧之前就已经开始转发数据，这样可以减少延时低端交换机一般只支持一种交换方式，即存储转发或直通转发第7章网络互联设备　　7) 背板带宽　　背板带宽是指交换机接口处理器和数据总线之间所能吞吐的最大数据量背板带宽越宽越好。

如果两台同样是8口10/100 Mb/s自适应交换机，这样在端口带宽、延迟时间相同的情况下，背板带宽较宽的交换机的传输速率也会较快一般5口和8口交换机的背板带宽在1～3.2 Gb/s之间第7章网络互联设备　　8) 管理功能　　交换机的管理功能也是不容小视的，因为通过管理功能我们可以使用管理软件来管理、配置交换机，让交换机更好地工作，比如可通过Web浏览器、Telnet、SNMP、RMON、CLI命令行等管理通常，交换机支持的网络管理功能越多，价格也相对越高一般的交换机都提供SNMP MIBⅠ/MIBⅡ统计管理功能第7章网络互联设备　　9) MAC地址容量　　交换机是一种基于MAC(网卡的惟一硬件地址)识别，能够完成数据包交换功能的设备它可以通过“MAC地址学习”功能将连接到自身的MAC地址记住，保存在MAC地址列表中，这样在下次进行数据交换时可直接从MAC地址列表中找到目的地MAC地址容量是指交换机的MAC地址表中最多可以存储的MAC地址数量，低端交换机一般在2000左右支持的MAC地址数越多，数据转发的速率也就越快　　除了以上要注意的交换机性能指标外，我们在选购交换机的时候还要注意产品是否支持VLAN、QoS/CoS以及支持的模块化插槽数等。

第7章网络互联设备 7.5.5 虚拟局域网虚拟局域网VLAN　　　　1. VLAN的概念的概念　　虚拟局域网(Virtual Local Area Network，VLAN)是为解决以太网的广播问题和安全性而提出的一种协议，是与被定义的交换机端口相连的网络用户和资源的逻辑组合VLAN在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户互访一个VLAN就是一个交换网，其逻辑上按功能、项目、应用来分而不必考虑用户的物理位置任何交换口都可以属于某一VLAN，IP包、广播包及组播包均可以发送或广播给在此VLAN内的最终用户第7章网络互联设备　　VLAN不受物理位置的约束，可以根据位置、功能、部门，甚至是应用或是所用的协议进行创建，而不用考虑资源或用户究竟在什么位置每一个VLAN均可看成是一个逻辑网络，发往另一VLAN的数据包必须由路由器或网桥转发，如图7.13所示由于VLAN被看成是一个逻辑网络，它具有自己的网桥管理信息库(MIB)并可支持自己的生成树第7章网络互联设备图7.13　VLAN是逻辑定义的网络第7章网络互联设备　　　　2. VLAN的优越性的优越性　　VLAN技术的优势主要体现在以下几个方面。

　　(1) 增加了网络连接的灵活性借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境，就像使用本地LAN一样方便、灵活、有效VLAN可以降低移动或变更工作站地理位置的管理费用，特别是一些业务情况有经常性变动的公司使用了VLAN后，这部分管理费用大大降低第7章网络互联设备　　(2) 控制了网络上的广播VLAN可以提供建立防火墙的机制，防止交换网络的过量广播使用VLAN，可以将某个交换端口或用户赋予某一个特定的VLAN组，该VLAN组可以在一个交换网中跨接多个交换机，在一个VLAN中的广播不会送到VLAN之外同样，相邻的端口不会收到其他VLAN产生的广播这样可以减少广播，释放带宽，缓解广播风暴(Broadcast Storm) 第7章网络互联设备　　(3) 增加了网络的安全性因为一个VLAN就是一个单独的广播域，VLAN之间相互隔离，这大大提高了网络的利用率，确保了网络的安全保密性对VLAN上保密的、关键性的数据应提供访问控制等安全手段一个有效和容易实现的方法是将网络分段成几个不同的广播组，网络管理员限制了VLAN中用户的数量，禁止未经允许而访问VLAN中的应用。

交换端口可以基于应用类型和访问特权来进行分组，被限制的应用程序和资源一般置于安全性VLAN中第7章网络互联设备　　3. VLAN的划分　　创建VLAN是通过第二层交换机划分广播域实现的，管理员须将交换机端口分配给VLAN的方式有两种：由管理员手动分配端口划分的VLAN称为静态VLAN(Static VLAN)；使用智能管理软件动态划分 VLAN的称为动态VLAN(Dynamic VLAN)第7章网络互联设备　　1) 静态VLAN　　静态VLAN是创建VLAN的典型方法管理员通过命令行接口(CLI)配置交换机，将一个VLAN的组合分配给交换机端口，交换机端口将维持这种组合直到管理员改变端口分配静态VLAN安全性较高，易于建立各种监控，可以很好地在网络中控制用户的变动这种方法也有其缺陷：管理员必须手工输入每条将端口映射到对应VLAN的命令，比较费时第7章网络互联设备　　2) 动态VLAN　　动态VLAN可以自动确定一个节点的VLAN配置可以使用智能管理软件基于MAC地址、协议甚至应用程序动态创建VLANCisco设备管理员可以使用VLAN管理策略服务器(VLAN Management Policy Server，VMPS)的服务来建立一个MAC地址数据库，动态创建VLAN。

有关VLAN的初始数据必须事先输入到数据库中，VMPS数据库把MAC地址映射到VLAN上当一节点连到一个未分配的交换端口时，VLAN管理数据库就会查找这个硬件地址，并将交换机端口分配给正确的VLAN这种方法使管理员管理和配置更为方便如果用户有所变动，交换机将自动更改配置第7章网络互联设备　　　　4. VLAN的实现的实现　　在交换机上，VLAN的实现方法可以大致划分为6类　　1) 基于端口划分VLAN　　这种划分VLAN的方法是将VLAN交换机上的物理端口和VLAN交换机内部的PVC(永久虚电路)端口分成若干组，每组构成一个虚拟网，相当于一个独立的VLAN交换机第7章网络互联设备　　不同部门需要互访时，可通过路由器转发，并配合基于MAC地址的端口过滤这样可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵　　这种划分方法的优点是定义VLAN成员时非常简单，只要将所有的端口都定义为相应的VLAN组即可这是最常应用的一种VLAN划分方法，适合于任何大小的网络目前，绝大多数VLAN协议的交换机都提供这种VLAN配置方法缺点是如果某用户离开了原来的端口，到了一个新的交换机的某个端口，必须重新定义。

第7章网络互联设备　　2) 基于MAC地址划分VLAN　　这种划分VLAN实现的机制就是每一块网卡都对应惟一的MAC地址，方法是对每个MAC地址的主机都配置它属于哪个组，VLAN交换机跟踪属于VLAN MAC的地址这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时，自动保留其所属VLAN的成员身份　第7章网络互联设备　　这种VLAN划分方法的最大优点是当用户物理位置改变，即从一个交换机换到其他交换机时，VLAN不用重新配置缺点是初始化时，对所有的用户都必须进行配置这种划分方法通常适用于小型局域网这种划分方法的缺点是，在每一个交换机的端口都可能存在很多个VLAN组的成员，保存了许多用户的MAC地址，从而导致交换机执行效率的降低第7章网络互联设备　　3) 基于网络层协议划分VLAN　　VLAN按网络层协议来划分，可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络这种按网络层协议来组成的VLAN，可使广播域跨越多个VLAN交换机这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常有吸引力的而且，用户可以在网络内部自由移动，但其VLAN成员身份仍然保留不变。

　　这种划分方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN此外，这种方法不需要附加的帧标签来识别VLAN，可以减少网络的通信量这种划分方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的第7章网络互联设备　　4) 根据IP组播划分VLAN　　IP组播实际上也是一种VLAN的定义，即认为一个IP组播组就是一个VLAN这种划分方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，主要适合于不在同一地理范围的局域网用户组成一个VLAN，不适合局域网，主要是效率不高　　第7章网络互联设备　　5) 按策略划分VLAN　　基于策略组成的VLAN能实现多种分配方法，包括VLAN交换机端口、MAC地址、IP地址和网络层协议等网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN 第7章网络互联设备　　6) 按用户定义、非用户授权划分VLAN　　基于用户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN。

但是需要提供用户密码，在得到VLAN管理的认证后才可以加入一个VLAN 第7章网络互联设备　　　　5. VLAN主干主干　　虚拟网络技术要解决的主要问题是在虚拟网间如何通信　　1) 交换环境中的两种连接类型　　当帧在网络中被交换时，交换机根据类型对其跟踪，根据硬件地址判断如何对它们进行操作在不同类型的连接中，帧被处理的方式也不一样　　(1) 访问连接访问连接(Access Links)指的是只属于一个VLAN，且仅向该VLAN转发数据帧的端口，也称为Native VLAN交换机把帧发送到访问连接设备之前，应移去所有的VLAN信息访问连接设备不能与VLAN外通信，除非数据包被路由第7章网络互联设备　　(2) 中继连接中继连接(Trunk Links)指的是能够转发多个不同VLAN的通信端口中继连接必须使用100 Mb/s以上的端口来进行点对点连接，1次最多可以携带1005个VLAN信息中继连接使单独的1个端口同时成为数个VLAN的端口，这样可以不需要三层设备使用中继连接在多个VLAN中传输，比使用路由器连接减少延时　　当在交换机之间使用了中继连接时，多个VLAN的信息将从这个连接上通过；如果在交换机之间没有使用中继连接而使用一般的连接，则只有VLAN1的信息通过这个连接被互相传递。

VLAN1默认作为管理VLAN 第7章网络互联设备　　2) VLAN标识符和帧的鉴别　　在交换机的中继连接上，可以通过对数据帧附加VLAN信息，构建跨越多台交换机的VLAN附加VLAN信息的方法最具代表性的有ISL(Inter-Switch Link)和IEEE 802.1Q，其主要目的是提供VLAN间的通信　　ISL是Cisco的私有协议，只能在快速和千兆以太网连接中使用ISL路由可以使用在交换机的端口、路由器的端口和服务器网卡等中第7章网络互联设备　　IEEE 802.1Q由IEEE提出，俗称dot 1Q在Cisco和非Cisco设备之间，不能使用ISL，必须使用802.1Q802.1Q所附加的VLAN识别信息，位于数据帧中的源MAC地址与类型字段之间　　帧的鉴别方法(Frame Tagging)：当帧到达每个交换机时，首先检查其VLAN ID，然后决定如何对帧进行处理当帧到达和VLAN ID所匹配的访问连接时，交换机将移去其VLAN标识符第7章网络互联设备　　3) 交换机间链路(ISL)协议　　ISL协议用于实现交换机间的VLAN中继它是一个信息包标记协议，在支持ISL接口上发送的帧由一个标准以太网帧及相关的VLAN信息组成，如图7.14所示。

在支持ISL的接口上可以传送来自不同VLAN的数据第7章网络互联设备图7.14　交换机间链路(ISL)协议第7章网络互联设备　　4) 虚拟中继协议　　虚拟中继协议(Virtual Trunking Protocol，VTP)也是Cisco创建的，但是现在已经不为Cisco所私有VTP的主要目的是在一个交换性的环境中管理所有配置好的VLAN，使所有的VLAN保持一致性VTP允许增加、删除和重命名VLAN，然后将这些修改后的信息传播到整个VTP域内的所有交换机上在管理域内，VTP自动发布配置信息，其范围包括所有的中继连接，如交换互连(ISL)、802.10和ATM LAN(LANE) 第7章网络互联设备　　VTP的优点如下：　　(1) 可保持VLAN信息的连续性　　(2) 可精确跟踪和监视VLAN　　(3) 动态报告增加了的VLAN信息给VTP域中所有交换机　　(4) 可以使用即插即用(Plug-and-Play)的方法增加VLAN　　(5) 可以在混合型网络中进行Trunk Link(转发多个不同VLAN的通信端口)，如以太网到ATM LANE、FDDI等第7章网络互联设备　　5) VTP域的三种模式　　交换机的VTP配置有三种模式：服务器模式、客户机模式和透明模式。

　　(1) 服务器模式(Server Mode)：是所有Catalyst交换机的默认设置，1个VTP域里必须至少有1个服务器用来传播VLAN信息，对VTP信息的改变必须在服务器模式下操作，配置保存在NVRAM里第7章网络互联设备　　(2) 客户机模式(Client Mode)：在这种模式下，交换机从VTP服务器接收信息，而且它们也发送和接收更新，但是不能做任何改变在VTP服务器通知客户交换机增加新的VLAN之前，不能在客户交换机端口上增加新的VLAN配置不保存在NVRAM里第7章网络互联设备　　(3) 透明模式(Transparent Mode)：该模式下的交换机不能增加和删除VLAN，因为它们保存自己的数据库，不和其他的共享，配置保存在NVRAM里　　在使用VTP管理VLAN之前，必须先创建一个VTP服务器(VTP Server) ，所有要共享VLAN信息的服务器必须使用相同的域名而且，假如把某个交换机和其他交换机配置在1个VTP域里，这个交换机就只能和这个VTP域里的交换机共享VLAN信息如果只有1个VLAN，就不需要使用VTPVTP信息通过Trunk端口进行发送和接收。

可以给VTP配置密码，但所有的交换机必须配置相同的密码第7章网络互联设备　　6) VLAN之间的路由　　可以使用支持ISL路由的路由器来连接VLAN，路由器和每个VLAN之间的关联如图7.15所示每个路由器的接口都插入1个访问连接，路由器每个接口的IP地址都是每个VLAN的默认网关Cisco路由器支持ISL，路由的最低型号是2600系列，1600、1700和2500系列都不支持　　假如有太多的VLAN，数量超过了路由器接口数量，可以使用Cisco的三层交换机Cisco 3550，或者使用路由器的快速以太网接口来做ISL或者802.1Q的中继连接，这样的方法叫做单臂路由(Router on a Stick)，如图7.15所示第7章网络互联设备图7.15　3个VLAN之间的相互通信第7章网络互联设备　　　　6. VLAN配置实例配置实例　　下面以中型局域网VLAN为例，介绍最常用的按端口划分VLAN的配置方法　　某公司有计算机100台左右，主要使用网络的部门有生产部(20台)、财务部(15台)、人事部(8台)和信息中心(12台)四个部分，如图7.16所示第7章网络互联设备图7.16　中型局域网VLAN 第7章网络互联设备　　网络基本结构为：整个网络中干部分采用3台Catalyst 2950网管型交换机(分别命名为Switch1、Switch2和Switch3，各交换机根据需要下接若干个集线器，主要用于非VLAN用户，如行政文书、临时用户等)和1台Cisco 2514路由器，整个网络都通过路由器Cisco 2514与外部互联网进行连接。

　　所连的用户主要分布于四个部分，即生产部、财务部、信息中心和人事部主要对这四个部分用户单独划分VLAN，以确保相应部门网络资源不被盗用或破坏第7章网络互联设备　　现为了公司相应部分网络资源的安全性需要，公司采用了VLAN的方法来解决安全问题通过VLAN的划分，可以把公司主要网络划分为生产部、财务部、人事部和信息中心四个主要部分，对应的VLAN组名为Prod、Fina、Huma、Info，各VLAN组所对应的网段如表7.2所示第7章网络互联设备表表7.2　各　各VLAN组所对应的网段组所对应的网段　　VLAN的配置过程其实非常简单，只需两步：第一步，为各VLAN组命名；第二步，把相应的VLAN对应到相应的交换机端口第7章网络互联设备 7.5.6 三层交换机三层交换机　　　　1. 三层交换的原理与特点三层交换的原理与特点　　普通交换机工作在OSI七层模型的第二层，即数据链路层，交换以MAC地址为基础IP处于OSI协议栈的第三层，通常由路由器实现网间互连工作在第三层的路由器将网络分为几个管理方便的广播域，通过软件交换信息包各工作组中的独立广播域减少了广播流量并保证了网络的安全。

但是路由器接入增加了数据传输的时间延迟，降低了网络的性能，而且路由器的配置和管理技术复杂、成本昂贵，越来越成为网络的瓶颈第7章网络互联设备　　三层交换借助于线速交换技术，把路由功能集成到交换机中，这种交换机称为路由交换机或第三层交换机简单地说，三层交换技术就是将路由与交换合二为一的技术　　三层交换机能够根据网络层信息，对包含有网络目的地址和信息类型的数据进行更好的转发，还可选择优先权工作，交换MAC地址，从而解决网络瓶颈问题三层交换机的运行速度通常要比路由器快得多，它还可以运行像RIP这类传统的路由协议第三层路由交换机要比传统的基于软件的多协议路由器快一个数量级第7章网络互联设备　　与二层交换机相比，三层交换机工作在IP层，根据IP地址转发数据包使用三层交换机有很多优点：它可以实现本地和多个交换机上的VLAN之间的路由；访问控制列表(Access Control Lists，ACL)可以提高安全性；另外，它还解决了二层交换的生成树的限制，提高了收敛速度；它可以屏蔽掉广播包，抑制广播风暴；多台三层交换还可以建立一个虚拟路由器，可以提高系统的冗余性VRRP 第7章网络互联设备　　　　2. 三层交换机的选择三层交换机的选择　　(1) 选择可信的技术指标。

选择第三层交换机时，首先要分析各种产品的性能指标面对诸如交换容量(Gb/s)、背板带宽(Gb/s)、处理能力(Mp/s)、吞吐量(Mp/s)等众多技术指标，最好还是紧紧抓住“满配置时的吞吐量”这个指标，因为其他技术指标用户没有能力进行测量，惟有吞吐量是用户可以使用Smart Bits和IXIA等测试仪表直接测量和验证的指标第7章网络互联设备　　(2) 选择正确的产品模块不同品牌交换机所采用的交换机技术完全不同，主要分为集中式和分布式两类传统总线式交换结构模块是集中式，现代交换矩阵模块是分布式由于企业内联网中运行的音频、视频及数据信息量越来越大，使之对交换机处理能力的要求也越来越高因为总线式交换机模块在以太环境下，仍然免不了冲突测试，而矩阵式恰恰避免了端口交换时的冲突现象如果要实现在高端口密度条件下的高速无阻塞交换，应采用分布式第三层交换机第7章网络互联设备　　(3) 关注延时与延时抖动指标企业内联网几乎都是高速局域网，其目的就是为了音频、视频等大容量多媒体数据的传输，而这些大容量多媒体数据包最忌因延时较长而数据包丢失使信息传输产生抖动有些传统集中式交换机的延时高达2 ms，而某些现代分布式交换机的延时只有10 μs左右，两者相差上百倍。

而导致延时过高的原因通常包括阻塞设计的交换结构、过量使用缓冲等所以关注延时实际上是关注产品的模块结构第7章网络互联设备　　(4) 性能稳定第三层交换机多用于骨干和汇聚层，位居网络中心关口，如果性能不稳定，则会波及网络系统的大部分主机甚至整个网络系统，所以只有性能稳定的第三层交换机才是网络系统连续、可靠、安全、正常运行的保证由于设备性能实际上是通过多项基本技术指标和市场声誉来实现的因此完全可以通过测试吞吐量、延迟、丢帧率、背对背功能、地址表深度、线端阻塞、多对一功能等多项指标以及市场应用调查来确定其中背对背交换能力直接影响到整体包转发和数据流处理能力，对于性能稳定具有较强的参考价值第7章网络互联设备　　(5) 安全可靠从“安全”上看，配备支持性能优良、没有安全漏洞的防火墙功能的第三层交换机是非常必要的从“可靠”上看，发生故障时能否迅速切换到一个好设备上，是令人关心的问题另外，在硬件上要考虑冗余能力，如电源、管理模块、端口等重要部件是否支持冗余，这对诸如电信、金融等对安全可靠性要求高的用户尤其重要再就是散热方式，如散热风扇等设置是否合理、美观等最后考虑的则是产品符合何种安全性国际或国家标准，如电磁辐射标准、各种安全标准等。

宽带运营商的第三层交换机还应支持一些特殊的协议如802.1x等，以实现认证第7章网络互联设备　　(6) 功能齐全产品不但要满足现有需求，还应满足未来一段时间内的需求，从而给用户一个增值空间，为将来网络扩展提供保障还有一些功能，如组播、QoS、端口干路(Port Trunking)、802.1d生成树(Spanning Tree)以及是否支持RIP、OSPF协议等路由协议，对第三层交换机来说都是十分重要的　　还有一个重要功能是访问列表网管人员可以通过第三层交换机设置一个简单命令行，使VLAN间正常通信，这就是访问列表功能它是从路由器移植到第三层交换机上的一个功能，可以实现不同VLAN间的单向或双向通信还可通过在访问列表中的设置，禁止员工访问非法站点等第7章网络互联设备　　(7) 良好的服务用户购买的不仅仅是设备，也包括对公司网络的承诺，即要选择那些具有对自己提供相关售后服务保证能力的产品所以，选购时应考察厂家是否能快速响应用户的疑难问题，能否快速更换产品和配件，能否为用户提供定制的功能和服务等　　(8) 良好的易用性第三层交换机所支持的功能较强，不管是硬件还是软件，较之传统二层设备，在管理方面都较复杂。

因此，在外观上应看看指示灯设置是否合理，是否设有故障指示灯和流量指示灯等；是否有电源开关；是否有供机架安装的附件；说明书应明了、详尽，最好有中文说明书；网管软件也最好有中文界面等第7章网络互联设备　　(9) 较好的性价比IT设备的特点是升级快、性能增强快、降价也快，所以用户在选购设备时，应该考虑自己的资金和需求实际情况，在充分考虑日后升级的前提下，以设备性能稳定、好用和够用为标准，切莫片面追求高性能、全功能，不必为那些不需要的功能付钱第7章网络互联设备　　　　3. 三层交换机的安装与初步调试三层交换机的安装与初步调试　　以下介绍基于Cisco交换机的VLANCisco的VLAN实现通常是以端口为中心的与节点相连的端口将确定它所驻留的VLAN将端口分配给VLAN的方式有静态和动态两种形成静态VLAN的过程是将端口强制性地分配给VLAN的过程，即先在VTP(VLAN　Trunking Protoco1)Server上建立VLAN，然后将每个端口分配给相应的VLAN这是创建VLAN最常用的方法第7章网络互联设备　　动态VLAN形成很简单，由端口决定自己属于哪个VLAN，即先建立一个VLAN管理策略服务器(VLAN Membership Policy Server，VMPS)，里面包含一个文本文件，文件中存有与VLAN映射的MAC地址表。

交换机根据这个映射表决定将端口分配给何种VLAN这种方法有很大的优势，但是创建数据库是一项非常艰苦而繁琐的工作第7章网络互联设备 7.6 路路由由器器 7.6.1 路由器的功能路由器的功能　　路由器(Router)是一种典型的网络层设备它在两个局域网之间接收并转发帧数据，在OSI/RM之中被称为中介系统，完成网络层中继或第三层中继的任务路由器负责在两个局域网的网络层间接收并转发帧数据，转发帧时需要改变帧中的地址第7章网络互联设备　　所谓路由，就是指通过相互连接的网络把信息从源地点移动到目标地点的活动一般来说，在路由过程中，信息至少会经过一个或多个中间节点通常，人们会把路由和交换进行对比，这主要是因为在普通用户看来两者所实现的功能是完全一样的其实，路由和交换之间的主要区别就是交换发生在OSI参考模型的第二层(数据链路层)，而路由发生在第三层，即网络层这一区别决定了路由和交换在移动信息的过程中需要使用不同的控制信息，所以两者实现各自功能的方式是不同的第7章网络互联设备　　路由器是用于连接多个逻辑上分开的网络，所谓逻辑网络是指一个单独的网络或者一个子网当数据从一个子网传输到另一个子网时，可通过路由器来完成。

因此，路由器具有判断网络地址和选择路径的功能，它能在多网络互联环境中建立灵活的连接，可用完全不同的数据分组和介质访问方法连接各种子网，路由器只接收源站或其他路由器的信息，属网络层的一种互联设备它不关心各子网使用的硬件设备，但要求运行与网络层协议相一致的软件路由器分本地路由器和远程路由器本地路由器是用来连接网络传输介质的，如光纤、同轴电缆、双绞线；远程路由器是用来连接远程传输介质，并要求相应的设备，如线要配调制解调器，无线要通过无线接收机和发射机第7章网络互联设备　　一般说来，异种网络互联与多个子网互联都应采用路由器来完成　　路由器的主要工作就是为经过路由器的每个数据帧寻找一条最佳传输路径，并将该数据有效地传送到目的站点由此可见，选择最佳路径的策略即路由算法是路由器的关键所在为了完成这项工作，在路由器中保存着各种传输路径的相关数据——路径表(Routing Table)第7章网络互联设备　　1) 静态路径表　　由系统管理员事先设置好固定的路径表称之为静态(Static)路径表，一般是在系统安装时就根据网络的配置情况预先设定的，它不会随未来网络结构的改变而改变　　2) 动态路径表　　动态(Dynamic)路径表是路由器根据网络系统的运行情况而自动调整的路径表。

路由器根据路由选择协议(Routing　Protocol)第7章网络互联设备 7.6.2 路由器的优缺点路由器的优缺点　　　　1. 优点优点 u 适用于大规模的网络； u 复杂的网络拓扑结构，负载共享和最优路径； u 能更好地处理多媒体； u 安全性高； u 隔离不需要的通信量； u 节省局域网的频宽；　u减少主机负担第7章网络互联设备　　　　2. 缺点缺点 u 它不支持非路由协议； u 安装复杂； u 价格高第7章网络互联设备 7.6.3 路由器产品选型路由器产品选型　　路由器在网络环境中是一个非常重要的设备，在不同的网络应用环境中，如何选择合适的路由器，往往成为决定网络建设成败的重要因素宽带路由器市场已日渐火爆起来，越来越多的用户开始使用宽带路由器解决多台电脑共享上网的问题但目前宽带路由器品牌很多，性能和质量参差不齐，用户在购买产品时，也往往只看重价格，对于宽带路由器所具有的功能、性能并不十分了解那么，如何选择一款适合自己的宽带路由器呢？第7章网络互联设备　　宽带路由器的主要硬件包括处理器、内存、闪存、广域网接口和局域网接口，其中，我们可直接看到的是一个广域网接口(与宽带网入口连接)和四个具有集线器与交换机功能的接口。

处理器的型号和频率、内存与闪存的大小是决定宽带路由器档次的关键宽带路由器的处理器一般是x86、ARM7、ARM9和MIPS等，低档宽带路由器的处理器频率只有33 MHz，内存只有4 MB，这样的宽带路由器适合普通家庭用户；中高档的宽带路由器的处理器频率可达100 MHz，内存不少于8 MB，适合网吧及中小企业用户第7章网络互联设备　　在选择宽带路由器时，首先要看硬件处理器、内存、闪存、广域网接口和局域网接口都很重要处理器决定性能和速度，内存和闪存是功能扩展的基础因此，硬件型号好，质量就高，路由器功能就稳定，扩展性就好　　随着技术的不断发展，宽带路由器的功能在不断扩展目前，市场上大部分宽带路由器都提供VPN、防火墙、DMZ、按需拨号、支持虚拟服务器、支持动态DNS等功能有关专家建议，要根据自身需求和投资大小来衡量在选择时，要了解宽带路由器的各种功能及其适用场合第7章网络互联设备　　(1) MAC功能：目前大部分宽带运营商都将NAC地址和用户的ID、IP地址捆绑在一起，以此进行用户上网认证带有MAC地址功能的宽带路由器可将网卡上的MAC地址写入，让服务器通过接入时的MAC地址验证，以获取宽带接入认证。

　　(2) 网络地址转换(NAT)功能：NAT功能将局域网内分配给每台电脑的IP地址转换成合法注册的Internet实际IP地址，从而使内部网络的每台电脑可直接与Internet上的其他主机进行通信第7章网络互联设备　　(3) 动态主机配置协议(DHCP)功能：DHCP能自动将IP地址分配给登录到TCP/IP网络的客户工作站它提供安全、可靠、简单的网络设置，避免地址冲突这对于家庭用户来说非常重要　　(4) 防火墙功能：防火墙可以对流经它的网络数据进行扫描，从而过滤掉一些攻击信息防火墙还可以关闭不使用的端口，从而防止黑客攻击而且它还能禁止特定端口流出信息，禁止来自特殊站点的访问第7章网络互联设备　　(5) 虚拟专用网(VPN)功能：VPN能利用Internet公用网络建立一个拥有自主权的私有网络，一个安全的VPN包括隧道、加密、认证、访问控制和审核技术对于企业用户来说，这一功能非常重要，不仅可以节约开支，而且能保证企业信息安全　　(6) DMZ功能：DMZ的主要作用是减少为不信任客户提供服务而引发的危险DMZ能将公众主机和局域网络设施分离开来大部分宽带路由器只可选择单台PC开启DMZ功能，也有一些功能较为齐全的宽带路由器可以设置多台PC提供DMZ功能。

第7章网络互联设备　　(7) DDNS功能：DDNS是动态域名服务，能将用户的动态IP地址映射到一个固定的域名解析服务器上，使IP地址与固定域名绑定，完成域名解析任务DDNS可以帮用户构建虚拟主机，以自己的域名发布信息　　另外，宽带路由器还有即插即用(PnP)、自动线序识别等功能一般来讲，功能和价格是成正比的用户在选择功能时要按自己的需求来决定，千万不能以“越贵越好”、“品牌越响越好”的原则去选择，避免浪费或重复投资其实，合适的就是最好的第7章网络互联设备 7.6.4 路由器与网桥的比较路由器与网桥的比较　　典型情况下，路由器用于将地理上分散的网络连接在一起，使得将大量计算机连接到一起成为可能在路由器流行之前，通常使用网桥来达到同样的目的网桥在小规模网络中表现出色，但在大环境中就出现了问题网桥要记住网络上所有独立的计算机用网桥将大量计算机连接在一起的问题就在于网桥不能理解网络号，因此在网络上任何地方生成的广播将被发送到网上的每一个地方第7章网络互联设备　　许多PC机网络系统广泛使用广播功能，这使得桥接网络中的大量可用带宽被广播所消耗对于这一点，我们来对比一下在互联网络中的路由器和典型的工作站或主机的路由决策。

　　典型的工作站(例如，运行当前流行的TCP/IP协议栈的PC机)能在TCP/IP网络上工作之前，需要进行一些手工配置必须至少配置一个IP地址、一个子网掩码和一个缺省网关第7章网络互联设备　　在工作站上，以这种方式配置的路由决策非常简单如果工作站要向位于同一网络上的另一台计算机发送一个报文分组Packet，该报文分组被直接送到目的计算机如果目的计算机位于不同的网络上，则该报文分组被转发到缺省网关，进行路由，最终到达目的地第7章网络互联设备 7.7 网网关关 7.7.1 网关的基本概念网关的基本概念　　网关(Gateway)就是一个网络连接到另一个网络的“关口”　　按照不同的分类标准，网关也有很多种TCP/IP协议里的网关是最常用的，在这里我们所讲的“网关”均指TCP/IP协议下的网关第7章网络互联设备　　那么网关到底是什么呢？网关实质上是一个网络通向其他网络的IP地址比如有网络A和网络B，网络A的IP地址范围为192.168.1.1～192.168.1.254，子网掩码为255.255.255.0；网络B的IP地址范围为192.168.2.1～192.168.2.254，子网掩码为255.255.255.0。

在没有路由器的情况下，两个网络之间是不能进行TCP/IP通信的，即使是两个网络连接在同一台交换机(或集线器)上，TCP/IP协议也会根据子网掩码(255.255.255.0)判定两个网络中的主机处在不同的网络里而要实现这两个网络之间的通信，则必须通过网关如果网络A中的主机发现数据包的目的主机不在本地网络中，就把数据包转发给它自己的网关，再由网关转发给网络B的网关，网络B的网关再转发给网络B的某个主机(如图7.17所示)网络B向网络A转发数据包的过程也是如此第7章网络互联设备图7.17　网关第7章网络互联设备　　在OSI中，网关有两种：一种是面向连接的网关，一种是无连接的网关当两个子网之间有一定距离时，往往将一个网关分成两半，中间用一条链路连接起来，我们称之为半网关　　无连接的网关用于数据报网络的互联；面向连接的网关用于虚拟电路网络的互联，例如在网间互联和X.25与X.75协议间的互联　　网关提供的服务是全方位的例如，若要实现IBM公司的SNA与DEC公司的DNA之间的网关，则需要完成复杂的协议转换工作，并将数据重新分组后才能传送第7章网络互联设备　　网关的实现非常复杂，工作效率也很难提高，一般只提供有限的几种协议的转换功能。

常见的网关设备都是用在网络中心的大型计算机系统之间的连接上，为普通用户访问更多类型的大型计算机系统提供帮助　　当然，有些网关可以通过软件来实现协议转换操作，并能起到与硬件类似的作用但它是以损耗机器的运行时间来实现的第7章网络互联设备　　网关在概念上与网桥相似，它与网桥的不同之处就在于：　　(1) 网关是用来实现不同局域网的连接　　(2) 网关建在应用层，网桥建在数据链路层　　网关比起网桥有一个主要的优势，它可以将具有不相容地址格式的网络相连起来第7章网络互联设备 7.7.2 网关的分类网关的分类　　　　1. 协议网关协议网关　　协议网关通常在使用不同协议的网络区域间做协议转换这一转换过程可以发生在OSI参考模型的第二层、第三层或二、三层之间但是有两种协议网关不提供转换的功能：安全网关和管道由于两个互连的网络区域的逻辑差异，安全网关是两个技术上相似的网络区域间的必要中介如私有广域网和公有的因特网第7章网络互联设备　　1) 管道网关　　管道是通过不兼容的网络区域传输数据的比较通用的技术数据分组被封装在可以被传输网络识别的帧中，到达目的地时，接收主机解开封装，把封装信息丢弃，这样分组就被恢复到了原先的格式。

例如在图7.18中，IPv4数据由路由器A封装在IPv6分组中，然后通过IPv6网络传递给一个IPv4主机，再由路由器解开IPv6的封装，把还原的IPv4数据传递给目的主机第7章网络互联设备图7.18　管道网关第7章网络互联设备　　管道技术只能用于三层协议，从SNA到IPv6虽然管道技术有能够克服特定网络拓扑限制的优点，但它也有缺点管道的本质可以隐藏不该接受的分组，简单来说，管道可以通过封装来攻破防火墙，把本该过滤掉的数据传给私有的网络区域第7章网络互联设备　　2) 专用网关　　很多专用网关能够在传统的大型机系统和迅速发展的分布式处理系统间建立桥梁典型的专用网关用于把基于PC的客户端连到局域网边缘的转换器该转换器通过X.25网络提供对大型机系统的访问图7.19演示了从PC客户端到网关的过程，网关将IP数据通过X.25广域网传送给大型机第7章网络互联设备图7.19　专用网关第7章网络互联设备　　3) 两层协议网关　　两层协议网关提供局域网到局域网的转换，它们通常被称为翻译网桥而不是协议网关在使用不同帧类型或时钟频率的局域网间互连可能就需要这种转换。

　　(1) 帧格式差异IEEE 802兼容的局域网共享公共的介质访问层，但是它们的帧结构和介质访问机制使它们不能直接互通，如图7.20所示第7章网络互联设备图7.20　两层协议网关帧格式差异第7章网络互联设备　　翻译网桥利用了两层的共同点，如MAC地址，提供帧结构不同部分的动态翻译，使它们的互通成为可能第一代局域网需要独立的设备来提供翻译网桥，如今的多协议交换集线器通常提供高带宽主干，在不同帧类型间可作为翻译网桥，如图7.21所示第7章网络互联设备图7.21　翻译网桥第7章网络互联设备　　现在翻译网桥的幕后性质使这种协议转换变得模糊，独立的翻译设备不再需要，多功能交换集线器天生就具有两层协议转换网关的功能　　替代使用仅涉及两层的设备如翻译网桥或多协议交换集线器的另一种选择是使用三层设备——路由器长期以来路由器就是局域网主干的重要组成部分如果路由器用于互连局域网和广域网，它们通常都支持标准的局域网接口，经过适当的配置，路由器很容易提供不同帧类型的翻译这种方案的缺点是如果使用三层设备则路由器需要表查询，这是软件功能，而像交换机和集线器等两层设备的功能由硬件来实现，从而可以运行得更快。

第7章网络互联设备　　(2) 传输率差异很多过去的局域网技术已经提升了传输速率，例如，IEEE 802.3以太网现在有10 Mb/s、100 Mb/s和1 Gb/s的版本，它们的帧结构是相同的，主要的区别在于物理层以及介质访问机制，在各种区别中，传输速率是最明显的差异令牌环网也提升了传输速率，早期版本工作在4 Mb/s速率下，现在的版本速率为16 Mb/s，100 Mb/s的FDDI是直接从令牌环发展来的，通常用作令牌环网的主干这些仅有时钟频率不同的局域网技术需要一种机制在两个其他方面都兼容的局域网间提供缓冲的接口，现今的多协议、高带宽的交换集线器都提供了能够缓冲速率差异的健壮的背板第7章网络互联设备　　　　2. 应用网关应用网关　　应用网关是在使用不同数据格式间翻译数据的系统典型的应用网关接收一种格式的输入，将之翻译，然后以新的格式输出，如图7.22所示输入和输出接口可以是分立的，也可以使用同一网络连接　　一种应用可以有多种应用网关如E-mail可以多种格式实现，提供E-mail的服务器可能需要与各种格式的邮件服务器交互，实现此功能惟一的方法是支持多个网关接口　第7章网络互联设备图7.22　应用网关的输入/输出第7章网络互联设备　　应用网关也可以用于将局域网客户机与外部数据源相连，这种网关为本地主机提供了与远程交互式应用的连接。

将应用的逻辑和执行代码置于局域网中的客户端，避免了广域网低带宽、高延迟的缺点，这就使得客户端的响应时间更短应用网关将请求发送给相应的计算机，获取数据，如果需要就把数据格式转换成客户机所要求的格式，如图7.23所示第7章网络互联设备图7.23　应用网关的例子第7章网络互联设备 7.7.3 网关协议网关协议　　网关协议分为内部网关协议(IGP)与外部网关协议(EGP)　　内部网关协议：在自主系统中交换路由选择信息的路由协议，常用的因特网内部网关协议有IGRP、OSPF和RIP等　　外部网关协议：用于在自治系统之间交换路由选择信息的互联网络协议，如BGP　　下面对这几种常见的路由协议作一简单介绍第7章网络互联设备　　(1) RIP：即路由信息协议(Routing Information Protocol)，是一种古老的基于距离矢量算法的路由协议，通过计算抵达目的地的最少跳数(hop)来选取最佳路径RIP协议的跳数最多计算到15跳，当超过这个数字时，RIP协议会认为目的地不可达此外，单纯的以跳数作为选路的依据不能充分描述路径特征，可能导致所选的路径不是最优因此RIP协议只适用于中小型的网络中。

RIP已经成为在网关、路由器和主机间实现路由信息交换的实际标准几乎所有的IP路由器都支持RIP协议第7章网络互联设备　　(2) IGRP(专有协议)：即内部网关路由协议(Interior Gateway Route Protocol)，是由Cisco公司开发的一种距离矢量路由协议同RIP相比，IGRP将网络的带宽、时延、可靠性和负载等因素综合起来，提供一种混合的选路度量这种方式可以更真实地反映网络的路径特性，避免了RIP中出现的问题IGRP也有跳数的概念，但它的最大跳数是255，可以应用在大规模的网络中第7章网络互联设备　　(3) OSPF：即开放式最短路径优先(Open Shortest Path First)，是一种链路状态路由协议每一个OSPF路由器都维护一个相同的网络拓扑数据库，从这个数据库中，可以构造一个最短路径树来计算路由表OSPF的收敛速度比RIP要快，而且在更新路由信息时，产生的流量也较少为了管理大规模的网络，OSPF采用分层的连接结构，将自治系统分为不同的区域，以减少路由重新计算的时间第7章网络互联设备　　(4) BGP：即边界网关路由协议(Border Gateway Protocol)，是一种自治系统(AS)间的路由协议，它的主要功能是同其他的BGP系统交换网络可达信息。

BGP属于外部网关路由协议，可以实现自治系统间的路由信息的无环路交换以无类域间路由(CIDR)为基础，BGP已经发展到可支持路由信息的聚合和削减第7章网络互联设备 7.8.1 防火墙概述防火墙概述　　随着计算机网络的发展，上网的人数不断地增大，网上的资源也不断地增加，网络的开放性、共享性、互连程度也随着扩大政府上网工程的启动和实施，电子商务(Electronic Commerce)、电子货币(Electronic Currency)、网上银行等网络新业务的兴起和发展，使得网络安全问题显得日益重要和突出防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施 7.8 防火墙防火墙第7章网络互联设备　　防火墙(Firewall)实际上是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问，也可以使用防火墙阻止保密信息从受保护网络上被非法输出换言之，防火墙是一道门槛，控制进出两个方向的通信通过限制与网络或某一特定区域的通信，以达到防止非法用户侵犯受保护网络的目的　　防火墙不是一个单独的计算机程序或设备理论上，防火墙由软件和硬件两部分组成，用来阻止所有网络间不受欢迎的信息交换，而允许那些可接受的通信。

第7章网络互联设备　　网络防火墙是一种用来加强网络之间访问控制的特殊网络设备，它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略对其进行检查，来决定网络之间的通信是否被允许，其中被保护的网络称为内部网络或私有网络，另一方则被称为外部网络或公用网络防火墙能有效地控制内部网络与外部网络之间的访问及数据传输，从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的防火墙简单的可以只用路由器实现，复杂的可以用主机甚至一个子网来实现设置防火墙的目的是为了在内部网与外部网之间设立惟一的通道，简化网络的安全管理第7章网络互联设备防火墙的功能有：(1) 过滤掉不安全服务和非法用户2) 控制对特殊站点的访问3) 提供监视Internet安全和预警的方便端点第7章网络互联设备 7.8.2 防火墙的种类防火墙的种类　　防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型，但总体来讲可分为三大类：分组过滤、应用代理和代理服务器　　　　1. 分组过滤分组过滤　　分组过滤(Packet Filtering)作用在网络层和传输层，它根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过。

只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃第7章网络互联设备　　分组过滤或包过滤是一种通用、廉价、有效的安全手段之所以通用，是因为它不针对各个具体的网络服务采取特殊的处理方式；之所以廉价，是因为大多数路由器都提供分组过滤功能；之所以有效，是因为它能很大程度地满足企业的安全要求　　包过滤在网络层和传输层起作用它根据分组包的源、宿地址，端口号及协议类型、标志确定是否允许分组包通过所根据的信息来源于IP、TCP 或UDP包头第7章网络互联设备　　包过滤的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关但其弱点也是明显的：通过过滤判别的只有网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大的影响；由于缺少上下文关联信息，不能有效地过滤如UDP、RPC一类的协议；大多数过滤器中缺少审计和报警机制，且管理方式和用户界面较差；对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。

第7章网络互联设备　　　　2. 应用代理应用代理　　应用代理(Application Proxy)也叫应用网关(Application Gateway)，它作用在应用层，其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用实际中的应用网关通常由专用工作站实现　　应用代理型防火墙是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作用，同时也常结合过滤器的功能它工作在OSI模型的最高层，掌握着应用系统中可用作安全决策的全部信息第7章网络互联设备　　　　3. 代理服务器代理服务器　　代理服务器(Proxy Server)作用在应用层，它用来提供应用层服务的控制，在内部网络向外部网络申请服务时可起到中间转接的作用内部网络只接受代理提出的服务请求，拒绝外部网络其他接点的直接请求　　具体地说，代理服务器是运行在防火墙主机上的专门的应用程序或者服务器程序；防火墙主机可以是具有一个内部网络接口和一个外部网络接口的双重宿主主机，也可以是一些可以访问因特网并被内部主机访问的堡垒主机这些程序接受用户对因特网服务的请求(诸如FTP、Telnet)，并按照一定的安全策略转发它们到实际的服务中。

代理提供代替连接并且充当服务的网关第7章网络互联设备　　以上三种防火墙技术都有自身的优点和缺点包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据通过，其优点是速度快、实现方便，缺点是审计功能差，过滤规则的设计存在矛盾关系，过滤规则简单，安全性差，过滤规则复杂，管理困难一旦判断条件满足，防火墙内部网络的结构和运行状态便“暴露”在外来用户面前代理技术则既能进行安全控制又可以加速访问，能够有效地实现防火墙内外计算机系统的隔离，安全性好，还可用于实施较强的数据流监控、过滤、记录和报告等功能其缺点是对于每一种应用服务都必须为其设计一个代理软件模块来进行安全控制，而每一种网络应用服务的安全问题各不相同，分析困难，因此实现也困难第7章网络互联设备　　在实际应用当中，构筑防火墙的“真正的解决方案”很少采用单一的技术，通常是多种解决不同问题的技术的有机组合你需要解决的问题依赖于你想要向你的客户提供什么样的服务，以及你愿意接受什么等级的风险，采用何种技术来解决这些问题依赖于你的时间、金钱、专长等因素　　一些协议(如Telnet、SMTP)能更有效地处理数据包过滤，而另一些(如FTP、Gopher、WWW)能更有效地处理代理。

大多数防火墙将数据包过滤和代理服务器结合起来使用　第7章网络互联设备 7.8.3 防火墙的体系结构防火墙的体系结构　　　　1. 双重宿主主机体系结构双重宿主主机体系结构　　双重宿主主机体系结构围绕双重宿主主机构筑双重宿主主机至少有两个网络接口这样的主机可以充当与这些接口相连的网络之间的路由器；它能够从一个网络到另外一个网络发送IP数据包然而双重宿主主机的防火墙体系结构禁止这种发送因此IP数据包并不是从一个网络(如外部网络)直接发送到另一个网络(如内部网络)外部网络能与双重宿主主机通信，内部网络也能与双重宿主主机通信但是外部网络与内部网络不能直接通信，它们之间的通信必须经过双重宿主主机的过滤和控制，如图7.24所示第7章网络互联设备图7.24　双重宿主结构第7章网络互联设备　　　　2. 被屏蔽主机体系结构被屏蔽主机体系结构　　双重宿主主机体系结构防火墙没有使用路由器而被屏蔽主机体系结构防火墙则使用一个路由器把内部网络和外部网络隔离开，如图7.25所示在这种体系结构中，主要的安全由数据包过滤提供(例如，数据包过滤用于防止人们绕过代理服务器直接相连) 第7章网络互联设备图7.25　被屏蔽主机结构第7章网络互联设备　　这种体系结构涉及到堡垒主机。

堡垒主机是因特网上的主机能连接到的惟一的内部网络上的系统任何外部的系统要访问内部的系统或服务，都必须先连接到这台主机上因此，堡垒主机要保持更高等级的主机安全　　数据包过滤容许堡垒主机开放可允许的连接(什么是“可允许连接”将由你的站点的特殊的安全策略决定)到外部世界第7章网络互联设备　　在屏蔽的路由器中数据包过滤配置可以按下列方案之一执行：　　方案一，允许其他的内部主机为了某些服务开放到Internet上的主机连接(允许那些经由数据包过滤的服务)　　方案二，不允许来自内部主机的所有连接(强迫那些主机经由堡垒主机使用代理服务) 第7章网络互联设备　　　　3. 被屏蔽子网体系结构被屏蔽子网体系结构　　被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步地把内部网络和外部网络(通常是Internet)隔离开，如图7.26所示　　被屏蔽子网体系结构最简单的形式为，两个屏蔽路由器，每一个都连接到周边网，一个位于周边网与内部网络之间，另一个位于周边网与外部网络(通常为Internet)之间这样就在内部网络与外部网络之间形成了一个“隔离带”为了侵入用这种体系结构构筑的内部网络，侵袭者必须通过两个路由器。

即使侵袭者侵入堡垒主机，他仍然必须通过内部路由器第7章网络互联设备图7.26　被屏蔽子网结构第7章网络互联设备 7.8.4 内部防火墙内部防火墙　　在企业网络体系结构中，通常有三个区域：　　(1) 边界网络：此网络通过路由器直接面向 Internet，应该以基本网络通信筛选的形式提供初始层面的保护它通过外围防火墙将数据输入到外围网络　　(2) 外围网络：此网络通常称为 DMZ(非保护网络)或者边缘网络，将传入用户链接到Web服务器或其他服务然后，Web 服务器将通过内部防火墙链接到内部网络　第7章网络互联设备　　(3) 内部网络：内部网络链接各个内部服务器(如 SQL Server)和内部用户　　企业组织中，常常有两个不同的防火墙：外围防火墙和内部防火墙虽然这些防火墙的任务相似，但是它们也有不同的侧重点：外围防火墙主要提供对不受信任的外部用户的限制，而内部防火墙主要防止外部用户访问内部网络，并且限制内部用户可以执行的操作第7章网络互联设备　　在图7.27所示的防火墙方案中，包括两个防火墙：外围防火墙抵挡外围网络的攻击，并管理所有内部网络对DMZ的访问；内部防火墙管理DMZ对内部网络的访问。

内部防火墙是内部网络的第三道安全防线(前面有了外围防火墙和堡垒主机)，当外围防火墙失效的时候，它还可以起到保护内部网络的功能而在局域网内部，对于Internet的访问由内部防火墙和位于DMZ的堡垒主机控制在这样的结构里，一个黑客必须通过三个独立的区域(外围防火墙、内部防火墙和堡垒主机)才能够到达局域网，攻击难度大大加强第7章网络互联设备图7.27　防火墙体系第7章网络互联设备 7.8.5 防火墙的选择防火墙的选择　　在市场上，防火墙的售价差别极为悬殊，从几万元到数十万元，甚至到百万元由于各企业用户使用的安全程度不尽相同，因此厂商所推出的产品也有所区分，甚至有些公司还推出了类似模块化的功能产品，以符合各种不同企业的安全要求在选购防火墙时，应着重考虑以下三个要素第7章网络互联设备　　　　1．防火墙的基本功能．防火墙的基本功能　　防火墙系统可以说是网络的第一道防线，因此一个企业在决定使用防火墙保护内部网络的安全时，它首先需要了解一个防火墙系统应具备的基本功能，这是用户选择防火墙产品的依据和前提一个成功的防火墙产品应该具有下述基本功能：　第7章网络互联设备　　防火墙的设计策略应遵循安全防范的基本原则：“除非明确允许，否则就禁止”；防火墙本身支持安全策略，而不是添加上去的；如果组织机构的安全策略发生改变，可以加入新的服务；有先进的认证手段或有挂钩程序，可以安装先进的认证方法；如果需要，可以运用过滤技术允许和禁止服务；可以使用FTP和Telnet等服务代理，以便先进的认证手段可以被安装和运行在防火墙上；拥有界面友好、易于编程的IP过滤语言，并可以根据数据包的性质进行包过滤，数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等。

第7章网络互联设备　　如果用户需要NNTP(网络消息传输协议)、XWindow、HTTP和Gopher等服务，防火墙应该包含相应的代理服务程序防火墙也应具有集中邮件的功能，以减少SMTP服务器和外界服务器的直接连接，并可以集中处理整个站点的电子邮件防火墙应允许公众对站点的访问，应把信息服务器和其他内部服务器分开第7章网络互联设备　　防火墙应该能够集中和过滤拨入访问，并可以记录网络流量和可疑的活动此外，为了使日志具有可读性，防火墙应具有精简日志的能力虽然没有必要让防火墙的操作系统和公司内部使用的操作系统一样，但在防火墙上运行一个管理员熟悉的操作系统会使管理变得简单防火墙的强度和正确性应该可被验证，设计尽量简单，以便管理员理解和维护防火墙和相应的操作系统应该用补丁程序进行升级且升级必须定期进行　　正像前面提到的那样，Internet每时每刻都在发生着变化，新的易攻击点随时可能会产生当新的危险出现时，新的服务和升级工作可能会对防火墙的安装产生潜在的阻力，因此防火墙的可适应性是很重要的第7章网络互联设备　　2．企业的特殊要求　　企业安全策略中往往有些特殊需求不是每一个防火墙都会提供的，这方面常会成为选择防火墙的考虑因素之一，常见的需求如下：　　(1) 网络地址转换功能(NAT)。

进行地址转换有两个好处：其一是隐藏内部网络真正的IP，这可以使黑客无法直接攻击内部网络，也是笔者之所以要强调防火墙自身安全性问题的主要原因；另一个好处是可以让内部网络使用保留的IP，这对许多IP不足的企业是有益的第7章网络互联设备　　(2) 双重DNS当内部网络使用没有注册的IP地址，或是防火墙进行IP转换时，DNS也必须经过转换，因为同样的一个主机在内部的IP与给予外界的IP将会不同，有的防火墙会提供双重DNS，有的则必须在不同主机上各安装一个DNS 　　(3) 虚拟专用网络(VPN)VPN可以在防火墙与防火墙或移动的客户端之间对所有网络传输的内容加密，建立一个虚拟通道，让两者感觉是在同一个网络上，可以安全且不受拘束地互相存取第7章网络互联设备　　(4) 杀毒功能大部分防火墙都可以与防病毒软件搭配实现杀毒功能，有的防火墙则可以直接集成杀毒功能，差别只是杀毒工作是由防火墙完成，或是由另一台专用的计算机完成　　(5) 特殊控制需求有时候企业会有特别的控制需求，如限制特定使用者才能发送E-mail，FTP只能下载文件不能上传文件，限制同时上网人数，限制使用时间或阻塞Java、ActiveX控件等，此时应依据需求不同而定。

第7章网络互联设备　　　　3．与用户网络结合．与用户网络结合　　(1) 管理的难易度防火墙管理的难易度是防火墙能否达到目的的主要考虑因素之一一般企业之所以很少以已有的网络设备直接当作防火墙，其原因除了先前提到的包过滤并不能达到完全的控制之外，设定工作困难、须具备完整的知识以及不容易排除错误等管理问题，更是一般企业不愿意使用的主要原因第7章网络互联设备　　(2) 自身的安全性大多数人在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支持多少种服务上，而往往忽略了一点，防火墙也是网络上的主机之一，也可能存在安全问题，防火墙如果不能确保自身安全，则防火墙的控制功能再强，也终究不能完全保护内部网络第7章网络互联设备　　大部分防火墙都安装在一般的操作系统上，如UNIX、Windows系统等在防火墙主机上执行的除了防火墙软件外，所有的程序、系统核心，也大多来自于操作系统本身的原有程序当防火墙主机上所执行的软件出现安全漏洞时，防火墙本身也将受到威胁此时，任何防火墙控制机制都可能失效，因为当一个黑客取得了防火墙上的控制权以后，黑客几乎可为所欲为地修改防火墙上的访问规则，进而侵入更多的系统。

因此防火墙自身应有相当高的安全保护第7章网络互联设备　　(3) 完善的售后服务用户在选购防火墙产品时，除了从以上的功能特点考虑之外，还应该注意好的防火墙应该是企业整体网络的保护者，并能弥补其他操作系统的不足，使操作系统的安全性不足不会对企业网络的整体安全造成影响防火墙应该能够支持多种平台，因为使用者才是完全的控制者，而使用者的平台往往是多种多样的，应选择一套符合现有环境需求的防火墙产品由于新产品的出现，就会有人研究新的破解方法，所以好的防火墙产品应拥有完善及时的售后服务体系第7章网络互联设备　　(4) 完整的安全检查好的防火墙还应该向使用者提供完整的安全检查功能，但是一个安全的网络仍必须依靠使用者的观察及改进，因为防火墙并不能有效地杜绝所有的恶意封包，企业想要达到真正的安全仍然需要内部人员不断记录、改进、追踪防火墙可以限制惟有合法的使用者才能进行连接，但是否存在利用合法掩护非法的情形仍需依靠管理者来发现第7章网络互联设备小小结结　　本章主要介绍了常用的网络互联设备：中继器(Repeater)、集线器 (HUB)、网卡 (NIC)、调制解调器 (Modem)、网桥(Bridge)、交换机、路由器、网关(Gateway)和防火墙等。

涉及到这些设备的分类以及如何选购这些设备另外，针对目前市面上应用比较多的虚拟局域网(VLAN)和三层交换机做了简要的介绍第7章网络互联设备习习题题与与思思考考　1. 中继器的优缺点是什么？　2. 对比集线器和交换机的应用特点　3. 局域网交换机的种类有哪些？　4. 调制解调器如果按线路划分有哪些类型？　5. 构造生成树的算法是什么？　6. 路由器的特点是什么？ 7. 静态路由表和动态路由表的区别是什么？第7章网络互联设备 8. 简述防火墙的功能和种类9. 简述几种主要防火墙的原理及优缺点10. 简述防火墙的体系结构11. 简述VLAN的优点，它对VLAN广播有什么影响12. VLAN的帧标记有什么作用，它有哪几种标识方式？13. 什么是三层交换机？简述其工作原理。

点击阅读更多内容