hup的工作原理 交换机的工作原理 路由器的工作原理 防火墙的定义和主要功能是什么??
kuaidi.ping-jia.net 作者:佚名 更新日期:2024-07-07
集线器、交换机、路由器、防火墙的工作原理和作用区别
集线器(HUB)是局域网LAN中重要的部件之一,它是网络连线的连接点。其基本的工作原理是使用广播技术,也就是HUB从任一个端口收到一个信息包后,它都将此信息包广播发送到其它的所有端口,而HUB并不记忆该信息包是由哪一个MAC地址挂在哪一个端 口。接在HUB端口上的网卡NIC根据该信息包所要求执行的功能执行相应动作,这是由网络层之上控制的。上面所说的广播技术是指HUB将该信息包发以广播发送的形式发送到其它所有端口,并不是将该包改变为广播数据包。
集线器的工作原理很类似于现实中投递员的工作,投递员只是根据信封上的地址传递信件,并不理会信的内容以及收信人是否回信,也不管是否收信人由于某种原因而没有回信,而导致发信人着急。唯一不同的就是投递员在找不到该地址时会将信退回,而 HUB不管退信,仅仅负责转发而已。
交换机
交换机能够检查每一个收到的数据包,并且对该数据包进行相应的动作处理。在交换机内保存着每一个网段上所有节点的物理地址,它只允许必要的网络流量通过交换机。例如,当交换机接收到一个数据包之后,它需要根据自身以保存的网络地址表来检验数据包内所包含的 发送方地址和接收方地址。如果接收方地址位于发送方地址网段,那么该数据包将会被交换机丢弃,不会通过交换机传送到其它的网段;如果接收方地址与发送方地址是属于两个不同的网段内,那么该数据包就会被交换机转发到目标网段。这样,我们就可以通过交换机的过 滤和转发功能,来避免网络广播风暴,减少误包和错包的出现。
在实际网络构件的过程中,是选择使用交换机还是选择其它的网络部件,主要还是要根据不同部件在网络中的不同作用来决定。在网络中交换机主要具有两方面的重要作用。第一,交换机可以将原有的网络划分成多个子网络,能够做到扩展网络有效传输距离,并支持更多的 网络节点。第二,使用交换机来划分网络还可以有效隔离网络流量,减少网络中的冲突,缓解网络拥挤情况。但是,在使用交换机进行处理数据包的时候,不可避免的会带来处理延迟时间,所以如果在不必要的情况下盲目使用交换机就可能会在实际上降低整个网络的性能。
路由器工作原理
传统地,路由器工作于OSI七层协议中的第三层,其主要任务是接收来自一个网络接口的数据包,根据其中所含的目的地址,决定转发到下一个目的地址。因此,路由器首先得在转发路由表中查找它的目的地址,若找到了目的地址,就在数据包的帧格前添加下一个MAC地址,同时IP数据包头的TTL(Time To Live)域也开始减数,并重新计算校验和。当数据包被送到输出端口时,它需要按顺序等待,以便被传送到输出链路上。
路由器在工作时能够按照某种路由通信协议查找设备中的路由表。如果到某一特定节点有一条以上的路径,则基本预先确定的路由准则是选择最优(或最经济)的传输路径。由于各种网络段和其相互连接情况可能会因环境变化而变化,因此路由情况的信息一般也按所使用的路由信息协议的规定而定时更新。
网络中,每个路由器的基本功能都是按照一定的规则来动态地更新它所保持的路由表,以便保持路由信息的有效性。为了便于在网络间传送报文,路由器总是先按照预定的规则把较大的数据分解成适当大小的数据包,再将这些数据包分别通过相同或不同路径发送出去。当这些数据包按先后秩序到达目的地后,再把分解的数据包按照一定顺序包装成原有的报文形式。路由器的分层寻址功能是路由器的重要功能之一,该功能可以帮助具有很多节点站的网络来存储寻址信息,同时还能在网络间截获发送到远地网段的报文,起转发作用;选择最合理的路由,引导通信也是路由器基本功能;多协议路由器还可以连接使用不同通信协议的网络段,成为不同通信协议网络段之间的通信平台。
一般来说,路由器的主要工作是对数据包进行存储转发,具体过程如下:
第一步:当数据包到达路由器,根据网络物理接口的类型,路由器调用相应的链路层功能模块,以解释处理此数据包的链路层协议报头。这一步处理比较简单,主要是对数据的完整性进行验证,如CRC校验、帧长度检查等。
第二步:在链路层完成对数据帧的完整性验证后,路由器开始处理此数据帧的IP层。这一过程是路由器功能的核心。根据数据帧中IP包头的目的IP地址,路由器在路由表中查找下一跳的IP地址;同时,IP数据包头的TTL(Time To Live)域开始减数,并重新计算校验和(Checksum)。
第三步:根据路由表中所查到的下一跳IP地址,将IP数据包送往相应的输出链路层,被封装上相应的链路层包头,最后经输出网络物理接口发送出去。
简单地说,路由器的主要工作就是为经过路由器的每个数据包寻找一条最佳传输路径,并将该数据包有效地传送到目的站点。由此可见,选择最佳路径策略或叫选择最佳路由算法是路由器的关键所在。为了完成这项工作,在路由器中保存着各种传输路径的相关数据——路由表(Routing Table),供路由选择时使用。上述过程描述了路由器的主要而且关键的工作过程,但没有说明其它附加性能,例如访问控制、网络地址转换、排队优先级等。
防火墙
防火墙的概念
当然,既然打算由浅入深的来了解,就要先看看防火墙的概念了。防火墙是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦著火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。再电脑术语中,当然就不是这个意思了,我们可以类比来理解,在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
防火墙的功能
防火墙是网络安全的屏障:
一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
防火墙可以强化网络安全策略:
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
对网络存取和访问进行监控审计:
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
防止内部信息的外泄:
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。
除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN(虚拟专用网)。
● 方式:
◇ 包过滤:防火墙检查数据包中记录的源地址、目的地址与相应端口号来判断该包是否被允许通过
◇ 状态检测:通过生成相应的状态表,并对该连接的后续数据包,只要符合状态表即可通过
● 种类:
◇ 软件级防火墙
◇ 硬件级防火墙
◇ 芯片级防火墙
集线器:首先去了解一下阿罗哈原理、CSMA/CD,集线器工作原理很简单比如:A先侦测信道空闲否,如果空闲,A发送信号至集线器,如果不冲突A就完事了,如果这时集线器下的B也侦测到空闲并发送信号,那么在发送时B与集线器之间的连接线同时存在A发的信号、B自己发的信号,那么这是B就判断产生冲突,发送阻塞信号,集线器同时收到2个信号也发阻塞,A收2信号也阻塞,大家都阻塞以后就重新随即的找个时候继续发,完事。普通集线器就起到信号放大的作用,智能点的向交换机靠拢,反正技术落后快没的搞了。交换机:原理太多,讲不清楚,区别就是集线器是个冲突域,但是交换机可以隔离冲突域,因为他不广播,直接找端口地址表的MAC地址。也能隔离广播域,划分VLAN,不同VLAN不能广播。路由器:原理里面主要知识有:NAT DHCP DDSN PPPOE ICMP。他一般就是异种网络互连,最佳路由寻址。能隔离广播域、冲突域。防火墙就不了解了。
集线器(HUB)是局域网LAN中重要的部件之一,它是网络连线的连接点。其基本的工作原理是使用广播技术,也就是HUB从任一个端口收到一个信息包后,它都将此信息包广播发送到其它的所有端口,而HUB并不记忆该信息包是由哪一个MAC地址挂在哪一个端 口。接在HUB端口上的网卡NIC根据该信息包所要求执行的功能执行相应动作,这是由网络层之上控制的。上面所说的广播技术是指HUB将该信息包发以广播发送的形式发送到其它所有端口,并不是将该包改变为广播数据包。
集线器的工作原理很类似于现实中投递员的工作,投递员只是根据信封上的地址传递信件,并不理会信的内容以及收信人是否回信,也不管是否收信人由于某种原因而没有回信,而导致发信人着急。唯一不同的就是投递员在找不到该地址时会将信退回,而 HUB不管退信,仅仅负责转发而已。
交换机
交换机能够检查每一个收到的数据包,并且对该数据包进行相应的动作处理。在交换机内保存着每一个网段上所有节点的物理地址,它只允许必要的网络流量通过交换机。例如,当交换机接收到一个数据包之后,它需要根据自身以保存的网络地址表来检验数据包内所包含的 发送方地址和接收方地址。如果接收方地址位于发送方地址网段,那么该数据包将会被交换机丢弃,不会通过交换机传送到其它的网段;如果接收方地址与发送方地址是属于两个不同的网段内,那么该数据包就会被交换机转发到目标网段。这样,我们就可以通过交换机的过 滤和转发功能,来避免网络广播风暴,减少误包和错包的出现。
在实际网络构件的过程中,是选择使用交换机还是选择其它的网络部件,主要还是要根据不同部件在网络中的不同作用来决定。在网络中交换机主要具有两方面的重要作用。第一,交换机可以将原有的网络划分成多个子网络,能够做到扩展网络有效传输距离,并支持更多的 网络节点。第二,使用交换机来划分网络还可以有效隔离网络流量,减少网络中的冲突,缓解网络拥挤情况。但是,在使用交换机进行处理数据包的时候,不可避免的会带来处理延迟时间,所以如果在不必要的情况下盲目使用交换机就可能会在实际上降低整个网络的性能。
路由器工作原理
传统地,路由器工作于OSI七层协议中的第三层,其主要任务是接收来自一个网络接口的数据包,根据其中所含的目的地址,决定转发到下一个目的地址。因此,路由器首先得在转发路由表中查找它的目的地址,若找到了目的地址,就在数据包的帧格前添加下一个MAC地址,同时IP数据包头的TTL(Time To Live)域也开始减数,并重新计算校验和。当数据包被送到输出端口时,它需要按顺序等待,以便被传送到输出链路上。
路由器在工作时能够按照某种路由通信协议查找设备中的路由表。如果到某一特定节点有一条以上的路径,则基本预先确定的路由准则是选择最优(或最经济)的传输路径。由于各种网络段和其相互连接情况可能会因环境变化而变化,因此路由情况的信息一般也按所使用的路由信息协议的规定而定时更新。
网络中,每个路由器的基本功能都是按照一定的规则来动态地更新它所保持的路由表,以便保持路由信息的有效性。为了便于在网络间传送报文,路由器总是先按照预定的规则把较大的数据分解成适当大小的数据包,再将这些数据包分别通过相同或不同路径发送出去。当这些数据包按先后秩序到达目的地后,再把分解的数据包按照一定顺序包装成原有的报文形式。路由器的分层寻址功能是路由器的重要功能之一,该功能可以帮助具有很多节点站的网络来存储寻址信息,同时还能在网络间截获发送到远地网段的报文,起转发作用;选择最合理的路由,引导通信也是路由器基本功能;多协议路由器还可以连接使用不同通信协议的网络段,成为不同通信协议网络段之间的通信平台。
一般来说,路由器的主要工作是对数据包进行存储转发,具体过程如下:
第一步:当数据包到达路由器,根据网络物理接口的类型,路由器调用相应的链路层功能模块,以解释处理此数据包的链路层协议报头。这一步处理比较简单,主要是对数据的完整性进行验证,如CRC校验、帧长度检查等。
第二步:在链路层完成对数据帧的完整性验证后,路由器开始处理此数据帧的IP层。这一过程是路由器功能的核心。根据数据帧中IP包头的目的IP地址,路由器在路由表中查找下一跳的IP地址;同时,IP数据包头的TTL(Time To Live)域开始减数,并重新计算校验和(Checksum)。
第三步:根据路由表中所查到的下一跳IP地址,将IP数据包送往相应的输出链路层,被封装上相应的链路层包头,最后经输出网络物理接口发送出去。
简单地说,路由器的主要工作就是为经过路由器的每个数据包寻找一条最佳传输路径,并将该数据包有效地传送到目的站点。由此可见,选择最佳路径策略或叫选择最佳路由算法是路由器的关键所在。为了完成这项工作,在路由器中保存着各种传输路径的相关数据——路由表(Routing Table),供路由选择时使用。上述过程描述了路由器的主要而且关键的工作过程,但没有说明其它附加性能,例如访问控制、网络地址转换、排队优先级等。
防火墙
防火墙的概念
当然,既然打算由浅入深的来了解,就要先看看防火墙的概念了。防火墙是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦著火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。再电脑术语中,当然就不是这个意思了,我们可以类比来理解,在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
防火墙的功能
防火墙是网络安全的屏障:
一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
防火墙可以强化网络安全策略:
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
对网络存取和访问进行监控审计:
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
防止内部信息的外泄:
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。
除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN(虚拟专用网)。
● 方式:
◇ 包过滤:防火墙检查数据包中记录的源地址、目的地址与相应端口号来判断该包是否被允许通过
◇ 状态检测:通过生成相应的状态表,并对该连接的后续数据包,只要符合状态表即可通过
● 种类:
◇ 软件级防火墙
◇ 硬件级防火墙
◇ 芯片级防火墙
