路由器和防火墙(三)

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,网络设备,路由,器,防火墙,一、路由器简介,路由器是一种连接多个网络或网段的网络设备，它能将不同网络或网段之间的数据信息进行“翻译”，以使它们能够相互“读懂”对方的数据，从而构成一个更大的网络。它不是应用于同一网段的设备，而是应用于不同网段或不同网络之间的设备，属网际设备。路由器之所以能在不同网络之间起到“翻译”的作用，是因为它不再是一个纯硬件设备，而是具有相当丰富路由协议的软、硬结构设备，如,RIP,协议、,OSPF,协议、,EIGRP、IPV6,协议等。这些路由协议就是用来实现不同网段或网络之间的相互“理解”。,路由器有两大典型功能，即数据通道功能和控制功能。数据通道功能包括转发决定、背板转发以及输出链路调度等，一般由特定的硬件来完成；控制功能一般用软件来实现，包括与相邻路由器之间的信息交换、系统配置、系统管理等。,路由器具有判断网络地址和选择路径的功能，它能在多网络互联环境中，建立灵活的连接，可用完全不同的数据分组和介质访问方法连接各种子网。路由器只接受源站或其他路由器的信息，属网络层的一种互联设备，它不关心各子网使用的硬件设备，但要求运行与网络层协议相一致的软件。,在局域网接入广域网的众多方式中，通过路由器接入互联网是最为普遍的方式。使用路由器互联网络的最大优点是：各互联子网仍保持各自独立，每个子网可以采用不同的拓扑结构、传输介质和网络协议，网络结构层次分明，还有的路由器具有,VLAN,管理功能。通过路由器与互联网相连，则可完全屏蔽公司内部网络，起到一个防火墙的作用，因此使用路由器上网还可确保内部网的安全。,二、路由器的主要功能,路由器的主要功能就是“路由”的作用，通俗地讲就是“向导”作用，主要用来为数据包转发指明一个方向的作用。但如要细分的话，路由器的“路由”功能可以细分为如以下几个方面：,1在网际间接收节点发来的数据包，然后根据数据包中的源地址和目的地址，对照自己缓存中的路由表，把数据包直接转发到目的节点，这是路由器的最主要，也是最基本的路由作用。,2为网际间通信选择最合理的路由，这个功能其实是上述路由功能的一个扩展功能。,3拆分和包装数据包，这个功能也是路由功能的附属功能。,4不同协议网络之间的连接。,5,目前许多路由器都具有防火墙功能（可配置独立,IP,地址的网管型路由器），它能够起到基本的防火墙功能，也就是它能够屏蔽内部网络的,IP,地址，自由设定,IP,地址、通信端口过滤，使网络更加安全。,三、路由器和交换机的区别,路由器是产生于交换机之后，就像交换机产生于集线器之后，所以路由器与交换机也有一定联系，并不是完全独立的两种设备。路由器主要克服了交换机不能路由转发数据包的不足。总的来说，路由器与交换机的主要区别体现在以下几个方面：,1工作层次不同；,2数据转发所依据的对象不同；,3传统的交换机只能分割冲突域，不能分割广播域；而路由器可以分割广播域；,4,路由器提供了防火墙的服务，它仅仅转发特定地址的数据包，不传送不支持路由协议的数据包传送和未知目标网络数据包的传送，从而可以防止广播风暴,。,四、路由器的工作原理,路由器识别不同网络的方法是通过识别不同网络的网络,ID,号进行的，所以为了保证路由成功，每个网络都必须有一个唯一的网络编号。路由器要识别另一个网络，首先要识别的就是对方网络的路由器,IP,地址的网络,ID，,看是不是与目的节点地址中的网络,ID,号相一致。如果是就向这个网络的路由器发送了，接收网络的路由器在接收到源网络发来的报文后，根据报文中所包括的目的节点,IP,地址中的主机,ID,号来识别是发给哪一个节点的，然后再直接发送。,为了更清楚地说明路由器的工作原理，现在我们假设有这样一个简单的网络。假设其中一个网段网络,ID,号为,A，,在同一网段中有4台终端设备连接在一起，这个网段的每个设备的,IP,地址分别假设为：,A1、A2、A3,和,A4。,连接在这个网段上的一台路由器是用来连接其它网段的，路由器连接于,A,网段的那个端口,IP,地址为,A5。,同样路由器连接另一网段为,B,网段，这个网段的网络,ID,号为,B，,那连接在,B,网段的另几台工作站设备设的,IP,地址我们设为：,B1、B2、B3、B4，,同样连接与,B,网段的路由器端口的,IP,地址我们设为,B5，,结构如图所示。,结构示意图,在这样一个简单的网络中同时存在着两个不同的网段，现如果,A,网段中的,A1,用户想发送一个数据给,B,网段的,B2,用户，有了路由器就非常简单了。,首先,A1,用户把所发送的数据及发送报文准备好，以数据帧的形式通过集线器或交换机广播发给同一网段的所有节点（集线器都是采取广播方式，而交换机因为不能识别这个地址，也采取广播方式），路由器在侦听到,A1,发送的数据帧后，分析目的节点的,IP,地址信息（路由器在得到数据包后总是要先进行分析）。得知不是本网段的，就把数据帧接收下来，进一步根据其路由表分析得知接收节点的网络,ID,号与,B5,端口的网络,ID,号相同，这时路由器的,A5,端口就直接把数据帧发给路由器,B5,端口。,B5,端口再根据数据帧中的目的节点,IP,地址信息中的主机,ID,号来确定最终目的节点为,B2，,然后再发送数据到节点,B2。,这样一个完整的数据帧的路由转发过程就完成了，数据也正确、顺利地到达目的节点。,当然实际上像以上这样的网络算是非常简单的，路由器的功能还不能从根本上体现出来，一般一个网络都会同时连接其它多个网段或网络，就像图2.59所示的一样，,A、B、C、D,四个网络通过路由器连接在一起。,第1步：用户,A1,将目的用户,C3,的地址,C3，,连同数据信息以数据帧的形式通过集线器或交换机以广播的形式发送给同一网络中的所有节点，当路由器,A5,端口侦听到这个地址后，分析得知所发目的节点不是本网段的，需要路由转发，就把数据帧接收下来。,第2步：路由器,A5,端口接收到用户,A1,的数据帧后，先从报头中取出目的用户,C3,的,IP,地址，并根据路由表计算出发往用户,C3,的最佳路径。因为从分析得知到,C3,的网络,ID,号与路由器的,C5,网络,ID,号相同，所以由路由器的,A5,端口直接发向路由器的,C5,端口应是信号传递的最佳途经。,第3步：路由器的,C5,端口再次取出目的用户,C3,的,IP,地址，找出,C3,的,IP,地址中的主机,ID,号，如果在网络中有交换机则可先发给交换机，由交换机根据,MAC,地址表找出具体的网络节点位置；如果没有交换机设备则根据其,IP,地址中的主机,ID,直接把数据帧发送给用户,C3，,这样一个完整的数据通信转发过程也完成了。,从上面可以看出，不管网络有多么复杂，路由器其实所作的工作就是这么几步，所以整个路由器的工作原理都差不多。当然在实际的网络中还远比上图2所示的要复杂许多，实际的步骤也不会像上述那么简单，但总的过程是这样的。,五、,路由器的分类,路由器发展到今天，为了满足各种应用需求，也出现过各式各样的路由器。下面我们就简单地来对整个路由器市场作一个综合分类。,1.按性能档次分,任何商品都好像有一个默认的划分标准，那就大家通常所说的高、中、低档。,高、中、低三种档次的路由器产品示意图,2.按结构分,从结构上分，路由器可分为模块化结构与非模块化结构。,非模块化结构和模块化结构路由器,产品示意图,3.从功能上划分,从功能上划分，可将路由器分为核心层（骨干级）路由器，分发层（企业级）路由器和访问层（接入级）路由器。,4.从应用划分,从功能上划分，路由器可分为通用路由器与专用路由器。,5.按所处网络位置划分,如果按路由器所处的网络位置划分，则通常把路由器划分为边界路由器和中间节点路由器两类。,6.从性能上划分,从性能上分，路由器可分为线速路由器以及非线速路由器。所谓线速路由器就是完全可以按传输介质带宽进行通畅传输，基本上没有间断和延时。通常线速路由器是高端路由器，具有非常高的端口带宽和数据转发能力，能以媒体速率转发数据包；中低端路由器是非线速路由器。但是一些新的宽带接入路由器也有线速转发能力。,六、,路由器的选购,路由器因为它的价格昂贵，且配置复杂，所以绝大多数用户对路由器的选购显得非常茫然，大多数系统管理员都对此也是一无所知。为此我在此就路由器的选购方面作一个简单的说明，希望对那些朋友有所帮助。路由器的选购主要从以下几个方面加以考虑：,1路由器的管理方式,2路由器所支持的路由协议,3路由器的安全性保障,4丢包率,5背板能力,6吞吐量,7转发时延,8路由表容量,9,可靠性,八、,路由器的主要技术,路由器我们知道是一个相当复杂的设备，它的复杂性并不在于它的硬件如何庞大，而在于它的软件技术相当复杂。目前全球能生产出中、高档路由器的也只有少数的那么几家，国内就更少了。为了对路由器技术有一个较全面的了解，本节就路由器技术的几个重要方面作如下介绍。,1主要路由协议,（1）路由协议种类,1）,RIP,路由协议,2）,OSPF,路由协议,3）,BGP,和,BGP-4,路由协议,（2）路由算法,1）最优化：,2）简洁性：,3）坚固性：,4）快速收敛：,5,）灵活性：,2主要路由器技术,路由器技术是融合现代通信技术、计算机技术、网络技术、微电子芯片技术、大规模集成电路技术，光电子技术及光通信技术的核心技术，是衡量一个国家科学技术水平的重要标志。,IP,路由技术主要体现在以下几方面：,（1）硬件体系结构,（2）,ASIC,技术,（3）三层交换,（4）,VPN,技术,（5）,QoS,技术,（,6,）,Ipv6,技术,局域网中的防火墙,现在无论是企业，还是个人，信息安全问题都日益成为广泛关注的焦点。不要说绝大多数非专业的企业网站，就边专业的著名网站，如,Yahoo！、eBay,等著名网站都曾经被黑客用原始的,DoS,攻击方法攻陷过，软件系统巨人微软公司的网站也难逃“黑”运。在这样一个大环境下，网络安全问题凝了人们的注意力，大大小小的企业纷纷为自己的内部网络“筑墙”，防病毒与防黑客成为确保企业信息系统安全的基本手段。它是企事业单位局域网的安全守护神。,一、,防火墙概念,防火墙的英文名为“,FireWall,”，,它是目前一种最重要的网络防护设备。它的网络中经常是以图2.62所示的两种图标出现的。左边那个图标非常形象，真正像一堵墙一样。而右边那个图标则是从防火墙的过滤机制来形象化的，在图标中有一个二极管图标。而二极管我们知道，它具有单向导电性，这样也就形象地说明了防火墙具有单向导通性。这看起来与现在防火墙过滤机制有些矛盾，不过它却完全体现了防火墙初期的设计思想，同时也在相当大程度上体现了当前防火墙的过滤机制。,防火墙常用图标,以上仅是一种宏观意义的解释，对于防火墙的概念，目前还没有一个准确、标准的定义。通常人们认为：防火墙是位于两个(或多个)网络间，实施网络之间访问控制的一组组件集合。它具有以下三个方面的基本特性：,内部网络和外部网络之间的所有网络数据流都必须经过防火墙,只有符合安全策略的数据流才能通过防火墙,防火墙自身应具有非常强的抗攻击免疫力,二、,防火墙的分类,认识了防火墙之后，我们就来对当前市场上的防火墙进行一下分类。目前市场的防火墙产品非常之多，划分的标准也比较杂。在此我们对主流的分类标准进行介绍。,1.从防火墙的软、硬件形式分,很明显，如果从防火墙的软、硬件形式来分的话，防火墙可以分为软件防火墙和硬件防火墙。,典型网络结构示意图,3.从防火墙结构分类,从防火墙结构上分，防火墙主要有：单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。,4.按防火墙的应用部署位置分,如果按防火墙的应用部署位置分，可以分为边界防火墙、个人防火墙和混合防火墙三大类。,5.按防火墙性能分,如果按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。,三、防火墙的主要功能,以上介绍了防火墙的含义，其实我们可以从防火墙的这些解释中可以理解到防火墙的功能。具体来说，防火墙主要有以下几方面功