交換機、路由器、防火牆綜述

交換機、路由器、防火牆幾乎是現代區域網絡都要使用的網路設備，其中，交換機負責連接網路設備（如交換機、路由器、防火牆、無線AP等）和終端設備（如計算機、伺服器、攝像頭、網路印表機等）；路由器實現區域網與區域網的互聯，區域網與Internet的互聯；而防火牆作為一個安全網路設備，作用於內部網路與內部網路之間，或者內部網路與Internet之間。總的來說，交換機負責連接設備，路由器負責連接網路，防火牆負責網路訪問限制。

交換機連接圖：

路由器連接圖：

防火牆連接圖：

第一種連接方式

下面通過分別對交換機、路由器、防火牆的圖文描述，讓大家對這三個網路設備有進一步的了解。

一.交換機概述

1.交換機的功能

交換機的功能是連接計算機、伺服器、網路印表機、網路攝像頭、IP電話等終端設備，並實現與其它交換機、無線接入點、路由器、網路防火牆等網路設備的互聯，從而構建區域網絡，實現所有設備之間的通信。

2.交換機的工作原理

交換機位於OSI參考模型中的第二層（數據鏈路層），交換機的工作依賴於對MAC地址的識別（所有的網路設備都有一個唯一的MAC地址，通常是由廠商直接燒錄進網卡中）。

當交換機從其某個埠收到一個數據包時，先讀取包頭中的源MAC地址（即發送該數據包的設備網卡的MAC地址），將該MAC地址和埠對應起來添加到交換機內存里的地址表中；然後再讀取包頭中的目的MAC地址，對照內存里的地址表看該MAC地址與哪個埠對應，如果地址表中有該MAC地址的對應埠，則將該數據包直接複製到對應的埠上，如果沒有找到，則將該數據幀作為一個廣播幀發送到所有的埠，對應的MAC地址設備會自動接受該幀數據，同時，交換機將接受該幀數據的埠與這個目的MAC地址對應起來放入內存中的地址表中。

二.路由器概述：

路由器的功能

路由器是一種智能選擇數據傳輸路徑的網路設備，其依賴的是數據中的IP地址，功能如下：

1.連接網路

路由器也稱為網關，它將區域網絡連接起來組成規模更大的廣域網路，在連接異構網路時（異構網路就是指不同的網路類型，如ATM網路，FDDI網路，乙太網絡等），由於異構網路採用不同的數據封裝方式，無法直接通信，而路由器能夠將這些不同的封裝數據進行「翻譯」，從而實現異構網路的通信。此外，對於區域網而言，廣域網無疑是一個異構網路。

2.隔離廣播

由於交換機會將廣播發送到整個網路中的每個埠，這會嚴重影響網路的傳輸效率，並且會大量佔用計算機的CPU性能。路由器可以將這些廣播隔離在區域網內，以達到分隔廣播域的作用，從而提高每個區域網的傳輸效率。

如上圖所示，路由器將廣播域分成四個部分，每個交換機連接一個小的區域網，四個小型區域網分別使用各自的廣播域廣播。另外，使用VLAN(虛擬網)技術也能實現分隔廣播域的作用。

3.路由選擇

在路由器內存中的路由表中列出了整個互聯網路的各個節點，以及這些節點的路徑和傳輸費用（路由表會根據網路的實際情況不斷的動態更新它的路由表，從而保持有效的路由表），路由器會按照預先制定的策略，智能的選擇到達目的路由器的路徑。

如上路，如果不考慮傳輸費用的情況，路由器1到路由器4的傳輸，它會自動選擇1-4的路徑，而不是1-2-3-4的路徑。

4.網路安全

作為整個區域網絡與外界聯絡的唯一出口，路由器還擔負著保護內部用戶和數據的責任。

地址裝換：區域網內的終端設備使用的是內部保留IP地址（一般情況這些IP地址的IP段有：192.168.0.0--192.168.255.255,10.0.0.0--10.255.255.255,172.16.0.0--172.16.255.255等），這些IP地址並不會被路由到Internet，當內部終端設備需要和外部網路通信時，路由器會將地址轉換為合法的IP地址，實現對Internet的訪問。

訪問列表：網路工程師可以預先在路由器上設定各種訪問策略，規定哪段時間，什麼網路協議和哪種網路服務可以被允許進出區域網，從而提高了網路的傳輸效率和安全性。

路由器的工作原理

當同一網路中的計算機需要向同一網路中的另一台計算機發送數據時，只需將這一數據發送到這個網路，另一台計算機就能收到；當需要向其它網路的計算機發送數據時，將直接把數據發送到默認網關（即路由器的IP地址），由默認網關將數據通過最佳傳輸路徑轉發至目的計算機的默認網關，再由目的計算機的默認網關將數據發送給目的計算機。

路由器在發送數據包的時候會根據數據包中的目的IP地址查找路由表，如果路由表中有該IP的信息，路由器會選擇最佳傳輸路徑發送。如果路由表中沒有該IP，路由器則會將數據傳輸到路由器的默認網關（路由器的默認網關為網路中的另一個路由器的IP），通過路由器的默認網關路由器將數據傳輸出去，如果始終無法找到目的IP終端，則該數據包會被網路丟棄。

三.防火牆概述

防火牆又稱網路防火牆，是指設置在計算機網路之間的一道隔離裝置，它可以隔離兩個或者多個網路，限制網路互訪，從而保護內部網路用戶和數據的安全。

網路防火牆的功能

1.隔離網路

網路防火牆通常位於路由器與內部網路（即區域網）之間，對所有進出區域網的數據進行過濾和篩選，從而避免了來自外部網路的網路攻擊，保護了內部網路。

同時，網路防火牆還可以隔離內部網路，將內部網路中的一些重要部門和普通用戶隔離起來，從而避免來自網路內部的惡意攻擊。

2.保障安全

網路防火牆能將所有的安全軟體（如密碼、加密、身份證、審計等）設置在防火牆上，進行集中有效的管理。

內部網路和外部網路的所有數據流都要進過防火牆，防火牆通過查看這些數據流的IP地址和埠判定數據流是否符合防火牆預先設定的安全策略，如果符合，讓其通過；如果不符，則禁止通過。

網路防火牆可以將MAC地址與IP地址綁定起來，防止受控的網路內部用戶通過修改IP地址來訪問外網。

網路防火牆的工作原理

防火牆的種類大致可以分為兩種，一種是包過濾型防火牆，一種是應用代理防火牆。

1.包過濾防火牆

包過濾防火牆工作於OSI參考模型的第四層（即網路傳輸層），通過檢查每個數據包的IP地址，所採用的通信協議和埠號等判斷是否允許放行。防火牆通過將數據包的內部狀態信息和自己內存中設定的安全策略進行對照，如果該數據包符合安全策略中的某一條策略，那麼允許數據通過；如果不符合任何安全策略，那麼防火牆會執行默認的處理規則（一般情況下，默認的處理規則就是丟棄該數據包）。

2.應用代理防火牆

應用代理防火牆工作於OSI參考模型的第七層（即應用層），當客戶機需要使用伺服器上的數據時，首先將數據請求發送給代理伺服器，由代理伺服器根據這一請求向伺服器請求數據。然後再由代理伺服器將返回的數據轉給客戶機。由於外部系統與內部伺服器之間沒有直接的數據通道，外部的攻擊就難以進入到內部網路。

結語

不管是交換機，路由器還是防火牆，這些網路設備的功能實現都需要網路工程師預先對設備進行配置（比如VLAN虛擬網埠的劃分，防火牆安全策略的配置，路由器默認網關的設定等），其實從某種層面來說，這些網路設備都是計算機，都有cpu和內存，都是通過cpu對機器語言的「翻譯」來實現硬體功能的實現。