第1章 网络互联设备和管理

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,网络互联技术与实践教程,第一章 网络互联设备与管理,广东中山外语学校为加强教育信息化，在,2000,年建成校园网，实现部门之间互访，共享资源。建设完成校园网为二层架构：使用三层交换机充当核心，通过防火墙专线接入,Internent,，各楼层内使用二层交换机做接入，把校内各办公楼中计算机联为一体。学校各部门员工计算机，接入在各楼层安装的集线器设备，各楼层集线器接入到楼寓二层交换机上，其中教学楼、办公楼、实验楼、图书馆各安装有一台二层接入交换机，接入交换机再汇聚到网络中心三层交换机。,认识办公网络中网络设备,办公网中网络互联设备,第一节：物理层设备第二节：数据链路层设备第三节：网络层设备 第四节：应用层设备,第一节：物理层设备,办公网中网络互联设备,物理层设备在网络中连接示意图,物理层是指,OSI,参考模型最低层，物理层设备有,中继器,，,集线器,，,无线,AP,等。工作在物理层的设备由于性能限制，无法分辨出传输信号中的数据信息，其任务就是为和它互相连接的设备，提供一个传输数据的物理连接，数据流在物理信道上是以信号的方式进行传输的。,物理层设备,-,集线器,听,当,PC,A,要发一个数据包给,PC,D,的时候,首先,PCA,要先听,HUB,的链路上是否有数据在跑,如果有那么,PCA,等待,如果没有那么,PCA,将数据包发出,.,这样的做法是由于,HUB,上的链路是共享的,所以采用了发数据包之前先进行冲突检测的方法,那么我们称为,CSMA/CD,。,PC A,PC B,PC C,PC D,空闲,共享式以太网工作机制：,CSMA/CD,：载波侦听、多路访问、冲突检测,数据,工作原理：,CSMA/CD,共享式以太网的全网络广播和冲突,共享网络涉及到基本概念,共享式以太网：网络内一台主机发送数据的时候，其他主机只能接收数据，都不能发送数据；,冲突域：域内的不同设备同时发出的帧互相冲突；,特点为：每台主机得到的可用带宽很低，网上冲突增加，信息传输安全得不到保证。,广播域：网络中能接受到任何一设备发出的,广播信息,的所有设备的集合。当这些设备中的一个发出一个广播时，所有其他的设备都能接收到这个广播帧。,AP,（,Access Point,无线接入点）：,AP,相当于基站，主要作用将无线网络接入以太网，其次要将各无线网络客户端连接到一起，相当于以太网的集线器，使装有无线网卡的,PC,，通过,AP,共享有线局域网络甚至广域网络的资源，一个,AP,能够在几十至上百米的范围内连接多个无线用户。,组建,WLAN,基本设备,室内型无线接入点,安装,AP,wlan,网络模式,办公网中网络互联设备,第二节：数据链路层设备,数据链路层,设备在网络中连接示意图,数据链路可以粗略地理解为数据传输通道，位于物理层与网络层之间，是数据传输过程中比较重要一层。物理层设备为终端设备间提供传输媒介及连接，但通讯设备之间的传输连接只在通讯时暂时连接的。每次通信都要经过建立通信连接和拆除通信连接两个过程，这种建立起来的数据收发关系就叫,数据链路,，承担这种工作任务的设备，叫数据链路层设备，常见的数据链路层设备有,网卡、网桥、交换机,。,数据链路层工作原理,CSMA/CD,以太网原理：,CSMA/CD,（,载波侦听多路访问,/,冲突检测）,计算机发送数据前先侦听链路，若空闲则发送，若被占用则等待一个随机时间再试。,若两台计算机同时发送数据，都发送监听包侦听网络，两个监听包在网络上产生碰撞，双方均放弃发送，各自等待一个随机时间再试。,当在通讯量少时（,40%,），有很高的效率；当在通讯量大时，效率很低，造成所谓的广播风暴，容易发生阻塞甚至瘫痪。,Collision detected,MAC,地址,节点的身份证明,局域网中，网络设备利用数据包的,MAC,地址来寻找它的目的地址的,网卡,MAC,地址,数据链路层,基础知识,:,MAC,地址,MAC,地址,3,字节设备编号,3,字节厂商编号,数据,源地址,帧检测序列,类型,目的地址,可变,2,6,6,4,XXXXXX XXXXXX,由厂商分配给设备,由,IEEE,分配给厂商,(,如,:,锐捷网络,00-D0-F8),前导位,MAC,地址,8,单位,:,字节,Ethernet II,的帧格式,数据链路层,基础知识,-,帧,各个端口之间的数据互不影响,帧数据转发,数据链路层核心设备介绍,交换机用于连接局域网各节点，高性能的特殊计算机设备。,是一种具有简化、低价、高性能和高端口密集特点的交换产品。多端口的网桥。,二层交换属数据链路层，可以识别数据包中,MAC,地址，根据,MAC,地址转发信息，将,MAC,地址与对应端口记录在地址表。,RG-S2150G,交换机与集线器的区别,目的主机,1,共享式以太网,源主机,1,目的主机,2,源主机,2,交换式以太网,源主机,1,目的主机,1,源主机,2,目的主机,2,ROM,Flash,Interface,CPU,RAM,交换机设备硬件组成,交换机设备,=,硬件构件,+,软件操作系统,(RGNOS),CPU,：提供控制和管理，控制和管理所有网络通讯的运行，理论上可以执行任何网络功能。,例如：执行生成树、路由协议、,ARP,等。,CPU,提供了更快速和灵活的功能支持。,在交换机中，,CPU,的作用通常没有那么重要。因为大部分的交换计算由一种叫做专用集成电路,ASIC,的专用硬件来完成。,交换硬件控制中心,CPU,ASIC,：专门的硬件集成电路所有端口并行转发数据，提供高性能的基于硬件的功能特性，主要由两部分功能组成：,1,、转发功能：,L2,、,L3,、组播、,SPAN,（,交换端口分析器,）,2,、,端口,功能,：提供缓冲、拥塞避免、链路聚合、,VLAN,标记、广播抑制、,ACL,、,QOS,优点：性能高,速度快,缺点：研发周期比较长，功能无法灵活扩展,交换硬件构架的组成,ASIC,交换背板是交换机最重要的硬件组成，背板就像是公共汽车，运载并收发网络信息。高密度端口之间连接通道，类似,pc,中的主板。,SLOT 1,SLOT 2,SLOT 3,SLOT 4,SLOT 7,SLOT 8,SLOT 9,SLOT,9,SLOT,8,SLOT 10,S,LOT,10,SLOT,7,SLOT,4,SLOT,3,SLOT,2,SLOT,1,交换硬件构架的组成,交换背板,背板提供插槽,/,端口间的连接。提供插槽或端口间的连接和数据传输，背板设计直接影响整机处理性能。,交换机支持的接口类型,交换机支持的接口类型,交换机支持的模块,配置线缆介绍,两端都是,DB9,母头的配置线缆,一端是,DB9,母头，另一端是,DB9,公头的配置线缆,一端是,DB9,母头，另一端是,RJ45,头的配置线缆；,交换机软件：,RGNOS,RGNOS,是一种特殊的软件，可用它配置管理交换硬件，将信息从一个接口交换到另一个端口。是交换机产品的,“,力量之源,”,。正是由于,NOS,存在，才使交换机具有强大的生命力。,复习,Internet,（因特网）、,internet,（互连网）和,Intranet,（内联网或内部网）的概念。,Intranet,与局域网的关系,物理层设备,冲突域和广播域,数据链路层设备,交换机与集线器的区别,交换机的基本功能,地址学习（,Address learning,）,帧的转发和过滤（,Forword,/filter decision,）,环路避免（,Loop avoidance,）,二层交换,地址学习（,1,）,最初开机时,MAC,地址表是空的,MAC,地址表,0260.8c01.1111,0260.8c01.2222,0260.8c01.3333,0260.8c01.4444,E0,E1,E2,E3,A,B,C,D,二层交换,地址学习（,2,）,主机,A,发送数据帧给主机,C,交换机通过学习数据帧的源,MAC,地址，记录下主机,A,的,MAC,地址 对应端口,E0,该数据帧转发到除端口,E0,以外的其它所有端口,(,不清楚目标主机的单点传送用泛洪方式,),0260.8c01.1111,0260.8c01.2222,0260.8c01.3333,0260.8c01.4444,E0: 0260.8c01.1111,E0,E1,E2,E3,D,C,B,A,MAC,地址表,二层交换,地址学习（,3,）,主机,D,发送数据帧给主机,C,交换机通过学习数据帧的源,MAC,地址，记录下主机,D,的,MAC,地址对应端口,E03,该数据帧转发到除端口,E3,以外的其它所有端口,(,不清楚目标主机的单点传送用泛洪方式,),0260.8c01.1111,0260.8c01.2222,0260.8c01.3333,0260.8c01.4444,E0: 0260.8c01.1111,E3: 0260.8c01.4444,E0,E1,E2,E3,D,C,A,B,MAC,地址表,MAC,端口,设备,地址学习,MAC,地址表形成（,4,）,外部网,F,A B C,E1,E2,01-11-5A-00-43-7E,E1,A,01-11-51-00-78-AD,E1,B,01-11-51-00-ED-4F,E1,C,01-11-51-00-3C-C5,E2,F,源地址,A,01-11-5A-00-43-7E,目的地址,B,01-11-51-00-78-AD,源地址,B,01-11-51-00-78-AD,目的地址,A,01-11-5A-00-43-7E,源地址,C,01-11-51-00-ED-4F,目的地址,F,01-11-51-00-3C-C5,源地址,F,01-11-51-00-3C-C5,目的地址,C,01-11-51-00-ED-4F,交换机如何过滤帧,交换机,A,发送数据帧给主机,C,在地址表中有目标主机，数据帧不会泛洪而直接转发,E0: 0260.8c01.1111,E2: 0260.8c01.2222,E1: 0260.8c01.3333,E3: 0260.8c01.4444,0260.8c01.1111,0260.8c01.2222,0260.8c01.3333,0260.8c01.4444,E0,E1,E2,E3,X,X,D,C,A,B,MAC,地址表,主机,D,发送广播帧或多点帧,广播帧或多点帧泛洪到除源端口外的所有端口,0260.8c01.1111,0260.8c01.2222,0260.8c01.3333,0260.8c01.4444,E0,E1,E2,E3,D,C,A,B,E0: 0260.8c01.1111,E2: 0260.8c01.2222,E1: 0260.8c01.3333,E3: 0260.8c01.4444,广播帧和多点传送帧,MAC,地址表,交换机的交换地址表，一条表项主要由一个,MAC,地址和对应端口号组成。,整张表生成采用动态学习的方法，交换机收到一个数据帧以后，将帧的源地址和输入端口记录在地址表中。,每一条地址表项都有一个时间标记，用来指示该表项存储的时间周期。,如果在一定时间范围内，地址表项仍然没有被引用，它就会从地址表中被移走。因此，交换地址表中所维护的一直是最有效和最精确的地址,-,端口信息。,MAC,地址表知识,数据帧的过滤及转发,U,V,W,2,1,3,4,交换机,M,交换机,N,A,B,C,E,F,G,设备,端口,MAC,E,1,01-00-3E-D5-12-00,F,1,01-11-EA-78-EF-D4,G,1,01-3C-23-CA-E3-13,U,2,01-ED-4A-5F-B3-EA,V,2,E0-5C-23-5E-F2-07,W,2,00-4B-44-5E-BA-11,A,2,7E-13-A7-11-5C-31,B,2,78-00-11-ED-AF-7D,C,2,00-E3-5A-78-06-E1,设备,端口,MAC,A,4,7E-13-A7-11-5C-31,B,4,78-00-11-ED-AF-7D,C,4,00-E3-5A-78-06-E1,U,3,01-ED-4A-5F-B3-EA,V,3,E0-5C-23-5E-F2-07,W,3,00-4B-44-5E-BA-11,E,3,01-00-3E-D5-12-00,F,3,01-11-EA-78-EF-D4,G,3,01-3C-23-CA-E3-13,如果帧的目的,MAC,地址，是广播地址或者组播地址，则向交换机（除源端口外）所有端口转发； 如果帧的目的,MAC,地址，是单播地址，这个地址并不在交换机的地址表内，那么也会向交换机（除源端口外）所有端口转发； 如果帧的目的,MAC,地址，在交换机的地址表内，那么根据地址表转发到相应的端口；,如果帧的目的,MAC,地址，与数据帧的源地址在同一个端口上，它就会丢弃这个数据帧，交换也不会发生。,帧的转发和过滤,冗余网络拓扑,冗余拓扑消除了由于单点故障所引致的网络不通问题,冗余拓扑却带来了,广播风暴,、,重复帧,和,MAC,地址表不稳定,的问题,网段,1,网段,2,服务器,/,主机,X,路由器,Y,广播,交换机,A,交换机,B,主机,X,发送一广播信息,广播风暴,网段,1,网段,2,服务器,/,主机,X,路由器,Y,广播,广播风暴,交换机,A,交换机,B,主机,X,发送一广播信息,网段,1,网段,2,服务器,/,主机,X,路由器,Y,广播,交换机不停地发出广播信息,广播风暴,交换机,A,交换机,B,网段,1,网段,2,服务器,/,主机,X,路由器,Y,重复帧,单点帧,主机,X,发送一单点帧给路由器,Y,路由器,Y,的,MAC,地址还没有被交换机,A,和,B,学习到,交换机,A,交换机,B,网段,1,网段,2,服务器,/,主机,X,路由器,Y,单点帧,主机,X,发送一单点帧给路由器,Y,路由器,Y,的,MAC,地址还没有被交换机,A,和,B,学习到,路由器,Y,会收到同一帧的两个拷贝,单点帧,单点帧,重复帧,交换机,A,交换机,B,网段,1,网段,2,服务器,/,主机,X,路由器,Y,单点帧,单点帧,主机,X,发送一单点帧给路由器,Y,路由器,Y,的,MAC,地址还没有被交换机,A,和,B,学习到,交换机,A,和,B,都学习到主机,X,的,MAC,地址对应端口,0,端口,0,端口,1,端口,0,端口,1,MAC,地址表不稳定,交换机,A,交换机,B,网段,1,网段,2,服务器,/,主机,X,路由器,Y,Unicast,主机,X,发送一单点帧给路由器,Y,路由器,Y,的,MAC,地址还没有被交换机,A,和,B,学习到,交换机,A,和,B,都学习到主机,X,的,MAC,地址对应端口,0,到路由器,Y,的数据帧在交换机,A,和,B,上会泛洪处理,交换机,A,和,B,都错误学习到主机,X,的,MAC,地址对应端口,1,MAC,地址表不稳定,单点帧,端口,0,端口,1,端口,0,端口,1,交换机,A,交换机,B,网段,1,网段,2,服务器,/,主机,X,路由器,Y,更复杂的拓扑结构可能导致多重回路,在第,2,层没有能够防止这种回路的机制,服务器,/,主机,工作站,回路,回路,回路,多重回路问题,广播,回路的解决办法,:,生成树协议,Spanning-Tree Protocol,将某些端口置于阻塞状态就能防止冗余结构的网络拓扑中产生回路,阻塞,x,交换机转发帧的模式,存储转发式,直通式,无碎片直通式,交换机的交换方式（,1,）,直通转发（,Cut-through,）,前导,SFD,目的,MAC,源,MAC,长度,DATA,FCS,7,字节,1,字节,6,字节,6,字节,2,字节 多达,1500,字节,4,字节,直通转发：不进行错误检查,正常帧,残帧,超长帧,正常帧,残帧,超长帧,直,通式转发帧,直通式方式在输入端口检测到一个数据包后，只检查其包头，取出目的地址，通过内部的地址表，确定相应的输出端口，然后把数据包转发到输出端口。,因为它只检查数据包的包头（通常只检查,14,个字节）。,存储转发（,Store-and-forward,）,交换机的交换方式（,2,）,前导,SFD,目的,MAC,源,MAC,长度,DATA,FCS,7,字节,1,字节,6,字节,6,字节,2,字节 多达,1500,字节,4,字节,存储转发：对所有的错误进行检查，延迟高,正常帧,残帧,超长帧,正常帧,存储转发式,存储转发是使用得最为广泛的技术之一，在这种工作方式下交换机的控制器先缓存输入到端口的数据包，然后进行,CRC,校验，滤掉不正确的帧，确认包正确后，取出目的地址，通过内部的地址表确定相应的输出端口，然后把数据包转发到输出端口。,碎片隔离（,FragmentFree,）,交换机的交换方式（,3,）,正常帧,残帧,超长帧,正常帧,前导,SFD,目的,MAC,源,MAC,长度,DATA,FCS,7,字节,1,字节,6,字节,6,字节,2,字节 多达,1500,字节,4,字节,碎片隔离：检查前,64,字节的数据，没有增加显著的延迟,超长帧,（碎片隔离）无碎片直通式,无碎片直通是介于之间解决方案，它检查数据包的长度是否够,64 Bytes,（,512bit,）,如果小于,64 Bytes,，,说明该包是碎片，则丢弃该包。,如果大于,64 Bytes,，,则发送该包。该方式的数据处理速度比存储转发方式快，但比直通式慢。,以太网交换机连接技术,交换机互连方式,级联,通过交换机的普通端口通过普通线缆简单联接起来，延长网络距离。,堆叠,通过厂家提供专用的堆叠线缆和堆叠模块将交换机的背板连接起来，扩大级联带宽，距离短,交换机级联,交换机堆叠,交换机堆叠满足大型网络对端口的数量要求，一般在较大型网络中都采用交换机的堆叠方式来解决。,堆叠中的所有交换机可视为一个整体的交换机来进行管理,一方面增加了用户端口，能够在交换机之间建立一条较宽的宽带链路 。,堆叠有,星型,堆叠和,菊花链式,堆叠。,堆叠菊花链,菊花链式堆叠是一种基于级联结构的堆叠技术，对交换机硬件上没有特殊的要求，通过相对高速的端口串接和软件的支持，最终实现构建一个多交换机的层叠结构，通过环路，可以在一定程度上实现冗余。,菊花链式堆叠模式，不存在拓扑管理，适用于高密度端口需求的单节点机构，可用于网络边缘。,锐捷交换机支持最多,8,台交换机堆叠,堆叠,-,主从式星型,星型堆叠模式适用于要求高效率高密度端口的单节点,LAN,，,星型堆叠模式克服了菊花链式堆叠模式多层次转发时的高时延影响，但需要提供高带宽矩阵，成本较高，而且矩阵接口一般不具有通用性，无论是堆叠中心还是成员交换机的堆叠端口都不能用来连接其他网络设备。,级联和堆叠对比,级联和堆叠对比,级联的特点：扩展网络范围、单链路带宽瓶颈（,100M/1000M,）、延时、性能差异,堆叠的特点：堆叠线缆短（,1,米）、解决带宽瓶颈（单链路,1G,）、延时小，无性能差异，便于管理,第三节：网络层设备,办公网中网络互联设备,网络层设备在网络中连接示意图,网络层属于,OSI,模型第三层，解决不同网络之间数据通信，即网际间的数据通信问题。工作在网络层设备,主要功能是为网络间数据包提供传输路由,，即设备在收到数据包后，选择到达目标主机最佳路径，并沿该路径传送数据包到目的计算机上。,此外网络层设备还,解决网络拥挤，网络流量控制问题,。,路由器,是工作在网络层最典型设备，高档交换机也能提供路由功能，俗称“,三层交换机,”，是工作在校园网中实现网络层互连最常见设备。,路由器硬件系统,路由器软件系统,网络层设备,-,路由器,路由器功能介绍,1,）连接不同网络，在不同网络间接收转发送。,2,）选择最合理的路由，引导不同网络间通信。,3,）在转发过程中，按照预定的规则，把大的数据包分解成适当大小数据包，到达目的地后，再把分解包还原。,4,）多协议路由器还可以连接使用不同协议的网络。,路由器物理硬件构造,RAM,ROM,Flash,NVRAM,Interface,Line,CPU,（非易失性随机存储器）,Cisco,路由器的组成,路由器的基本组成部件有：,CPU,，,内存,和,接口电路,。,CPU,和其他计算机一样，运行着,IOS,的路由器也包含了一个“中央处理器”,(CPU),。不同系列和型号的路由器，,CPU,也不尽相同。路由器的处理器负责执行处理数据包所需的工作，比如维护路由所需的各种表格以及作出路由决定等等。路由器处理数据包的速度在很大程度上取决于处理器的类型。,内存,所有计算机都安装了某些形式的内存。路由器主要采用了四种类型：,只读内存,(ROM),闪存（,Flash,）,随机存取内存,(RAM),非易失性,RAM(NVRAM),只读,内存（,ROM,）,只读内存（,ROM,）在,Cisco,路由器中的功能与计算机中的,ROM,相似，主要用于系统初始化等功能。,ROM,中主要包含：,（,1,）,系统加电自检代码,（,POST,），用于检测路由器中各硬件部分是否完好；（,2,）,系统,引导区,代码,（,BootStrap,），用于启动路由器并载入,IOS,操作系统；（,3,）,备份的,IOS,操作系统,，以便在原有,IOS,操作系统被删除或破坏时使用。通常，这个,IOS,比现运行,IOS,的版本低一些，但却足以使路由器启动和工作。,顾名思义，,ROM,是只读存储器，不能修改其中存放的代码。如要进行升级，则要替换,ROM,芯片。,闪存（,Flash,）,闪存（,Flash,）是,可读可写,的存储器，在系统重新启动或关机之后仍能保存数据。,Flash,中存放着,当前使用中的,IOS,。事实上，如果,Flash,容量足够大，甚至可以存放多个操作系统，这在进行,IOS,升级时十分有用。当不知道新版,IOS,是否稳定时，可在升级后仍保留旧版,IOS,，当出现问题时可迅速退回到旧版操作系统，从而避免长时间的网路故障。,非易失性,RAM(NVRAM,),非易失性,RAM(Nonvolatile,RAM),是可读可写的存储器，在系统重新启动或关机之后仍能保存数据。由于,NVRAM,仅用于,保存,启动配置文件,（,Startup-,Config,），故其容量较小，通常在路由器上只配置,32KB128KB,大小的,NVRAM,。同时，,NVRAM,的速度较快，成本也比较高。,随机存储器,(RAM),RAM,也是,可读可写,的存储器，但它存储的内容在系统重启或关机后将被清除。和计算机中的,RAM,一样，,Cisco,路由器中的,RAM,也是运行期间暂时存放操作系统和数据的存储器，让路由器能迅速访问这些信息。,RAM,的存取速度优于前面所提到的,3,种内存的存取速度。,运行期间，,RAM,中包含路由表项目、,ARP,缓冲项目、日志项目和队列中排队等待发送的分组。除此之外，还包括运行配置文件（,Running-,config,）、正在执行的代码、,IOS,操作系统程序和一些临时数据信息。,接口,所有路由器都有接口（,Interface,），每个接口都有自己的名字和编号。一个接口的全名称由它的,类型标志,与,数字编号,构成，编号自,0,开始。,对那些接口已固定下来的路由器，或采用模块化接口，只有关闭主机才可变动的路由器，在接口的全名中，就只有一个数字，而且根据它们在路由器中物理顺序进行编号。例如，,Ethernet0,是第一个以太网接口的名称；而,Serial2,是第三个串口的名称。,若路由器支持“在线插入和删除”，或具有动态,不关闭路由器,),更改物理接口配置的能力,(,卡的热插拔,),，那么一个接口的全名至少应包含两个数字，中间用一个正斜杠分隔,(,),。其中，第一个数字代表,插槽编号,，接口处理器卡将安装在这个插槽上；第二个数字代表接口处理器的端口编号。比如在一个,7507,路由器中，,Ethernet5/0,代表的便是位于,5,号槽上的第一个以太网接口,假定,5,号槽插接了一张以太网接口处理器卡。,有的路由器还支持“,万用接口处理器,”,(VIP),。,VIP,上的某个接口名由三个数字组成，中间也用一个正斜杠分隔,(,),。接口编号的形式是“插槽,/,端口适配器,/,端口”。例如，,Ethemet4/0/1,是指,4,号槽上第一个端口适配器的第二个以太网接口。,复习,交换机的基本功能,冗余网络拓扑的目的、产生的问题和解决方法,交换机转发帧的三种模式,交换机互连方式,路由器的组成,路由器内存的种类及其作用,接口的命名方法,控制台端口（,Console Port,）,几乎所有路由器都在路由器背后安装了一个,控制台端口,。控制台端口提供了一个,EIA,TIA232(,以前叫作,RS232),异步串行接口,、使我们能与路由器通信。至于同控制台口建立哪种形式的物理连接，则取决于路由器的型号。有些路由器采用一个,DB25,母连接,(DB25F),，有些则用,RJ45,连接器。通常，较小的路由器采用,RJ45,控制台连接器，而较大路由器采用,DB25,控制台连接器。,辅助端口,大多数,Cisco,路由器都配备了一个“,辅助端口,”,(Auxiliary Port),。它和控制台湍口类似，提供了一个,EIA,TIA232,异步串行连接，使我们能与路由器通信。辅助端口通常用来连接,Modem,，以实现对路由器的远程管理。远程通信链路通常并不用来传输平时的路由数据包，它的主要的作用是在网络路径或回路失效后访问一个路由器。,IOS(Internet,work Operating System,，,网间网操作系统,),是一种特殊的软件，可用它配置,Cisco,路由器硬件，令其将信息从一个网络路由或桥接至另一个网络。,IOS,是,Cisco,各种路由器产品的“力量之源”。可以说，正是由于,IOS,的存在，才使,Cisco,路由器有了强大的生命力。购买一个思科路由器时，也必须购买运行,IOS,的一份许可证。,IOS,存在着多种版本及功能。必须根据自己的实际情况，决定运行哪种形式的,IOS,。,路由器接口组成,路由器配置接口,路由器接口,局域网接口,AUI,接口,(,同轴电缆,),RJ-45,接口,SC,接口,(,光纤,),路由器接口,广域网接口,高速同步串口,(serial),异步串口,(ASYNC)-modem,ISDN BRI,端口,(BRI),路由器的硬件连接,路由器与局域网的连接,100Mbps,FastEthernet,:,100BaseTX-,使用,5,类,UTP,和,1,类,STP,，传输,100M,，距离,100,米。,100BaseFX-,使用光纤，传输,100M,，距离,400,米。,路由器的硬件连接,路由器与广域网的连接,用户设备,DTE,DCE,服务提供商,DTE,在,DCE,端必须配置时钟频率,Router(config)#interface,S0,Router(config-if)#Clock,rate 64000,路由器工作原理,-,路由表,路由器工作过程,-,实现不同子网通讯,网络层设备 三层交换机,三层交换（也称多层交换技术）是在网络模型中第三层实现数据包高速转发。,三层交换技术是：二层交换技术三层转发技术,不是简单二层交换机和路由器叠加，三层路由模块直接叠加在二层交换高速背板总线上，突破传统路由器接口速率限制，速率可达几十,Gbps,。,网络层设备,-,三层交换机,骨干路由交换机,路由器和三层交换机之间区别,1,、同属于网络层设备，具有选路和转发功能,2,、三层交换机转发性能要远远高于路由器,3,、三层交换机主要用于连接不同局域网段,4,、路由器主要连接不同网络类型,5,、三层交换机主要是以太网接口，路由器提供,各种广域网接口，用于连接不同广域网链路,三层交换机在功能上实现了子网间路由功能。,VLAN20,Network 172.16.20.4,VLAN30,Network 172.16.30.5,VLAN10,Network 172.16.10.3,三层交换机应用,第四节：应用层设备,办公网中网络互联设备,应用层设备在网络中连接示意图,应用层主要是为用户提供访问网络的接口，应用层的表现主要以软件包的形式较多。但应用层的服务也有通过硬件形式来提供，如为网络提供安全防范上,防火墙,设备。,应用层的网络安全控制产品主要有,防火墙,和,入侵监测系统,。作为网络安全的重要组成部分，,防火墙,和,IDS,是日常使用最多的安全设备。,应用层设备,防火墙,防火墙阻止来自因特网对受保护网络未授权或未验证的访问，另一方面允许内部网络用户对因特网进行,Web,访问或收发,E-mail,等。,防火墙也可作为一个访问因特网权限控制关口，如允许组织内特定人访问因特网。,许多防火墙同时还具有一些其他特点，如进行身份鉴别，对信息进行安全（加密）处理等等。,防火墙应用,DMZ,是“,demilitarized zone”,的缩写，中文名称为“隔离区”，,DMZ,是英文“,demilitarized zone”,的缩写，中文名称为“,隔离区,”，也称“非军事化区”。,它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业,Web,服务器、,FTP,服务器和论坛等。,应用层设备,IDS,IDS,是,Intrusion Detection System,的缩写，即,入侵检测系统,，主要用于检测黑客（,Hacker,或,Cracke,）通过网络进行的入侵行为。,IDS,专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。,应用层设备,网关,在网络中，当连接不同类型而协议差别又较大网络，则要选用网关设备。,网关功能体现在,OSI,模型应用层，将协议进行转换，将数据重新分组，以便在两个不同类型网络系统之间进行通信。,网关只进行一对一转换，或是少数几种特定应用协议转换，网关很难实现通用协议转换。用于网关转换应用协议有电子邮件、文件传输和远程工作站登录等。,在和,Novell NetWare,网络交互操作的时候，网关在,Windows,网络中使用的,服务器信息块,(SMB),协议,以及,NetWare,网络使用的,NetWare,核心协议,(NCP),之间起着桥梁的作用。,NCP,是工作在,OSI,第七层的协议，用以控制客户站和服务器间的交互作用，主要完成不同方式下文件的打开、关闭、读取功能。,