作者:刘晓辉
出版社:电子工业出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
交换机·路由器·防火墙(第3版)试读:
版权信息书名:交换机·路由器·防火墙(第3版)作者:刘晓辉排版:清茉出版社:电子工业出版社出版时间:2015-01-01ISBN:9787121252044本书由电子工业出版社授权北京当当科文电子商务有限公司制作与发行。— · 版权所有 侵权必究 · —内容简介本书深入细致地介绍了用于构建网络的最重要的硬件设备——交换机、路由器和防火墙,涵盖了原理、参数、分类、适用、规划、接口、连接、配置、管理、监控、故障等诸多方面,体现并融合了最新技术、最新设备和最新应用,是一整套紧贴网络搭建、配置和管理实际的完全硬件解决方案。本书突出实用性和可操作性,语言表述流畅准确,理论讲解深入浅出,具体操作详略得当,注重培养动手能力和分析能力。
本书适用于中小型网络管理员,以及所有准备从事网络管理的网络爱好者,并可作为大专院校计算机专业的教材。前 言
交换机、路由器和防火墙构成网络硬件的金三角。交换机实现计算机互联,构建局域网络;路由器实现网络互联,构建广域网络;防火墙实现互联限制,构建安全网络。没有交换机计算机之间就无法通信,就不能搭建局域网络,因此,交换机是网络构建的基石。没有路由器就不能实现与其他网络和Internet的连接,局域网就会成为信息孤岛,所以,路由器是网络互联的桥梁。没有防火墙就不能实现网络内部的安全,客户端、服务器和数据信息就没有宁日,故而,防火墙是安全稳定的保障。可见,交换机、路由器和防火墙三者各司其职、相互结合、缺一不可。
与其他网络类图书不同,本书从一个全新的角度,深入、全面、细致地介绍了交换机、路由器和防火墙的原理、参数、分类、适用、规划、接口、连接、配置、管理、监控、故障等诸多方面的内容,涵盖了从规划设计、网络搭建、设备配置,到状态监控、故障诊断的所有重要硬件技术,是一本专门为大中型网络管理员定身打造的硬件设备教程,以迅速完成从电脑爱好者向专业网管员的过渡。
本书作为畅销图书《交换机•路由器•防火墙》的第3版,在第2版的基础上进行了全面修订,不仅调整了部分结构,更新了许多理论和技术,而且还介绍了一些最新的硬件网络设备,以全力突出其先进性和实用性。
全书共分为18章。第1章网络设备综述,分别介绍了交换机、路由器和防火墙在网络中的作用和应用。第2章至第7章,介绍了交换技术、交换机的分类与适用、参数与选择、端口与连接、状态与检测,以及交换机的配置与管理。第8章至第13章,介绍了路由协议、路由器的分类与适用、参数与选择、端口与连接、状态与检测,以及路由器的配置与管理。第14章至第18章,介绍了安全设备的工作原理,IPS、IDS和防火墙的优势与适用、参数与选择、端口与连接、状态与检测,以及安全设备的配置和管理。
本书主要由刘晓辉编著,参加编写的还有肖铁岭、李海宁、田俊乐、陈志成、王春海、王淑江、赵卫东、刘淑梅、杨伏龙、李文俊、王同明、石长征、莫展宏、白华、刘媛、郭腾、马倩等。笔者长期从事网络建设、网络管理、网络教学和网络实验工作,具有较高的理论水平和丰富的实践经验,曾经出版过50余部网络和系统方向的图书,均以易读、易学、实用的特点,得到众多读者的一致好评,并取得了不错的销售业绩。本书是笔者的又一呕心沥血之作,希望能对大家搭建和管理网络有所帮助。编 者2014年11月第1章交换机•路由器•防火墙综述交换机、路由器和防火墙是几乎所有局域网络都要使用的基本设备。其中,交换机将其他网络设备(如交换机、路由器、网络防火墙、无线接入点)和所有终端设备(如计算机、服务器、网络摄像头、网络打印机)连接在一起,实现彼此之间的通信;路由器用于实现局域网之间,以及局域网与Internet的互连,将所有的网络连接在一起;防火墙则用于在内部网络之间,以及内部网络和Internet之间创建一个安全屏障,将恶意攻击阻拦在内部网络之外。可见,对于任何局域网络而言,交换机、路由器和防火墙一个都不能少。1.1 交换机概述
如果把网络布线系统比喻为一条条宽阔的道路,那么,网络交换机(Switch)就像是一座座立交桥,将通往各个方向的道路汇连在一起,实现彼此之间的互连互通。无需红绿灯,无需等待,四通八达,任意驰骋……1.1.1 交换机的功能
交换机是构建局域网络不可或缺的集线设备。作为局域网通信的重要枢纽和节点,其主要功能就是连接设备。
所谓局域网络(Network),简单地说,其实就是若干计算机的集合,而这些计算机就是借助交换机相互连接在一起的。交换机往往拥有数量众多的端口(通常为8~52个端口)。图1-1所示为Cisco Catalyst 2960系列交换机。图1-1 Cisco Catalyst 2960系列交换机
交换机最主要的功能就是连接计算机、服务器、网络打印机、网络摄像头、IP电话等终端设备,并实现与其他交换机、无线接入点、网络防火墙、路由器等网络设备的互连,从而构建局域网络,实现所有设备之间的通信。图1-2所示为交换机与终端设备和网络设备的连接。图1-2 交换机的功能
作为局域网络的核心与枢纽,交换机的性能决定着网络性能,交换机的带宽决定着网络带宽。因此,局域网络的升级往往就是交换机的升级。当然,前提条件是网络布线必须能够满足网络传输的需要。1.1.2 交换机与交换式网络
可以形象地把计算机比喻为写字楼或工厂,把网络布线比喻为城市马路或高速公路,把网络应用比喻为不同类型的汽车,各种数据则是装在这些汽车上的货物,而交换机就是连接来自所有道路的立交桥。毫无疑问,立交桥都拥有多向多车道,可以从任何一条路转向另外其他一条路,而且所有车辆都可以自行其道,相互之间没有阻碍和影响。
而由交换机构建的局域网络,计算机之间的通信可以同时进行,彼此不受影响干扰,并且每个通信都可以“独享”带宽,即拥有端口所能提供的传输速率。这就好像在限速80km/h的立交桥上,每辆车都可以占用一个车道,都可以跑到80km/h的速率。图1-3所示为6台计算机同时通信的情形。图1-3 计算机同时通信
由交换机构建的网络称为“交换式网络”。交换式网络的工作模式通常为“全双工”(Full Duplex),即终端设备可以同时接收和发送数据,数据流是双向的(如图1-4所示)。对于100 Mbps端口而言,在全双工工作模式下,接收和发送数据的速率均为100 Mbps,总带宽即可达到200 Mbps;对于1000 Mbps端口而言,在全双工工作模式下,接收和发送数据的速率均为1000 Mbps,总带宽即可达到2000 Mbps;同样,对于10 Gbps端口而言,在全双工工作模式下,接收和发送数据的速率均为10 Gbps,总带宽将达到惊人的20 Gbps。图1-4 全双工示意图1.1.3 交换机的工作原理
交换机位于OSI参考模型中的数据链路层(即第二层),是一种基于MAC地址(Media Access Control,介质访问控制)识别的,用于完成数据的封装和转发的网络设备。交换机可以“学习”MAC地址,并把其存放在内部地址表中,通过在数据帧的始发者和目标接收者之间建立临时的交换路径,使数据帧直接由源地址到达目的地址。因此,交换机就像是一个业务熟练的调度员,能够准确地将装载数据的汽车从出发路口直接派送至目的地路口。当然,要完成这样繁重和智能化的工作,交换机也需要一个学习和记忆的过程。
计算机借助网卡连接到局域网络,而每块网卡都有其与生俱来的“胎记”——MAC地址。交换机通过“学习”,会把连接到每个端口的MAC地址记住,形成一个端口与MAC地址的对应表。提•示
MAC地址是识别局域网节点的标识,所有网络设备(包括每块网卡、交换机和路由器的每个端口)都有一个唯一的MAC地址,通常是由网卡生产厂家直接烧入EPROM中的,是传输数据时真正用以标识发出数据的设备和接收数据的设备的标志。
交换机的工作过程如下。(1)当交换机从某个端口收到一个数据包时,先读取包头中的源MAC地址,从而建立源端口与源MAC地址的对应关系,并将其添加至地址表。由于交换机能够自动根据收到的以太网帧中的源MAC地址更新地址表的内容,所以交换机使用的时间越长,学习到的MAC地址就越多,未知的MAC地址就越少,因而广播的包就越少(如果目的MAC地址未知,则将该包作广播包处理),处理速度就越快。(2)读取包头中的目的MAC地址,并在地址表中查找相应的端口。(3)如果地址表中有与该目的MAC地址对应的端口,则把数据包直接复制到这端口上。由于不是将该帧发送到所有端口,从而使那些既非源端口又非目的端口的端口间仍然可以进行相互间的通信,进而提供了更高的传输速率。(4)如果在MAC地址表中没有找到该MAC地址,也就是说,该目的MAC地址是首次出现,则将该帧发送到所有其他端口(源端口除外),相当于该帧是一个广播帧。拥有该MAC地址的网卡在接收到该广播帧后,将立即作出应答,从而使交换机将“端口号-MAC地址”对照表添加到地址表。
不断重复上述过程,交换机即可实现所有数据的转发,并逐步学习和记忆整个网络中的MAC地址,不断丰富和完善自己的MAC地址表。
人类的记忆会随着时间的流逝而淡忘。那么交换机是否会永久性地记住所有的端口号―MAC地址关系呢?答案同样是否定的。由于交换机中的内存有限,因此能够记忆的MAC地址数量也是有限的。既然不能无休止地记忆所有的MAC地址,那么也必须赋予其相应的忘却机制,从而吐故纳新。事实上,交换机设计了一个自动老化时间(Auto-aging Time)机制,若某MAC地址在一定时间内(默认为300 s)不再出现,那么交换机将自动把该MAC地址从地址表中清除。当下一次该MAC地址重新出现时,将会被当做新地址处理。另外,由于地址表是保存在内存中的,因此当交换机断电或重新启动后,地址表数据将会全部丢失,必须重新学习。
交换机可以在任意一对端口之间建立临时专用通道,不同端口间的转发可以并行操作。这就像是在各端口间建立起了一座立交桥,形成立体交叉结构,不同流向的数据各行其道,每个端口均能够独享固定带宽,传输速率几乎不受计算机数量的影响。另外,当两个或两个以上的端口与同一目的端口进行通信时,交换机将把这些数据帧暂时保存在缓存中,然后根据顺序对其逐一处理和转发,从而实现“多”对“一”的通信。
由此可见,交换机的工作过程可以概括为“学习-记忆-接收-查找-转发”。通过广播方式“学习”网卡MAC地址,并将“MAC地址-端口号”的对应关系创建为一个地址表“记忆”在内存中。从源端口“接收”到数据后,在地址表中“查找”与目的MAC地址相对应的端口,然后将数据帧“转发”至目的端口。1.2 路由器概述
路由器用于连接多个网络,以路由器为基础构建(Router Based Network)的网络称为“网间网”。事实上,Internet就是由数以万计的路由器构建的、超大规模的、国际性的“网间网”。虽然从严格意义上讲,路由器是广域网设备,但是作为局域网实现与其他网络和Internet互连的必需设备,也往往被归类于局域网设备之列。1.2.1 路由器的功能
路由器(Router),顾名思义它是一种智能选择数据传输路由的设备。路由器的端口数量虽然较少,但是种类却非常丰富,可以满足各种类型网络接入的需要。图1-5所示为Cisco 2800系列路由器及其类型丰富的接口模块。图1-5 类型丰富的接口模块1.连接网络
路由器也称为网关(Gateway)。将局域网络连接在一起,组建更大规模的广域网络,并在每个局域网出口对数据进行筛选和处理,是路由器的重要作用之一。■ 连接异构网络
局域网络的类型是多种多样的,除了最常见的以太网外,还有ATM网络、FDDI网络等。异构网络由于分别采用不同的数据封装方式,因此它们之间是无法直接通信的,即使都采用同一种网络协议(比如TCP/IP协议,也不能实现彼此间的通信)。而路由器能够将不同类型网络之间的数据信息进行“翻译”,以使它们能够相互“读”懂对方的数据,因此若要实现异构网络间的通信,就必须借助于路由器,如图1-6所示。图1-6 连接异构网络■ 连接远程网络
由于局域网的传输距离都非常有限,因此若要实现局域网之间的连接,就必须借助于广域网。相对于局域网而言,广域网无疑是一个异构网络,因此,若要实现局域网之间的远程互连,也必须借助于路由器才能实现,如图1-7所示。图1-7 连接远程网络2.隔离广播
尽管交换机可以隔离碰撞域,从而提高局域网络的传输效率。然而,交换机却会将所有广播发送至整个网络内所有交换机的每一个端口,而MAC地址发现,以及许多网络协议(如NetBIOS、CDP等)和网络应用(如DHCP服务)等都必须借助广播才能实现。由于广播会发送至网络中的每一个端口,并且由接入网络中的每台计算机进行处理,因此过大的广播量,不仅会严重影响网络的传输效率,而且还会大量占用计算机的CPU性能。当有硬件损坏或病毒攻击时,网络内的广播数量将会剧增,这时将会出现广播风暴,从而使网络传输和数据处理陷于瘫痪。
路由器的重要作用之一就是将广播隔离在局域网内(路由器的每个以太网端口均可视为一个局域网),不会将广播包向外转发(如图1-8所示)。因此,大中型局域网都会被人为地划分为若干虚拟网,并使用路由设备实现彼此之间的通信,以达到分隔广播域,提高每个网络的传输效率的目的。图1-8 隔离广播域3.路由选择
路由器能够按照预先制订的策略,智能选择到达远程目的地的路由。为了实现这一功能,路由器要按照某种路由通信协议,维护和查找路由表。
路由表中列出了整个互联网络中包含的各个节点,以及各节点间的路径情况和与它们相联系的传输费用。如果到特定的节点有一条以上路径,则基于预先确定的准则选择最优(最经济)的路径,如图1-9所示。由于各种网络段和其相互连接情况可能发生变化,因此路由信息需要及时更新,这是由所使用的路由信息协议规定的定时更新或者按变化情况更新来完成的。网络中的每个路由器按照这一规则动态地更新它所保持的路由表,以便保持有效的路由信息。图1-9 路由选择4.网络安全
作为整个局域网络与外界联络的唯一出口,路由器还担当着保护内部用户和数据安全的重要责任。路由器的安全功能主要借助以下两种方式实现。
地址转换。局域网内的计算机使用内部保留IP地址,这种IP地址不能被路由到Internet,因此不能被外部计算机所知晓,从而可以安全地隐藏在网络内部,避免来自外部的恶意攻击。当内部计算机需要与外部网络通信时,由路由器提供网络地址转换,将其地址转换为合法的IP地址,实现对Internet的访问。
访问列表。借助IP访问列表,在路由器上可以设置各种访问策略,规定哪段时间、什么网络协议和哪种网络服务是被允许外出和进入的,从而不仅可以避免对网络的滥用,提高网络传输性能和带宽利用效率,也可以有效地避免蠕虫病毒、黑客工具对内部网络的侵害。1.2.2 路由器的工作原理
路由器工作于OSI参考模型的网络层(即第三层)。路由器通常拥有多个网络接口,分别连接至局域网络(称为局域网端口)和广域网络(称为广域网端口)。每个网络接口分别连接至不同的网络,并分别配置有所连接网络的IP地址信息。同时,路由器还维护着一张路由表,记录网络地址与网络端口的对应关系。1.路由选择
路由器一个最重要的功能就是选择最佳路由。为此,路由器总是按照一定的规则来动态地更新它所保持的路由表,以便保持路由信息的有效性。
路由器间互通信息进行路由更新,更新维护路由表使之正确反映网络的拓扑变化,并由路由器根据量度来决定最佳路径。路由选择算法将收集到的不同信息填入路由表中,根据路由表可将目的网络与下一跳(Next Hop)的关系告诉路由器。
路由选择协议通过度量值来决定到达目的地的最佳路径,而小的度量值则代表优选的路径。如果两条或更多路径都有一个相同的小度量值,那么所有这些路径将被平等地分享。通过多条路径分流数据流量被称为到目的地的负载均衡。由于各种网络段和其相互连接情况可能会因环境变化而变化,因此路由情况的信息一般也按所使用的路由信息协议的规定而定时更新。常见的路由选择协议包括路由信息协议(RIP)、开放式最短路径优先协议(OSPF)和边界网关协议(BGP)等。2.数据转发
Internet用户使用的各种信息服务,其通信的信息最终均可以归结为以IP包为单位的信息传送,IP包除了包括要传送的数据信息外,还包含有信息要发送到的目的IP地址、信息发送的源IP地址,以及一些相关的控制信息。
当计算机将数据发送给同一网络内的计算机时,源计算机只需将数据发送到网络,目标计算机就能收到。当需要向其他网络的计算机发送数据时,将直接把数据发送到“默认网关(Default Gateway)”,由默认网关负责转发给其他路由设备(如路由器、代理服务器等),直至将该数据转发至目的计算机所在的网络。也就是说,发送到其他网络的数据先被送到路由器,再由路由器转发出去。提•示
网络中的设备通过它们的网络地址(TCP/IP网络中为IP地址)相互通信。IP地址是与硬件地址无关的“逻辑”地址,路由器只根据IP地址来转发数据。IP地址的结构有两部分,一部分定义网络号,另一部分定义网络内的主机号。目前,在Internet网络中采用子网掩码来确定IP地址中网络地址和主机地址。子网掩码与IP地址一样也是32 bit,并且两者是一一对应的,并规定子网掩码中数字为“1”所对应的IP地址中的部分为网络号,为“0”所对应的则为主机号。网络号和主机号合起来,才构成一个完整的IP地址。同一个网络中的主机IP地址,其网络号必须是相同的,这个网络称为IP子网。
与计算机相似,当路由器收到IP包时,将根据IP包中的目的IP地址项查找路由表,根据查找的结果将此IP数据包送往对应端口。下一台IP路由器收到此IP包后继续转发,直至发送到目的地。同时,路由器也有其默认网关,用来传送无法判断目的地的数据包。这样,路由器将已知目的网络的IP包正确地转发出去,未知网络的IP包传送给“默认网关”路由器,在路由器间重复这项操作,最终将IP包传送到目的地。至于那些无法送达目的地的IP包,就会被网络自动丢弃。
数据转发即沿最佳路径传送信息分组。路由器的转发过程大致如下。(1)接收到IP包后,解释并处理该数据包的链路层协议报头,完成对数据的完整性的验证,如CRC校验、帧长度检查等。(2)根据数据帧中IP包头的目的IP地址,路由器在路由表中查找下一跳(Next Hop)的IP地址。同时,IP数据包头的TTL(Time To Live)域开始减数,并重新计算校验和(Checksum)。(3)封装上相应的链路层包头,将IP包经路由选择的端口转送出去。1.3 防火墙概述“防火墙”(Fire Wall)的本意是指发生火灾时,用来防止火势蔓延的一道障碍物,一般都修筑在建筑物之间。而如今的网络防火墙则是指设置在计算机网络之间的一道隔离装置,可以隔离两个或者多个网络、限制网络互访,以保护内部网络用户和数据的安全。1.3.1 网络防火墙的功能
事实上,网络防火墙更像是企事业单位的门卫制度。各单位借助围墙与外界隔离开来,所有进出人员都必须经过大门,而门卫将对所有人员进行监控和检查,从而保障财产不受损失、人员不受侵害。网络防火墙的作用恰恰也是将内部网络与外部网络分隔开来,对所有进入和外出内部网络的数据进行分析和监控,从而抵御外来非法用户的入侵,并保证内部的重要和敏感数据不致流失。另外,网络防火墙还具有隔离网段、提供代理服务、流量控制等功能,可以满足用户的各种需求。
网络防火墙的功能主要包括以下几个方面。1.隔离网络
网络防火墙最基本的功能就是隔离内、外网络,不仅要确保隔离非法用户入侵,更要保证不能使内部信息外泄。因此,网络防火墙通常位于路由器与内部网络(即局域网)之间,使所有进出局域网的数据都能进行过滤和筛选(如图1-10所示),从而避免来自外部(主要是Internet)的网络攻击和欺骗,确保内部网络正常、稳定的运行,以及内部的重要和敏感数据的访问安全。图1-10 隔离内部和外部网络
除此之外,网络防火墙还被用于隔离内部网络,将一些重要(如总裁办公室、研发中心、网络服务器等)和敏感部门(如人力资源部、财务部等)与普通用户隔离开来,从而避免来自网络内部的恶意攻击,最大限度地保障网络安全,如图1-11所示。图1-11 隔离内部敏感网络2.保障安全
网络防火墙的安全措施主要包括以下内容。■ 整合安全策略
通过以防火墙为中心的安全方案配置,能将所有安全软件(如密码、加密、身份证、审计等)设置在防火墙上。这比将网络安全分散到每个主机上,管理更集中而且更经济。各种安全措施的有机结合,更能有效地对网络的安全性能起到加强作用。■ 包过滤
内部网络和外部网络之间的所有网络数据流都必须经过防火墙,只有符合安全策略的数据流才能通过防火墙。包过滤是所有防火墙都具有的基本功能,从IP地址、端口判定控制,到判断通信报文协议头的各部分,以及通信协议的应用层命令、内容、用户认证、用户规则甚至状态检测等,都属于包过滤的重要内容。特别是状态监测技术,可以支持多种协议和应用程序,并可以很容易地实现应用层的扩充。■ 绑定MAC地址
将MAC地址与IP地址绑定起来,主要用于防止受控(不可访问外网)的内部用户通过更换IP地址访问外网。因为更换IP地址实现起来太简单了,即使是粗通计算机的人员也能轻松操作,所以绝大多数防火墙都提供了该功能。■ 流量分析控制
流量控制可以分为基于IP地址的控制和基于用户的控制。基于IP地址的控制是对通过防火墙各个网络接口的流量进行控制;基于用户的控制是通过用户登录来控制每个用户的流量,从而防止某些应用或用户占用过多的资源。并且通过流量控制可以保证重要用户和重要接口的连接。流量统计是建立在流量控制基础之上的。一般防火墙可以对IP、服务、时间、协议等进行统计,并可以与管理界面实现挂接,实时或者以统计报表的形式输出结果。■ 审计报警机制
结合网络配置和安全策略对防火墙的相关数据分析完成以后,就要作出接受、拒绝、丢弃或加密等决定。如果要通过防火墙的数据违反了安全策略,审计和报警机制就会开始起作用,并记录和报告。审计是一种重要的安全措施,用以监控通信行为和完善安全策略,检查安全漏洞和错误配置。报警机制是在通信违反相关策略以后,以多种方式(如声音、邮件、电话、手机短信息等)及时报告给管理人员。3.Internet共享
借助双向NAT技术,网络防火墙可以实现局域网的Internet连接共享,使用单一IP地址实现内部计算机对Internet的访问,并将内部服务器发布到Internet。
SNAT(Source Network Address Translation,源网络地址转换)用于对内部网络地址进行转换,将内部网络从Internet中隐藏起来,使得恶意用户对内部网络的攻击变得更加困难。DNAT(Destination Network Address Translation,目的网络地址转换)主要实现用于外网主机对内网和DMZ(Demilitarized Zone,隔离区,也称非军事化区)区主机的访问。是一种改变数据包目的IP地址的技术,经常和SNAT联用,以使多台服务器能共享一个IP地址连入Internet,并且继续服务。通过为同一个IP地址分配不同的端口来决定数据的流向,而且还可以将内部服务器发布到Internet。提•示
目前,大量的局域网都采用光纤接入城域网。由于Internet接入采用的是普通的以太网方式,因此,路由器不再是必需的网络设备,而直接在网络防火墙上设置简单地路由转发,并实现NAT转换。当然,对于需要借助长途链路连接到Internet(如CERNET)或远程网络的局域网而言,路由器还是不可或缺的设备。1.3.2 防火墙的工作原理
虽然目前防火墙的基本结构多种多样,但是它们都可以归入包过滤和应用代理两类。其中,包过滤防火墙技术专注的是网络层和传输层,而应用代理防火墙则利用代理服务器,它关心的是应用层的保护。1.包过滤防火墙
包过滤防火墙又称作网络级防火墙,工作于OSI(Open System Interconnect,开放式系统互连)模型的网络层(即第4层),通过检查每个数据包的IP地址,采用通信协议和端口号等来判断是否允许放行。
防火墙将提取的内部状态信息与其连接状态表进行比较,如果符合其中的某一条规则,就允许数据通过;如果没有符合任何规则,就会使用默认规则进行处理(一般情况下,默认规则就是丢弃该包)。因此,只要定义欲禁止的应用程序所使用的TCP(Transmission Control Protocol,传输控制协议)或UDP(User Datagram Protocol,用户数据报协议)端口号,就能阻挡该应用程序或网络服务,不允许其建立特定的连接。
不过,对于那些使用动态端口的应用程序或网络服务而言,这种过滤方式就会发生一些问题。由于防火墙不知道哪些端口需要打开,而用户又必须使用该服务,这就不得不将所有可能用到的端口都打开,而这个范围可能会较大或非常大,从而给黑客以可乘之机。由此,某些防火墙采用动态包过滤技术,通过检查应用程序信息,判断哪些端口需要临时打开。当传输结束以后,这些端口又马上恢复为关闭状态。
网络级防火墙的优点是速度快、费用低、对用户透明。但是其缺点也很突出,即对网络的保护很有限,因为它只检查地址和端口。2.应用代理防火墙
应用代理防火墙又称为应用级网关,工作于OSI参考模型的应用层(即第7层)。该类防火墙类似于代理服务器,可以达到隐藏内部网络结构的作用。其工作过程如下:当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,由代理服务器根据这一请求向服务器请求数据。然后再由代理服务器将返回的数据转给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的攻击就难以进入到内部企业网。
采用应用代理防火墙有较好的访问控制。但是,当内部网络需要访问外部网络时,同样需要先向代理服务器发送请求。代理服务器根据收到的请求来访问外部网络,并将接收到的数据反馈到内部网络用户。所以,当内部网络用户较多时,经常会出现延迟和多次登录才能访问外部网络的问题。
可见,应用级防火墙的每一种协议都需要相应的代理软件支持,因此工作量大,且效率较低。令人欣慰的是,结合代理类型防火墙的安全性和包过滤防火墙高速度等优点的自适应代理技术应运而生,由自适应代理服务器(Adaptive Proxy Server)与动态包过滤器(Dynamic Packet filter)组成,可以在不影响安全性的基础上,将代理型防火墙的性能提高10倍以上。只需设置服务类型、安全级别等信息,自适应代理就可以根据用户的配置信息,决定是由代理服务从应用层代理请求还是从网络层转发数据包。1.4 网络设备在网络中的应用
交换机、路由器和防火墙作为最基本的网络设备,被广泛应用于各种规模的局域网络。其中,交换机作为必不可少的网络设备,将计算机和其他所有网络设备连接在一起。路由器只有在实现Internet连接或与其他网络互连时才用得到。网络防火墙并不是必需的网络设备,如果网络对安全性的要求不是太高,也可以不选择。1.4.1 交换机在网络中的应用1.提供网络接口
交换机在网络中最重要的应用就是提供网络接口,所有网络设备的互连都必须借助交换机才能实现。包括:
连接交换机、路由器、防火墙、无线接入点等网络设备。
连接计算机、服务器等计算机设备。
连接网络打印机、网络摄像机、IP电话等其他网络终端。
图1-12所示为大中型网络中交换机与其他设备相连接的拓扑示意图。图1-12 大中型网络中的交换机
需要注意的是,网络拓扑图描述的只是网络设备之间的逻辑连接状况,而这些设备在机柜中的物理安装方式则如图1-13所示。图1-13 网络设备机架安装示意图
图1-14所示为小型网络中交换机与其他设备相连接的拓扑示意图。图1-14 小型网络中的交换机2.扩充网络接口
尽管交换机大都拥有较多数量的端口(通常为8~52个),但当网络规模较大、接入的计算机数量较多时,一台交换机所能提供的网络接口往往不够。此时,就必须将两台或更多的交换机连接在一起,从而成倍地扩充网络接口。如图1-15所示,每台交换机拥有50个端口,而将3台交换机连接在一起,就可以提供多达147个端口(其中3个端口被用于彼此之间的级联)。图1-15 扩充网络接口3.扩展网络范围
交换机与计算机或其他网络设备是依靠传输介质(如双绞线、光纤等)连接在一起的,而每种介质的传输距离都是有限的。例如,双绞线是100m,多模光纤是500m,单模光纤是2000m。然而,当网络规模较大,需要较远距离的传输时,必须借助交换机进行中继,以成倍地扩展网络覆盖半径。如图1-16所示,当只有一台交换机时,双绞线网络的直径为200m,而使用光纤连接至另一台交换机后,网络直径就增加至2200m。图1-16 扩展网络范围1.4.2 路由器在网络中的应用1.网络远程连接
随着企业之间的合并,以及办事处或分支机构的不断成立,局域网之间的连接成为一种必要。对于局域网之间的远程连接而言,路由器是不可或缺的设备。图1-17所示为3个局域网借助路由器通过远程链路连接在一起。图1-17 网络远程连接2.远程网络访问
当员工在外地出差,或者在家处理一些事务,需要访问公司局域网络内的计算机,或者从公司网络服务器中调取数据时,就需要借助公用链路远程接入公司网络。如图1-18所示为普通客户端远程接入公司内部网络。图1-18 远程网络访问3.Internet连接共享
路由器是局域网络接入Internet所必需的网络设备。同时,路由器借助NAT技术,只需拥有一个合法的IP地址,即可实现局域网的Internet连接共享,并实现内部服务器的发布。图1-19所示为借助路由器实现局域网的Internet连接共享。图1-19 Internet连接共享1.4.3 防火墙在网络中的应用1.保护网络安全
网络防火墙既可用于分隔内部网络与外部网络,保障内部网络的安全;也可用于分隔内部网络中的重要网络和普通网络,保障重要网络的安全。图1-20所示为网络防火墙在大中型网络中的应用。图1-20 保护网络安全2.远程安全访问
网络(如Internet)中创建安全专用网络通道,实现对内部网络的廉价、安全的远程连接与访问。图1-21所示为远程客户端对内部网络的安全访问。图1-21 远程安全访问
图1-22所示为两个远程网络借助Internet建立安全连接。图1-22 远程安全访问3.Internet连接共享
当局域网采用以太网方式连接至Internet时,只需借助防火墙(无须路由器)即可实现局域网的Internet连接共享(如图1-23所示),从而既可保障内部网络的安全,又可将内部服务器发布到Internet,一举三得。图1-23 Internet连接共享第2章交换技术随着交换机技术的不断发展,不仅“千兆位作骨干,百兆位到桌面”的梦想早已成为现实,而且万兆位网络技术也正广泛应用于大中型网络骨干。网络带宽的增加和交换技术的提高,使网络应用更加丰富多彩,视频会议、语音电话正在成为网络新宠,多媒体数据的传输不再受带宽的限制。2.1 高速以太网技术
随着产品线的不断丰富和价格的不断下降,不仅千兆位以太网已经在各种类型的网络中得到了广泛应用,而且万兆位以太网也已经在大中型网络中得到了普及,十万兆位以太网也正逐渐走进寻常网络。高带宽主干所带来的直接结果是——几乎任何网络应用,甚至包括视频会议、网络电话等对实时性要求较高的网络服务,都能流畅、无阻碍地得以完美实现。2.1.1 1 Gibt/s以太网技术
1 Gigabit Ethernet(千兆位以太网)技术是在100Base-TX和100Base-FX基础上发展起来的超高速网络技术,提供高达1000 Mbps的连接速率。该技术一经提出就得到了网络界人士的普遍关注,使得曾经被业界一致公认的网络主干升级技术ATM失去了原有的吸引力而消失。1.千兆位以太网的主要特点
千兆位以太网具有以下主要特点。■ 简易性
千兆位以太网继承了快速以太网的简易性,因此其技术原理、安装实施和管理维护都很简单。另外,千兆位以太网支持新的全双工操作模式,在一对线上可以同时用于发送和接收信息,因此无需采用CSMA/CD机制。数据传输在不同的线对进行,传输之前无需再等待,没有了冲突的发生,从而在点对点交换链路中可以提供更宽的带宽。■ 扩展性
由于千兆位以太网采用了快速以太网的基本技术,原有的布线系统也几乎完全支持,因此,由100Base-TX/100Base-FX升级到1000Base-T/1000Base-SX/1000Base-LX等千兆位以太网非常容易,而且两种技术可以在同一网络中和谐共存、同时使用,使得网络升级和扩展变得更加简单。■ 可靠性
由于千兆位以太网保持了快速以太网的安装维护方法,借助网络设备的LED指示灯就能够快速诊断和排除大量的网络故障。同时,可以采用星型、网状、环型等网络拓扑结构,因此网络具有很高的可靠性。■ 经济性
千兆位以太网已经被广泛应用,所有网络厂商都生产千兆位以太网产品,几乎所有的交换机都支持千兆位以太网端口,千兆位以太网设备上已经没有多少技术含量可言,市场竞争也已经非常充分,因此,千兆位以太网设备的价格也变得平易近人。■ 可管理维护性
千兆位以太网采用基于简单网络管理协议(SNMP,Simple Network Management Protocol)和远程网络监视(RMON,Remote Network Monitoring)等网络管理技术,许多软硬件厂商开发了大量的网络管理软件,使千兆位以太网的集中监控、管理和维护变得非常简便。■ 广泛应用性
千兆位以太网为局域主干网和城域主干网提供了一种高性价比的宽带传输交换平台,使得许多宽带应用能够得以施展其魅力。例如,在千兆位以太网上可以流畅地实现视频点播、现场直播、教学观摩等大码流的网络服务和应用。2.千兆位以太网应用方案
千兆位以太网联盟(Gigabit Ethernet Alliance,GEA)为千兆位以太网的应用提出以下几种具体方案。■ 网络主干升级
在不对原有传输光缆作任何改变的情况下,只需将网络中心交换机由原来的快速以太网交换机更换为千兆位以太网交换机,即可将局域网络的主干提升至千兆位,从而全面改善原有的网络性能,不仅简单、易行、投资小,而且网络从此将变得畅通无阻。■ 服务器链路升级
将安装有千兆位以太网卡的服务器直接与千兆位以太网交换机进行连接,全面升级服务器至交换机的通信链路,为服务器提供无阻塞的、千兆位线速交换能力,为实现网络的多媒体应用奠定基础。无论采用光缆连接,还是非屏蔽双绞线连接,都不会有太大的投入,但都将使局域网络的服务质量迈上一个新的台阶,并为局域网络的多媒体传输和应用奠定坚实的基础。■ 升级交换机之间的连接
一旦主干传输(核心层交换机与汇聚层交换机间的连接)速度提高到了1 Gbps,接入层传输(汇聚层交换机与接入交换机间的连接)自然就成为下个升级的目标。选择提供1000Mbps端口或模块的接入交换机,或者索性采用端口全部为1000 Mbps的接入交换机都是简捷的升级方法。■ 千兆位到桌面
高性能工作站(如图形工作站、3D工作站等)安装千兆位以太网卡,直接与千兆位以太网相连,从而实现桌面计算机与局域网络的的千兆位连接。尽管品牌计算机几乎都提供了千兆位以太网接口,不过,就目前的网络应用而言,普通的网络客户端似乎还没有必要采用千兆位以太网接入。
如图2-1所示,局域网络的所有连接可以全部采用千兆位带宽。图2-1 千兆位连接应用2.1.2 10 Gbit/s以太网技术
10 Gigabit Ethernet(万兆位以太网)技术已经成熟,并且被广泛应用于新搭建的高性能局域网络,或者被用于原有网络的升级和改造。不过,由于10 Gbps设备的价格仍然较为昂贵,因此目前大多被应用于网络主干链路。1.万兆以太网技术特点
万兆位以太网相对于千兆位以太网拥有许多的优势和特点。■ 结构简单
万兆位以太网结构简单、管理方便。万兆位以太网是一种只采用全双工的技术,其物理层(PHY,Physical Layer)和 OSI(Open System Interconnect,开放式系统互连)参考模型的第1层(物理层)一致,负责建立传输介质(光纤或铜线)和MAC(Media Access Control,介质访问控制)层的连接。MAC层相当于OSI参考模型的第二层(数据链路层)。在网络的结构模型中,把PHY进一步划分为物理介质关联层(PMD,Physical Media Dependent)和物理代码子层(PCS,Physical Coding Sublayer)。光学转换器属于PMD层。PCS层由信息的编码方式(如64B/66B)、串行或多路复用等功能组成。由于没有采用访问优先控制技术,简化了访问控制的算法,从而简化了网络的管理,并降低了部署的成本,因而得到了广泛的应用。■ 技术兼容
万兆位以太网技术基本承袭了快速以太网和千兆位以太网技术,因此在用户普及率、使用方便性、网络互操作性及简易性上皆占有极大的引进优势。在升级到万兆位以太网解决方案时,用户不必担心既有的程序或服务是否会受到影响,升级的风险非常低,同时还拥有在未来升级到100 Gbps的潜力。
以太网的可平滑升级保护了用户的投资。以太网的改进始终保持向前兼容,使得用户能够实现无缝的升级,既不需要额外的投资升级上层应用系统,也不影响原来的业务部署和应用。■ 宽带更高
万兆位标准意味着以太网将具有更高的带宽(10 Gbps)和更远的传输距离(最长传输距离可达40 km)。过去有时需采用数个千兆位捆绑以满足交换机互连所需的高带宽,因而浪费了更多的光纤资源,现在可以采用万兆位互连,甚至4个万兆位捆绑互连,达到40 Gbps的带宽水平。
随着网络应用的深入,WAN/MAN与LAN融合已经成为大势所趋,各自的应用领域也将获得新的突破,而万兆位以太网技术让业界找到了一条能够同时提高以太网的速度、可操作距离和连通性的途径,万兆位以太网技术的应用必将为三网融合提供新的动力。■ 易于管理
万兆位以太网技术提供了更多和更新的功能,能够更好地满足网络安全、服务质量、链路保护等多个方面需求。网络管理者既可以用实时方式,也可以用历史累积方式轻松查看第二层到第四层的网络流量。“永远在线”监视能够及时进行入侵监测,发现网络性能瓶颈,获取计费信息或呼叫数据记录,从而使得网络管理更加简单、准确和有效。2.万兆位以太网应用领域
万兆位以太网应用领域主要包括以下几方面。■ 交换机之间互连
过去,必须采用多个千兆位捆绑,以满足交换机互连所需的高带宽。现在,可以采用万兆位实现核心层交换机与汇聚层交换机的互连,甚至是汇聚层交换机与接入交换机之间的互连(如图2-2所示)。同时,根据现实的需要,还可以将4个10 Gbps链路捆绑在一起,从而达到40 Gbps的网络带宽。■ 数据中心或服务器群组带宽汇聚
视频服务器、应用服务器、邮件服务器、文件服务器、数据库服务器等网络服务器所需要的数据带宽是非常可观的,因此,将服务器与主干网络的连接带宽升级到万兆位,将大幅提高网络服务器的服务质量。■ 城域网带宽汇聚与骨干更新
在城域网的建设中,接入层会有越来越多的万兆位或千兆位以太网连到城域网的汇聚层,而汇聚层也会有越来越多的千兆位以太网连到城域网的骨干层,从而使得万兆位或万兆位捆绑技术在城域网中的汇聚层及骨干层中成为必要。■ 宽带广域网
由于以太网的价格优势,而万兆位以太网又支持与SONET(Synchronous Optical Network,同步光纤网络)/SDH(Synchronous Digital Hierarchy,同步数字体系)基础架构的无缝连接能力,这使得万兆位以太网方案将在广域网市场中取得一定的发展。就目前的成本和需求来看,100 Gbit/s以太网的商用在城域网先行是比较可行的方案。在城域网中,大量的数据需要随时的上下路,一个无需各种补偿器件的传输系统将会大大简化网络设计,100 Gbit/s以太网刚好可以满足这一需求,同时高带宽满足了城域网每年40%的流量增长。总之,100 Gbit/s以太网的发展需求已经很明显,成本优势也会不断加强,但是100 Gbit/s以太网传输从调制方式到运营管理维护都需要不断的技术完善,真正大规模的商用还需时日。图2-2 万兆位连接应用■ 存储网络
万兆位以太网不仅可以满足存储设备的高速互连,也可以实现存储设备的备份及灾难恢复。由于存储网络对网络带宽的需求较高,因此,万兆位以太网在存储网络的应用上得到了充分的发挥(如图2-3所示)。图2-3 万兆位存储网络■ 高性能计算应用
研究机构可以将很多独立的高速CPU连接到一起,利用万兆位以太网或者万兆位以太网通道连接传输大量的处理器间通信,这对于确保一个大规模的分布式超级计算机集群的最佳性能至关重要。
从国内市场来看,教育科研网络、电信运营商及存储网络已经广泛采用了万兆位以太网技术。2.1.3 40/100 Gbit/s以太网技术
40 Gigabit Ethernet(4万兆位以太网)技术已经被应用于高性能核心交换机和数据中心交换机,而100 Gigabit Ethernet(十万兆位以太网)技术也已经在云计算、虚拟化等高端交换机中崭露头角。1.40/100 Gbit/s以太网技术特点
下一代以太网技术标准包含了40 Gbit/s和100 Gbit/s两种速度,主要针对服务器和网络方面不同的需求。40Gbit/s主要针对计算应用,而100 Gbit/s则主要针对核心和汇接应用。提供两种速度,IEEE意在保证以太网能够更高效更经济地满足不同应用的需要,进一步推动基于以太网技术的网络会聚。标准规定了物理编码子层(PCS)、物理介质接入(PMA)子层、物理介质相关(PMD)子层、转发错误纠正(FEC)各模块及连接接口总线,MAC、PHY间的片间总线使用XLAUI(40 Gbit/s)、CAUI(100 Gbit/s),片内总线用XLGMII(40 Gbit/s)、CGMII(100 Gbit/s)。■ 保留以太网帧格式
40/100 Gbit/s以太网仅支持全双工操作,保留了802.3MAC的以太网帧格式;定义了多种物理介质接口规范,其中有1m背板连接(100GE接口无背板连接定义)、7m铜缆线、100m并行多模光纤和10 km单模光纤(基于WDM技术),100 Gbit/s接口最大定义了40 km传输距离。标准定义了PCS的多通道分发(MLD)协议架构,标准还定义了用于片间连接的电接口规范,40 Gbit/s和100 Gbit/s分别使用4个和10个10.312 5 Gbit/s通道,采用轮询机制进行数据分配获得40G和100G的速率,另通过虚拟通道的定义解决了适配不同物理通道或光波长问题;明确了物理层编码采用64B/66B。■ 可利用现有布线系统
新一代以太网标准在制订时,已经充分考虑了电接口相关标准和技术的成熟情况,采用了10.312 5 Gbit/s的片间互联传输通道,多模的并行光纤接口可以支持在OM3光纤满足100m甚至更远的距离;单模的40GB ASE-LR4使用粗波分复用(CWDM)经济可行,100GB ASE-LR4使用DWDM,每波长传25.781 25 Gbit/s,使用1 295~1 310 nm波长,完全可以使用原有光纤,综合技术和成本,标准选用的技术都是实用可行的,有助于促进100G接口在局部和城域网范围内商用。■ 可实现网络平滑升级
对于全网范围的使用,串行100GE传输标准和技术成熟前,可采用反向复用技术。将10×10GE或者4×25GE接口的100GE业务经ODU2/ODU3适配到OTU2/OTU3,在10G/40G光网络中通过多个波长进行传输。可以不需对现存的10G/40G DWDM光网络进行重新设计与改动,传输码型仍然为光双二进制编码(ODB)/差分归零码(DRZ)/电归零码-差分正交相移键控(eRZ-DQPSK)。这种模式可以采用10G/40G现有的成熟光电器件,并且整个系统的性能指标和10G/40G系统一致。这一方案可实现网络平滑升级,满足运营商的成本期望,并且器件相对成熟。2.40/100 Gbit/s以太网应用领域
随着IT行业的高速发展,云计算、虚拟化、高清视频、电子商务、社交网络以及飞速发展高速无线网络等各种新兴业务的不断涌现,都给基础网络带来了巨大的机会和挑战。对于汇聚层的应用,下行端口正在切换到10 Gbit/s,上行只能采用10 Gbit/s端口的链路聚合,如果使用100 Gbit/s以太网接口则可以在数据流的管理、分配及效率上得到改善;对于数据中心,随着10 Gbit/s接口增加也同样存在上行及内部互联高速接口的需求;对于骨干网的高效传输,也期待着100 Gbit/s高速接口和传输的成熟。■ 网络骨干带宽提升
从网络的架构来看,网络的扁平化和融合也都大大促进了40 Gbit/s、100 Gbit/s高速接口的发展。网络的扁平化对核心交换机提出了更高端口密度和更高速率上行接口的要求,如每槽位需要32个10 GE接口。在如此高密度、大容量的接入带宽下面,上行接口的带宽就有了更高的需求。比较常见的部署就是用多个10 Gbit/s端口进行聚合和捆绑,来实现更高性能的上行接口。可见,40 Gbit/s、100 Gbit/s的接口需求不仅是现实的,而且是迫切的。■ 城域网业务汇聚
随着网络应用的不断丰富,如文件下载与系统更新、电子银行与在线购物、高清影视直播与视频会议等,使得用户的带宽需求从1 Mbps迅速上升到10 Mbps、100 Mbps,甚至1000 Mbps。随着以视频业务为代表的宽带业务的快速发展,接入层带宽的增加必然导致城域网汇聚层和核心层的宽带需求增加。有数据表明,10 Gbps端口的增长速度已远远高于低速端口的增长速度,在接入和客户端设备上10 Gbps端口的应用正越来越多,在此趋势下,汇聚层节点数量以及带宽的快速攀升,而这势必会引发网络汇聚层和骨干层对40 Gbps、100 Gbps端口需求的迅速增长,从而促使运营商在城域网核心层部署100Gbit/s,以适应大带宽业务流量汇聚以及与长途传输设备接口之需。■ 数据中心网络
随着数据中心网络建设的融和趋势,局域网、存储网络和高性能计算网络融正逐步统一到以太网接口上,这也大大增加了服务器对10 Gbit/s、40 Gbit/s以太网接口的需求。一旦10 Gbit/s、40 Gbit/s接口成为服务器的普及端口,数据中心内部40 Gbit/s、100 Gbit/s的互联交换机接口就变得十分必要和紧迫。不仅如此,超大型的数据中心往往有很大的地域跨度,这些数据中心的互联以及同Internet的接入都需要更高速率的链路。
在数据中心将众多服务器集中在一起的服务模式下,100 Gbit/s技术的采用,不仅可以满足数据中心互联的海量带宽需求,而且可以有效减少接口,降低机房占地面积以及设备功耗,帮助运营商以及互联网企业部署高密度、万兆互联的新一代数据中心。■ 云计算
带宽压力是云数据中心网络的核心问题。在数据中心,像视频点播、10 Gbit/s的FCOE、以及高性能计算这样的高带宽应用,都需要万兆以太网接口。随着服务器和接入设备上万兆以太网的普及,数据中心的网络汇聚层和核心层设备对100 Gbit/s以太网的需求越来越强烈。100 Gbit/s网络不仅仅意味着端口、带宽速度的升级,不只是在数据传输速率上比10 Gbit/s快了10倍,更重要的是由此带来的功能上的极大增强和丰富。作为新一代的云数据中心,必将在其汇聚层或核心层采用100 Gbit/s以太网以满足应用需求,云数据中心将进入100 Gbit/s时代。■ 远程网络互联
在网络IP化趋势下,骨干网的数据流量主要由核心路由器产生。现在网络中核心路由器主要采用10 GE接口与WDM设备互联以实现长距离传输。随着100 Gbit/s技术的成熟,核心路由器可以直接采用100Gbit/s接口与传输设备相连,不仅可以实现大容量和高带宽,还可以进一步减少用户侧接口数量,以满足数据业务发展的需要。目前,由于100 Gbit/s接口已经被公认为是下一代核心路由器的标准配置,国内外的各大设备厂商竞相推出了100 Gbit/s的产品和设备。
相对而言,40 Gbit/s端口的相关技术和产业链相对成熟,在芯片成本、光模块成本和端口部署等方面都有着非常现实的意义,可以很快实现规模性的应用,而100 Gbit/s虽然在诸多方面都存在技术和成本问题,但是,却代表着高速以太网未来发展的方向。就目前市场定位来看,两者各有所侧重,40 Gbit/s以太网主要面向数据中心的应用,而100 Gbit/s以太网则更侧重在网络汇聚和骨干。
总之,为了更好地应对业务流量和网络带宽增长的压力,具备大容量、长距离传输特征的100 Gbit/s技术正在被越来越多地部署到干线网络、大型本地网以及城域网的核心层,用于城域网业务流量汇聚、大型数据中心之间的数据交互、核心路由器之间的接口互联以及大容量长距离传输等多种场景,为网络的新一轮提速奠定基础。
试读结束[说明:试读内容隐藏了图片]