网络互连设备及技术

网络互连设备及技术第一页，共四十八页，2022年，8月28日网络互连的基本概念网络互连（Internetworking）是指将分布在不同地理位置的网络、设备相连接，以构成更大规模的互连网络系统，并实现互连网络资源的共享；互连的网络和设备可以是同种类型的网络、不同类型的网络，以及运行不同网络协议的设备与系统。第二页，共四十八页，2022年，8月28日典型网络互连设备——交换机第三页，共四十八页，2022年，8月28日局域网交换机的工作原理（续）以A机器向C机器发送数据包为例：A机器向控制单元发送一个数据帧，控制单元截取该数据帧的首部，该帧的首部包括了目标机器的MAC地址，控制单元将到交换表中查询该MAC地址对应的端口信息，然后将该数据帧从C机器所对应的端口发送到C机器。第四页，共四十八页，2022年，8月28日局域网交换机的技术特点低交换延迟支持不同的传输速率和工作模式支持虚拟局域网服务第五页，共四十八页，2022年，8月28日典型网络互连设备——网桥网桥的应用环境：一个单位的多个部门局域网的互连；办公楼之间局域网的互连；将数千台计算机按地理位置或组织关系划分为多个子网的互连；超过单个局域网的最大覆盖范围的多个局域网互连；企业中部门的信息对安全、保密方面要求不同的局域网互连。第六页，共四十八页，2022年，8月28日网桥的基本特征

网桥在数据链路层上实现局域网互连；网桥能够互连两个采用不同数据链路层协议、不同传输介质与不同传输速率的网络；网桥以接收、存储、地址过滤与转发的方式实现互连的网络之间的通信；网桥需要互连的网络在数据链路层以上采用相同的协议；网桥可以分隔两个网络之间的广播通信量，有利于改善互连网络的性能与安全性。第七页，共四十八页，2022年，8月28日网桥的分类透明网桥透明网桥由各网桥自己来决定路由选择，局域网上的各结点不负责路由选择；源路选网桥源路选网桥由发送帧的源结点负责路由选择。第八页，共四十八页，2022年，8月28日第九页，共四十八页，2022年，8月28日网桥与广播风暴第十页，共四十八页，2022年，8月28日典型网络互连设备——路由器路由器是在网络层上实现多个网络互连的设备；局域网的数据链路层与物理层可以是不同的，但数据链路层以上的高层要采用相同的协议；

路由器可以有效地隔离多个局域网的广播通信量，每一个局域网都是独立的子网。

第十一页，共四十八页，2022年，8月28日路由器的工作原理

第十二页，共四十八页，2022年，8月28日具体步骤第一步：当数据包到达路由器，根据网络物理接口的类型，路由器调用相应的链路层功能模块，以解释处理此数据包的链路层协议报头。主要是对数据的完整性进行验证，如CRC校验、帧长度检查等。

第十三页，共四十八页，2022年，8月28日具体步骤（续）第二步：在链路层完成对数据帧的完整性验证后，路由器开始处理此数据帧的IP层。根据数据帧中IP包头的目的IP地址，路由器在路由表中查找下一跳的IP地址；同时，IP数据包头的TTL（TimeToLive）域开始减数，并重新计算校验和（Checksum）。

第十四页，共四十八页，2022年，8月28日具体步骤（续）第三步：根据路由表中所查到的下一跳IP地址，将IP数据包送往相应的输出链路层，被封装上相应的链路层包头，最后经输出网络物理接口发送出去。

第十五页，共四十八页，2022年，8月28日多协议路由器的工作原理第十六页，共四十八页，2022年，8月28日典型的路由器产品

Cisco公司的Cisco系列路由器3Com公司的OfficeConnectNetBuilder系列Nortel公司的Accelar系列Intel公司的ExpressRouter系列华为公司的Quidway系列TP-LINKD-LINK第十七页，共四十八页，2022年，8月28日典型企业

网结构

第十八页，共四十八页，2022年，8月28日实际问题究竟有多少方法实现内网和外网间的互联？第十九页，共四十八页，2022年，8月28日问题的关键代理服务器路由器第二十页，共四十八页，2022年，8月28日第二十一页，共四十八页，2022年，8月28日第二十二页，共四十八页，2022年，8月28日路由器与代理服务器的比较从性能稳定的角度从价格角度从组网方便角度从故障发生角度第二十三页，共四十八页，2022年，8月28日家庭组建宽带无线网络第二十四页，共四十八页，2022年，8月28日典型网络互连设备——网关第二十五页，共四十八页，2022年，8月28日网关的基本类型网关通过使用适当的硬件与软件实现不同网络协议之间的转换功能；硬件提供不同网络的接口，软件实现不同互连网协议之间的转换。

第二十六页，共四十八页，2022年，8月28日网关实现协议转换的方法网关直接将输入网络的信息包的格式转换成输出网络信息包的格式；首先制定一种标准的网间信息包格式，网关在输入端将输入网络信息包格式转换成标准网间信息包格式，在输出端再将标准网间信息包格式转换成输出网络信息包格式。

第二十七页，共四十八页，2022年，8月28日防火墙技术防火墙：是计算机网络之间的一种特殊的访问控制设备，是设置在被保护网络和外部网络之间的一道屏障。

防火墙具有下列特征：所有从内到外和从外到内的通信量都必须经过防火墙。只有被认可的通信量，通过本地安全策略进行定义后，才允许传递。防火墙对于渗透是免疫的，即本身是不可穿透的。第二十八页，共四十八页，2022年，8月28日防火墙体系结构屏蔽路由器（ScreeningRouter）双宿主机网关（DualHomedGateway）被屏蔽主机网关（ScreenedHostGateway）单宿堡垒机双宿堡垒机被屏蔽子网（ScreenedSubnet）第二十九页，共四十八页，2022年，8月28日屏蔽路由器（ScreeningRouter）第三十页，共四十八页，2022年，8月28日双宿主机网关（DualHomedGateway）第三十一页，共四十八页，2022年，8月28日性能分析双宿主机用两个网络适配器分别连接两个网络，又称堡垒主机。堡垒主机上运行着防火墙软件（通常是代理服务器），可以转发应用程序，提供服务等。双宿主机网关有一个致命弱点，一旦入侵者侵入堡垒主机并使该主机只具有路由器功能，则任何网上用户均可以随便访问有保护的内部网络。第三十二页，共四十八页，2022年，8月28日被屏蔽主机网关（单宿堡垒主机）第三十三页，共四十八页，2022年，8月28日性能分析堡垒主机只有一个网卡，与内部网络连接。通常在路由器上设立过滤规则，并使这个单宿堡垒主机成为从Internet惟一可以访问的主机，确保了内部网络不受未被授权的外部用户的攻击。而Intranet内部的客户机，可以受控制地通过屏蔽主机和路由器访问Internet。

第三十四页，共四十八页，2022年，8月28日性能分析在提供直接的因特网访问方面提供了灵活性，如路由器可以配置成允许Web服务器和因特网之间有直接的数据通信量。如果分组过滤器被攻破，则因特网和专用网中的通信量就可以直接通过路由器而进入内部网。第三十五页，共四十八页，2022年，8月28日被屏蔽主机网关（双宿堡垒主机）第三十六页，共四十八页，2022年，8月28日性能分析双宿堡垒主机型与单宿堡垒主机型的区别是，堡垒主机有两块网卡，一块连接内部网络，一块连接包过滤路由器。双宿堡垒主机在应用层提供代理服务，与单宿型相比更加安全。

第三十七页，共四十八页，2022年，8月28日被屏蔽子网（ScreenedSubnet）第三十八页，共四十八页，2022年，8月28日性能分析使用了两个分组过滤路由器，一个在堡垒主机和因特网之间，另一个在堡垒主机和内部网之间。这样就创建了一个被隔离的子网，称为非军事区DMZ。因特网和内部网都有DMZ子网上主机的访问权利，但是穿越DMZ子网的通信量将被阻断。这种配置的优点：有三级防卫措施来抵抗入侵者。外部的路由器只对因特网通告屏蔽子网DMZ的存在，因此，内部网对于因特网是不可见的。内部路由器只对内部网络通告屏蔽子网的存在，因此，内部网络中的系统不能构造到因特网的直接通信。第三十九页，共四十八页，2022年，8月28日防火墙的一种常用配置

两个路由器：根据某种规则表，进行包过滤。一个应用网关：审查应用层信息。第四十页，共四十八页，2022年，8月28日防火墙产品选购策略防火墙的安全性防火墙的高效性防火墙的适用性防火墙的可管理性完善及时的售后服务体系第四十一页，共四十八页，2022年，8月28日典型防火墙产品介绍CiscoPIX防火墙实时嵌入式操作系统。保护方案基于自适应安全算法（ASA），可以确保最高的安全性。用于验证和授权的“直通代理”技术。最多支持250000个同时连接。URL过滤。第四十二页，共四十八页，2022年，8月28日典型防火墙产品介绍3ComOfficeConnectFirewall新增的网络管理模块使技术经验有限的用户也能保障他们的商业信息的安全。OfficeConnectInternetFirewall25使用全静态数据包检验技术来防止非法的网络接入和防止来自Internet的“拒绝服务”攻击，它还可以限制局域网用户对Internet的不恰当使用。第四十三页，共四十八页，2022年，8月28日选读：第三层交换技术与应用

增加网络带宽与提高网络服务质量的解决途径可以有两个：一是采用光纤作为传输介质，增加传输通道的带宽；二是研究出性能更优越的路由器产品，提高网络数据交换能力;高性能的网络路由器设备是网络硬件制造商重点研究的问题之一;将交换机制引入路由器的设计中，大幅度缩短路由器对数据包的处理时间，提高网络数据交换能力，由此产生了第三层交换的概念。第四十四页，共四十八页，2022年，8月28日4.4.2网桥、交换机与第二层交换

局域网交换机与传统的集线器相比较，具有低数据传输延迟、高传输带宽的明显优点；网桥的数据帧转发功能是通过软件来实现的，而局域网交换机的数据帧转发功能是通过硬件来实现的；局域网交换机可以起到网桥的作用，同时又具有低交换传输延迟、高传输带宽的优点；通过硬件结构，使得局域网交换机的数据帧处理的延迟时间由网桥的几百个μs减少到几十μs。第四十五页，共四十八页，2022年，8月28日4.4.3第三层交换技术与产品

第三层交换技术：将局域网交换机的设计思想应用在路由器的设计中，就出现了第三层交换的概念；传统的路由器通过软件来实现路由选择功能，而第三层交换的路由器通过专用集成电路芯片来实现路由选择功能，将数据包处理时间从传统路由器的几千μs减少到几十μs，大大缩短数据包在交换设备中的传输延迟时间；通过硬件来实现第三层交换的路由器，在网络层协议类型上受到一定的限制。

第四十六页，共四十八页，2022年，8月28日典型的第三层交换产品

Cabletron公司的SmartSwitch系列路由器Foundry公司的BigIron系列与SererIron系列交换机PacketEngi