交換機(jī)、路由器和防火墻的原理和區(qū)別
交換機(jī)——橋接網(wǎng)絡(luò)設(shè)備
交換機(jī)是一種用于光/電信號轉(zhuǎn)發(fā)的網(wǎng)絡(luò)設(shè)備,通常工作在數(shù)據(jù)鏈路層或網(wǎng)絡(luò)層(即OSI參考模型的第二層和第三層),支持各種數(shù)據(jù)包協(xié)議。在局域網(wǎng)(LAN)中,交換機(jī)類似于城市中的立交橋,它的主要功能是橋接其他網(wǎng)絡(luò)設(shè)備(路由器、防火墻和無線接入點),并連接客戶端設(shè)備(計算機(jī)、服務(wù)器、網(wǎng)絡(luò)攝像機(jī)和IP打印機(jī)),從而構(gòu)建局域網(wǎng),實現(xiàn)所有設(shè)備之間的通信。簡而言之,交換機(jī)可以為網(wǎng)絡(luò)上所有的不同設(shè)備提供一個中心連接點。
工作原理
1. 當(dāng)交換機(jī)從其某個端口收到一個數(shù)據(jù)包時,會先讀取包頭中的源MAC地址(即發(fā)送該數(shù)據(jù)包的設(shè)備網(wǎng)卡的MAC地址),將該MAC地址和端口對應(yīng)起來添加到交換機(jī)內(nèi)存里的地址表中;
2. 然后再讀取包頭中的目的MAC地址,對照內(nèi)存里的地址表看該MAC地址與哪個端口對應(yīng),如果地址表中有該MAC地址的對應(yīng)端口,則將該數(shù)據(jù)包直接復(fù)制到對應(yīng)的端口上,如果沒有找到,則將該數(shù)據(jù)幀作為一個廣播幀發(fā)送到所有的端口,對應(yīng)的MAC地址設(shè)備會自動接受該幀數(shù)據(jù);
3. 同時,交換機(jī)將接受該幀數(shù)據(jù)的端口與這個目的MAC地址對應(yīng)起來放入內(nèi)存中的地址表中。這樣下次再有MAC 地址為這個MAC 地址的幀發(fā)送時交換機(jī)就可以直接從內(nèi)存里的地址表中找到對應(yīng)的轉(zhuǎn)發(fā)端口,直接轉(zhuǎn)發(fā),不用再泛洪了。
路由器——接入互聯(lián)網(wǎng)
路由器是用于連接多個邏輯上分開的網(wǎng)絡(luò),所謂邏輯網(wǎng)絡(luò)是代表一個單獨的網(wǎng)絡(luò)或者一個子網(wǎng)。當(dāng)數(shù)據(jù)從一個子網(wǎng)傳輸?shù)搅硪粋€子網(wǎng)時,可通過路由器來完成。路由器具有判斷網(wǎng)絡(luò)地址和選擇路徑的功能,它能在多網(wǎng)絡(luò)互聯(lián)環(huán)境中,建立靈活的連接,可用完全不同的數(shù)據(jù)分組和介質(zhì)訪問方法連接各種子網(wǎng),路由器只接受源站或其他路由器的信息,屬網(wǎng)絡(luò)層的一種互聯(lián)設(shè)備。它不關(guān)心各子網(wǎng)使用的硬件設(shè)備,但要求運行與網(wǎng)絡(luò)層協(xié)議相一致的軟件。其主要的目的就是為經(jīng)過路由器的每個數(shù)據(jù)幀尋找一條最佳傳輸路徑,并將該數(shù)據(jù)有效地傳送到目的站點。
工作原理
路由器檢查每個數(shù)據(jù)包的源IP地址和目的IP地址,并在IP路由表中查找數(shù)據(jù)包的目的地,再一遍又一遍地將數(shù)據(jù)包路由到另一個路由器或交換機(jī)上,直到到達(dá)目的IP地址并作出回應(yīng)。當(dāng)有多種方式都可以到達(dá)目的IP地址時,路由器可以巧妙地選擇最經(jīng)濟(jì)快捷的方式。當(dāng)路由表中沒有列出報文的目的地時,報文將被發(fā)送到默認(rèn)路由器(如果有的話),如果數(shù)據(jù)包沒有目的地,它將被丟棄。
通常情況下,路由器由Internet服務(wù)提供商(ISP)提供,并且Internet服務(wù)提供商會為您分配一個公共的路由器IP地址。當(dāng)瀏覽互聯(lián)網(wǎng)時,公共的IP地址會被識別為是外界IP地址,而私有IP地址會受到保護(hù)。然而,桌面、筆記本電腦、iPad、電視媒體盒和網(wǎng)絡(luò)復(fù)印機(jī)的私有IP地址完全不同,否則,路由器無法識別每個設(shè)備的請求。
作用
路由器在不同的網(wǎng)絡(luò)之間進(jìn)行轉(zhuǎn)換。除了最常用的以太網(wǎng),還有許多其他不同的網(wǎng)絡(luò),如ATM和令牌環(huán)網(wǎng)。網(wǎng)絡(luò)會以不同的方法封裝數(shù)據(jù),因此它們不能直接通信,而路由器可以從不同的網(wǎng)絡(luò)“轉(zhuǎn)換”這些數(shù)據(jù)包,以便不同網(wǎng)絡(luò)之間能夠更有效地傳輸數(shù)據(jù)。
路由器可以減少網(wǎng)絡(luò)混亂。若沒有路由器,廣播將轉(zhuǎn)發(fā)到每個設(shè)備的每個端口,并由每個設(shè)備處理。當(dāng)廣播數(shù)量太大時,整個網(wǎng)絡(luò)都會比較混亂,這時候路由器將網(wǎng)絡(luò)細(xì)分為兩個或多個由其連接的較小的網(wǎng)絡(luò),并且不允許廣播在子網(wǎng)之間傳輸。
交換機(jī)和路由器的區(qū)別
由于三層交換機(jī)能夠進(jìn)行路由,因此有人可能會問如果網(wǎng)絡(luò)中有三層交換機(jī),那么是不是不需要路由器?答案是依然需要路由器。每個設(shè)備都有自己的功能,要不要路由器取決于很多因素。一方面,對于具有10-100個用戶的小型網(wǎng)絡(luò),三層交換機(jī)的成本過高,而選擇一個合適的路由器就能夠以合理的成本滿足網(wǎng)絡(luò)需要。另一方面,您可以在路由器上安裝交換模塊,使其像三層交換機(jī)一樣工作。因此,設(shè)備的選擇應(yīng)該考慮可擴(kuò)展性、軟件功能、硬件性能、應(yīng)用情況、成本等因素,不能一概而論。
防火墻——保護(hù)網(wǎng)絡(luò)
防火墻也被稱為防護(hù)墻,它是一種位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng),可以將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離。通常,防火墻可以保護(hù)內(nèi)部/私有局域網(wǎng)免受外部攻擊,并防止重要數(shù)據(jù)泄露。在沒有防火墻的情況下,路由器會在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間盲目傳遞流量且沒有過濾機(jī)制,而防火墻不僅能夠監(jiān)控流量,還能夠阻止未經(jīng)授權(quán)的流量。
除了將內(nèi)部局域網(wǎng)與外部Internet隔離之外,防火墻還可以將局域網(wǎng)中的普通數(shù)據(jù)和重要數(shù)據(jù)進(jìn)行分離,所以也可以避免內(nèi)部入侵。
工作原理
防火墻有硬件防火墻和軟件防火墻這兩種類型,硬件防火墻允許您通過端口的傳輸控制協(xié)議(TCP)或用戶數(shù)據(jù)報協(xié)議(UDP)來定義阻塞規(guī)則,例如禁止不必要的端口和IP地址的訪問。軟件防火墻就像互連內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的代理服務(wù)器,它可以讓內(nèi)部網(wǎng)絡(luò)不直接與外部網(wǎng)絡(luò)進(jìn)行通信,但是很多企業(yè)和數(shù)據(jù)中心會將這兩種類型的防火墻進(jìn)行組合,主要是因為這樣做可以更加有效地提升網(wǎng)絡(luò)的安全性。
如何連接交換機(jī)、路由器和防火墻?
通常來說,路由器是局域網(wǎng)的第一步,而內(nèi)部網(wǎng)絡(luò)和路由器之間的防火墻用來過濾非法入,接下來需要連接的是交換機(jī)。需要注意的是,許多互聯(lián)網(wǎng)提供商現(xiàn)在正在提供光纖服務(wù)(FiOS),因此您需要在防火墻之前使用調(diào)制解調(diào)器將數(shù)字信號轉(zhuǎn)換成可通過以太網(wǎng)銅纜傳輸?shù)碾娦盘枴K缘湫偷倪B接方式依次是Internet-調(diào)制解調(diào)器-路由器-防火墻-交換機(jī),然后交換機(jī)再連接其他網(wǎng)絡(luò)設(shè)備。
結(jié)論
不管是交換機(jī),路由器還是防火墻,這些網(wǎng)絡(luò)設(shè)備的功能實現(xiàn)都需要網(wǎng)絡(luò)工程師預(yù)先對設(shè)備進(jìn)行配置(比如VLAN虛擬網(wǎng)端口的劃分,防火墻安全策略的配置,路由器默認(rèn)網(wǎng)關(guān)的設(shè)定等),充分認(rèn)識交換機(jī)、路由器和防火墻之間的不同將有助于您找到更適用于自身網(wǎng)絡(luò)的設(shè)備。希望通過本文對交換機(jī)、路由器和防火墻的介紹,您能更加清它們之間之間的區(qū)別,從而選出合適的設(shè)備用于網(wǎng)絡(luò)部署。
相關(guān)閱讀
一周排行榜
-
工程設(shè)計計算器
-
河姆渡方案館
