MAC与数字签名
MAC(Message Authentication Code)消息认证码,MAC是认证消息的完整性的技术。它是由任意长度的消息和在发送者和接受者中间共享的密钥生成的。MAC有个缺点就是秘钥是共享的,因为是共享的所以发送者可以计算MAC值,接收者也可以计算出同样的MAC值。因为两者都可以计算出同样的MAC值,所以我们无法判断这个MAC值到底是由谁来计算出来的。这里提到了MAC的缺点就是无法防止否认。
如果发送者A和接收者B使用不同的密钥,例如A发送消息的时候使用私钥对消息进行加密,B接收消息的时候使用公钥对消息进行解密。因为消息只能由A的私钥进行加密,所以这个签名一定是由A签发的,这样就没有否认的问题了。这个就是数字签名(digital signature)。
生成消息签名这一行为是由发送者A来完成的,也称为对消息进行签名。生成签名就是根据消息内容计算签名值,生成签名意味着A认可这个消息的内容。
验证数字签名可以由消息接受者B来完成,也可以由第三方来完成。验证成功意味着这个消息是由A发出,失败则表示这个消息不是A发出的。
在数字签名的过程中,消息发送者A和消息接受者B使用不同的密钥来进行签名和验证。这里使用的不同的密钥就是公钥和私钥。
| 名称 | 私钥 | 公钥 |
| 公钥密码 | 接受者解密时使用 | 发送者加密时使用 |
| 数字签名 | 签名者生成签名时使用 | 验证者验证签名时使用 |
| 谁持有密钥? | 个人持有 | 主要需要,任何人都可以持有 |
电路交换
- 电路交换:整个报文的比特流连续的从源点直达终点,好像在一个管道中传送。
- 报文交换:整个报文先传输到相邻的结点,全部存储下来后查找转发表,转发到下一个结点。
- 分组交换:单个分组(报文的一部分)传送到相邻结点,传送到相邻结点,存储下来后查找转发表,转发到下一个结点。
三者都属于数据交换的方式。电路交换的三个阶段:建立连接(呼叫/电路建立)、通信、释放连接(拆除电路)
节点总时延
节点总时延=节点处理时延+排队时延+传输时延+传播时延
total nodal delay=nodal processing delay+queue delay+transmission delay+propagation delay
假设一个数据包X从路由器A到路由器B,我们来分析下,在这种情况下,数据包X从A到B的总时延:
A接收到数据包时,会检测数据包的首部,决定将该数据包导向哪一个链路上,这个过程所需的时间叫做节点处理时延
将X全部数据推向链路,这个过程所需要的时间就是传输时延。传输时延取决于数据包X的长度和链路传输速率决定。
当X所有的数据全部推到链路上后,这是就进入了传播时延。传播时延取决于传播的距离及传播速度。传播速度取决于该链路的物理媒介,如光纤,双绞线等,一般等于或者小于光速。单位是m/s。
邮件发送协议
电子邮件发送协议 是一种基于“ 推 ”的协议,主要包括 SMTP ; 邮件接收协议 则是一种基于“ 拉 ”的协议,主要包括 POP协议 和 IMAP协议
移动IP
移动P技术是移动结点(计算机/服务器等)以固定的网络IP地址,实现跨越不同网段的漫游功能,并保证了基于网络IP的网络权限在漫游过程中不发生任何改变。
移动结点具有永久IP地址的移动设备。
归属代理(本地代理)一个移动结点拥有的旧“居所”称为归属网络,在归属网络中代表移动节点执行移动管理功能的实体叫做归属代理。
外部代理(外地代理)在外部网络中帮助移动节点完成移动管理功能的实体称为外部代理。
永久地址(归属地址/主地址)移动站点在归属网络中的原始地址。
转交地址(辅地址)移动站点在外部网络使用的临时地址
TCP/IP
注意少了一个物理层
三次握手协议
用来建立TCP/IP连接
(1)序列号:Sql序号,用来标识数据包,发起方发送数据时对此进行标记。
(2)确认序号:Ack序号,只有ACK标志位为1时,确认序号字段才有效,Ack=Seq+1。
(3)标志位:共6个,即SYN、ACK、PSH、RST、URG、FIN
1)SYN:发起一个请求。 2)ACK:确认序号有效(表示对请求的响应)。
3)URG:紧急指针(urgent pointer)有效。 4)PSH:接收方应该尽快将这个报文交给应用层。
5)RST:重置连接。 6)FIN:释放一个连接。
需要注意的是:
(A)不要将确认序号Ack与标志位中的ACK搞混了。
(B)确认方Ack=发起方Seq+1,两端配对。
为什么不能是两次握手,或者说相较于两次握手,三次握手的优点是什么:
试想如果是用两次握手,则会出现下面这种情况:
如客户端发出连接请求,但因连接请求报文丢失而未收到确认,于是客户端再重传一次连接请求。后来收到了确认,建立了连接。数据传输完毕后,就释放了连接,客户端共发出了两个连接请求报文段,其中第一个丢失,第二个到达了服务端,但是第一个丢失的报文段只是在某些网络结点长时间滞留了,延误到连接释放以后的某个时间才到达服务端,此时服务端误认为客户端又发出一次新的连接请求,于是就向客户端发出确认报文段,同意建立连接,不采用三次握手,只要服务端发出确认,就建立新的连接了,此时客户端忽略服务端发来的确认,也不发送数据,则服务端一致等待客户端发送数据,浪费资源。
回退N步(GBN)与选择重传协议(SR)
回退N步:假设现在期望接收分组 n,而分组 n + 1 却到了,因为数据必须按序交付,所以接收方可能缓存分组 n + 1,然后,在它收到并交付分组 n 后,再将该分组交付到上层。但是,如果分组 n 丢失,则该分组及分组 n + 1 最终将在发送方根据 GBN 重传规则而被重传,所以,接收方只需要直接丢弃分组 n + 1 即可。
选择重传协议:选择重传的接收窗口与发送窗口一样大.选择重传协议允许与接收窗口一样多的分组失序到达,并保存这些失序到达的分组,直到连续的一组分组被交付给应用层.因为发送窗口与接收窗口是相同的,所以发送出来的所有分组都可以失序到达,而且会被保留直到交付为止.但是必须强调一点,在一个可靠的协议中,接收方永远不会把分组失序地交给应用层.在他们被交付给应用层之前,先要等待那些更早发出来的分组到达.
返回N协议将所有的分组当做一个整体对待,而选择重传协议则分别对待每一个分组.但是大多数SR的运输层仅使用了一个计时器. 注意只使用一个计时器而做到跟踪所有发出去的分组的情况的做法是:标记发出分组,当ACK=Sf 时,将窗口滑过所有连续的已确认的分组,如果还有未确认的分组,则重发所有检测到的未被确认的分组并重启计时器,如果所有分组都被确认了则停止计时器.
DHCP
动态主机设置协定(DHCP)是一种使网络管理员能够集中管理和自动分配IP网络地址的通信协议。在IP网络中,每个连接Internet的设备都需要分配唯一的IP地址。DHCP使网络管理员能从中心结点监控和分配IP地址。当某台计算机移到网络中的其它位置时,能自动收到新的IP地址。
DHCP运行分为四个基本过程,分别为发现阶段、提供IP、选择IP租约和确认IP租约。
发现阶段:DHCP客户机寻找DHCP服务器的阶段
当DHCP客户机第一次登录网络的时候(也就是客户机上没有任何IP地址数据时),它会通过UDP 67端口向网络上发出一个DHCPDISCOVER数据包(包中包含客户机的MAC地址和计算机名等信息)。因为客户机还不知道自己属于哪一个网络,所以封包的源地址为0.0.0.0,目标地址为255.255.255.255,然后再附上DHCP discover的信息,向网络进行广播,网络上每一台安装了TCP/IP协议的主机都会接收到这种广播信息,但只有DHCP服务器才会做出响应。
提供IP地址租用:DHCP服务器提供IP地址的阶段
在网络中接收到DHCPdiscover发现信息的DHCP服务器都会做出响应,它从尚未出租的IP地址中挑选一个分配给DHCP客户机,DHCP为客户保留一个IP地址,然后通过网络广播一个DHCPOFFER消息给客户。该消息包含客户的MAC地址、服务器提供的IP地址、子网掩码、租期以及提供IP的DHCP服务器的IP。此时还是使用广播进行通讯,源IP地址为DHCP Server的IP地址,目标地址为255.255.255.255。同时,DHCP Server为此客户保留它提供的IP地址,从而不会为其他DHCP客户分配此IP地址。
由于客户机在开始的时候还没有IP地址,所以在其DHCP discover封包内会带有其MAC地址信息,并且有一个XID编号来辨别该封包,DHCP Server响应的DHCP OFFER封包则会根据这些资料传递给要求租约的客户。
选择阶段:即DHCP客户机选择某台DHCP服务器提供的IP地址的阶段
如果客户机收到网络上多台DHCP服务器的响应,只会挑选其中一个DHCP OFFER(一般是最先到达的那个),并且会向网络发送一个DHCP REQUEST广播数据包(包中包含客户端的MAC地址、接受的租约中的IP地址、提供此租约的DHCP服务器地址等),告诉所有DHCP Server它将接受哪一台服务器提供的IP地址,所有其他的DHCP服务器撤销它们的提供以便将IP地址提供给下一次IP租用请求。此时,由于还没有得到DHCP Server的最后确认,客户端仍然使用0.0.0.0为源IP地址,255.255.255.255为目标地址进行广播。
租约确认阶段:即DHCP服务器确认所提供的IP地址的阶段
当DHCP Server接收到客户机的DHCP REQUEST之后,会广播返回给客户机一个DHCP ACK消息包,表明已经接受客户机的选择,并将这一IP地址的合法租用以及其他的配置信息都放入该广播包发给客户机。
客户机在接收到DHCP ACK广播后,会向网络发送三个针对此IP地址的ARP解析请求以执行冲突检测,查询网络上有没有其它机器使用该IP地址;如果发现该IP地址已经被使用,客户机会发出一个DHCP DECLINE数据包给DHCP Server,拒绝此IP地址租约,并重新发送DHCP discover信息。此时,在DHCP服务器管理控制台中,会显示此IP地址为BAD_ADDRESS。
如果网络上没有其它主机使用此IP地址,则客户机的TCP/IP使用租约中提供的IP地址完成初始化,便将收到的IP地址与客户端的网卡绑定。从而可以和其他网络中的主机进行通讯。
无线传输
无线传输有三个非常重要的范围:传输范围,侦听范围和干扰范围。
1.传输范围:传输范围(TX_range)指成功接收帧的通信范围,取决于发送能量和无线电波传输特性。
2.侦听范围:侦听范围(PCS_range)可检测到传输的范围,取决于接收器灵敏度和无线电波传输特性。
3.干扰范围:干扰范围(IF_range)此范围内节点发送帧将干扰接收方的接收并导致丢帧。
隐藏节点:由于距离太远而导致一个站点无法检测到介质竞争对手的存在。 我们考虑下面一个图:
A在向B传输数据,如果C想向B传输数据,那么C首先监听,他发现在他的传输范围内有B,可以发送,但是它的侦听范围内没有A,也就是他不知道A在给B发送消息,于是他发送了。这时候问题就出现了,B同时接收到AC两个主机发送了数据,造成了冲突,传递失败,这就是隐藏节点的问题,C作为隐藏节点能够干扰接收方但是却不能侦听到发送方。我们从隐藏节点中能够看出无线局域网和有线局域网的区别:无线局域网802.11中,没有监听到载波,不代表可以传输。
同样,有隐藏节点就有暴露节点。暴露节点指由于侦听到其他站点的发送而误以为介质忙导致不能发送,和隐藏节点正好相反。考虑下面一种情况:
B正在向A发送数据。C想向D发送数据,但是他发现它的侦听范围内有B正在发送,那么他误认为自己不能给D发送,因为信道正忙。但是实际上D在B的干扰范围之外,C给D发送数据是完全可以的,这就是暴露节点。暴露节点告诉我们:侦听到信道忙,不代表不能发送。暴露节点和隐藏节点问题是无线局域网802.11特有的,802.3是没有的,所以对于802.11有一种特殊的解决隐藏节点问题的机制,也就是RTS和CTS。
RTS/CTS机制的基本思想是:通过短的控制包来预留出带宽。方法如下:
①发送方通过发送RTS请求请求发送。
②接收方用CTS回应发送请求
③CTS为发送方预留带宽的同时通告所有节点
发送方A如果想给接受方B发送消息,那么首先要发送一个RTS控制帧。那么在发送方周围的主机,收到了这个RTS之后,就知道他周围有人要发送消息了,那么它会保持静默,不发送任何消息,直到接收到B给A发送消息确认,那么直到A给B发送消息这个过程完全结束了,这些周围的主机就可以发送了,周围主机这个沉默状态叫做NAV状态。
接收方接收到A给他发送的RTS之后,首先它先回复一个CTS确认控制消息。B周围的机子接收到这个CTS之后,那么就知道它周围有人要接受消息,所以也设定为NAV静默状态,防止干扰到接收方B,知道接收到B回给A的ACK,确定数据发送完毕,于是它们也可以收发消息了。
总之,接收方发送的CTS和发送方的RTS能有效避免它们周围节点发送消息,从而避免隐藏节点造成的冲突,这也是RTS和CTS机制的作用。
公开密匙密码系统
公开密钥密码系统一般性描述:
(1)在公开密钥密码体制中,每个用户都拥有两个不同的密钥:加密密钥和解密密钥。
(2)用户的加密密钥公开(公开密钥),可公开发布在密钥薄上,被所有用户访问;用户的解密密钥由自己保存并严格保密 (私有密钥)。
(3)发送端用接收端的加密密钥PK对明文M进行加密,生成密文C传输,加密变换记为:C = EPK(M)接收端用自己的解密密钥SK对密文C解密得到明文M,解密变换记为:M = DSK(C) 。
(4)公钥密码体制的加密变换和解密变换应满足:
a、解密变换是加密变换的逆变换:DSK(EPK(M))=M 或 EPK(DSK(C))=C
b、已知加密密钥,EPK(M)容易计算;已知解密密钥 DSK(C) 容易计算。
c、从已知的PK无法推导出SK,或者说从PK推导出SK在计算上是不可行的。
(5)加密密钥不能用来解密:DPK(EPK(X))!=X。
(6)在计算机上可容易地产生成对的PK和SK。
(7)从已知的PK和密文,要想推导出明文在计算上是不可行的。
(8)加密算法E和解密算法D都是公开的。
计算机网络各层设备
物理层设备——中继器
中继器(RP repeater)又称转发器,主要功能是将信号整形并放大再转发出去,以消除信号经过一长段电缆后,因噪声或其他原因而造成的失真和衰减,使信号的波形和强度达到所需要的要求,进而扩大网络传输的距离。
原理:信号再生(而非简单地将衰减的信号放大)。中继器有两个端口,数据从一个端口输入,再从另一个端口发出。端口仅作用于信号的电气部分,而不管数据中是否有错误数据或不适于网段的数据。
中继器是局域网环境下用来扩大网络规模的最简单、最廉价的互联设备。使用中继器连接的几个网段仍然是一个局域网。一般情况下,中继器的两端连接的是相同的媒体,但有的中继器也可以完成不同媒体的转接工作。但由于中继器工作在物理层,因此它不能连接两个具有不同速率的局域网。中继器两端的网络部分是网段,而不是子网。中继器若出现故障,对相邻两个网段的工作都将产生影响。
它属于一种模拟设备,用于连接两根电缆段。中继器不理解帧、分组和头的概念,他们只理解电压值。
问题:中继器是否可以无限使用?
在采用粗同轴电缆的10BASE5 以太网规范中,互相串联的中继器的个数不能超过4 个,而且用4 个中继器串联的5 段通信介质中只有3段可以挂接计算机,其余两段只能用作扩展通信范围的链路段,不能挂接计算机。这就是"5-4-3 规则”
物理层设备——集线器
集线器(Hub) 实质上是一个多端口的中继器,它也工作在物理层。当Hub工作时,一个端口接收到数据信号后,由于信号在从端口到Hub 的传输过程中已有衰减,所以Hub便将该信号进行整形放大,使之再生(恢复)到发送时的状态,紧接着转发到其他所有(除输入端口外)处于工作状态的端口。如果同时有两个或多个端口输入,那么输出时会发生冲突,致使这些数据都无效。从Hub 的工作方式可以看出,它在网络中只起信号放大和转发作用,目的是扩大网络的传输范围,而不具备信号的定向传送能力,即信号传输的方向是固定的,是一个标准的共享式设备。
Hub 主要使用双绞线组建共享网络,是从服务器连接到桌面的最经济方案。在交换式网络中,Hub 直接与交换机相连,将交换机端口的数据送到桌面上。使用Hub 组网灵活,它把所有结点的通信集中在以其为中心的结点上,对结点相连的工作站进行集中管理,不让出问题的工作站影响整个网络的正常运行,并且用户的加入和退出也很自由。由Hub组成的网络是共享式网络,但逻辑上仍是一个总线网。Hub的每个端口连接的网络部分是同一个网络的不同网段。同时Hub也只能在半双工状态下工作,网络的吞吐率因而受到限制。
问题:连接到一台集线器的多台计算机如何工作
多台计算机必然会发生同时通信的情形,因此集线器不能分割冲突域,所有集线器的端口都属于同一个冲突域。集线器在一个时钟周期中只能传输一组信息,如果一台集线器连接的机器数目较多,且多台机器经常需要同时通信,那么将导致信息碰撞,使得集线器的工作效率很差。比如,一个带宽为10Mb/s的集线器上连接了8 台计算机,当这8 台计算机同时工作时,每台计算机真正所拥有的带宽为10/8Mb/s = 1.25Mb/s 。
数据链路层设备——网桥
网桥(Bridge)是一个局域网与另一个局域网之间建立连接的桥梁。是早期的两端口二层网络设备。网桥的两个端口分别有一条独立的交换信道,不是共享一条背板总线,可隔离冲突域。网桥比集线器(Hub)性能更好,集线器上各端口都是共享同一条背板总线的。后来,网桥被具有更多端口、同时也可隔离冲突域的交换机(Switch)所取代。
虽然网桥和集线器长得很像,但是网桥处理数据的对象是帧,所以它是工作在数据链路层的设备,中继器、放大器处理数据的对象是电气信号,所以它是工作在物理层的设备。
两个或多个以太网通过网桥连接后,就成为一个覆盖范围更大的以太网,而原来的每个以太网就称为一个网段。网桥工作在链路层的MAC子层,可以使以太网各网段成为隔离开的冲突域。如果把网桥换成工作在物理层的转发器,那么就没有这种过滤通信量的功能。由于各网段相对独立,因此一个网段的故障不会影响到另一个网段的运行。
网桥的缺点
增大了时延(存储转发)
MAC子层没有流量控制功能(流量控制要用到编号机制,编号机制的实现在LLC子层)
不同的MAC子层的网段桥接在一起时,需要进行帧格式的转换
网桥只适合用户数不多和通信量不大的局域网,否则有时还会因传播过多的广播信息而产生网络拥塞,这就是所谓的网络风暴
网桥的分类
使用源路由网桥可以利用最佳路由。若在两个以太网之间使用并联的源路由网桥,则还可使通信量较平均地分配给每个网桥。
采用透明网桥时,只能使用生成树,而使用生成树一般并不能保证所用的路由是最佳的,也不能在不同的链路中进行负载均衡。
数据链路层设备——交换机
桥接器的主要限制是在任一时刻通常只能执行一个帧的转发操作,于是出现了局域网交换机,又称以太网交换机。从本质上说,以太网交换机是一个多端口的网桥,它工作在数据链路层。交换机能经济地将网络分成小的冲突域,为每个工作站提供更高的带宽。以太网交换机对工作站是透明的,因此管理开销低廉,简化了网络结点的增加、移动和网络变化的操作。
局域网(以太网)交换机原理
以太网交换机的原理是,它检测从以太端口来的数据帧的源和目的地的MAC (介质访问层) 地址,然后与系统内部的动态查找表(自学习)进行比较,若数据帧的MAC 地址不在查找表中,则将该地址加入查找表,并将数据帧发送给相应的目的端口。
以太网交换机的特点
以太网交换机的每个端口都直接与单台主机相连(普通网桥的端口往往连接到以太网的一个网段),并且一般都工作在全双工方式。
以太网交换机能同时连通许多对端口,使每对相互通信的主机都能像独占通信媒体那样,无碰撞地传输数据。
以太网交换机也是一种即插即用设备(和透明网桥一样),其内部的帧的转发表也是通过自学习算法自动地逐渐建立起来的。
以太网交换机由于使用了专用的交换结构芯片,因此交换速率较高。
以太网交换机独占传输媒体的带宽。
对于普通l0Mb/s 的共享式以太网,若共有N 个用户,则每个用户占有的平均带宽只有总带 宽(l0Mb/s) 的1/N。在使用以太网交换机时,虽然从每个端口到主机的带宽还是10Mb/s, 但由于一个用户在通信时是独占而不是和其他网络用户共享传输媒体的带宽,因此拥有N 对端口的交换机的总容量为N*10Mb/s 。这正是交换机的最大优点。
以太网交换机一般都具有多种速率的端口,例如可以具有10Mb/s 、l00Mb/s 和lGb/s 的端口的各种组合,因此大大方便了各种不同情况的用户。
以太网交换机的两种交换模式
直通式交换机只检查帧的目的地址,这使得帧在接收后几乎能马上被传出去。这种方式速度快,但缺乏智能性和安全性,也无法支持具有不同速率的端门的交换。
存储转发式交换机先将接收到的帧缓存到高速缓存器中,并检查数据是否正确,确认无误后通过查找表转换成输出端口将该帧发送出去。如果发现帧有错,那么就将其丢弃。存储转发式的优点是可靠性高,并能支持不同速率端口间的转换,缺点是延迟较大。
网络层设备——路由器
路由器是一种具有多个输入/输出端口的专用计算机,其任务是连接不同的网络(连接异构网络)并完成路由转发。在多个逻辑网络(即多个广播域)互联时必须使用路由器。
这里说路由器是一种具有多个输入/输出端口的专用计算机,所以只要安装相关的软件,使普通的电脑也可以变成路由器,如m0n0wall 、GNU Zebra;绝大多数UNIX类的操作系统包含所有进行路由所必须的软件。
当源主机要向目标主机发送数据报时,路由器先检查源主机与目标主机是否连接在同一个网络上。如果源主机和目标主机在同一个网络上,那么直接交付而无须通过路由器。如果源主机和目标主机不在同一个网络上,那么路由器按照转发表(路由表)指出的路由将数据报转发给下一个路由器,这称为间接交付。可见,在同一个网络中传递数据无须路由器的参与,而跨网络通信必须通过路由器进行转发。例如,路由器可以连接不同的LAN, 连接不同的VLAN, 连接不同的WAN, 或者把LAN 和WAN 互联起来。路由器隔离了广播域。
注:如果一个存储转发设备实现了某个层次的功能,那么它就可以互联两个在该层次上使用不同协议的网段(网络)。如果网桥实现了物理层和数据链路层,那么网桥可以互联两个物理层和数据链路层不同的网段;但中继器实现了物理层后,却不能互联两个物理层同的网段,这是因为中继器不是存储转发设备,它属于直通式设备。
路由选择部分也称控制部分,其核心构件是路由选择处理机。路由选择处理机的任务是根据 所选定的路由选择协议构造出路由表,同时经常或定期地和其他相邻路由器交换路由信息而不断更新和维护路由表。
分组转发部分由三部分组成:交换结构、一组输入端口和一组输出端口。输入端口在从物理 层接收到的比特流中提取出链路层帧,进而从帧中提取出网络层数据报,输出端口则执行恰好相反的操作。交换结构是路由器的关键部件,它根据转发表对分组进行处理,将某个输入端口进入的分组从一个合适的输出端口转发出去。有三种常用的交换方法:通过存储器进行交换、通过总线进行交换和通过互联网络进行交换。交换结构本身就是一个网络。
转发和路由选择的区别
“转发”是路由器根据转发表把收到的IP数据报从合适的端口转发出去,它仅涉及一个路由器。
“路由选择”则涉及很多路由器,路由表是许多路由器协同工作的结果。这些路由器按照复杂的路由算法,根据从各相邻路由器得到的关于网络拓扑的变化情况,动态的改变所选择的路由,并由此构造出整个路由表。
网桥和路由器的区别
网桥只能连接两个逻辑相同的网络(它相当于一个二层交换机),而路由器可以连接不同网络;网桥就是把不同物理位置的机器组成一个大的局域网,连接的多个网络属于同一个局域网;网桥连接的两个网络在逻辑上属于同一个局域网,但可以是不同策略的网络,如以太网和令牌环网;路由器可以连接不同的网络,连接的网络之间可以说没什么关系,是独立的;
网桥基于 MAC 地址转发,路由器基于 IP 转发;
网桥不隔离广播,而路由器可以隔离广播;
网桥工作在链路层,路由器工作在网络层;
网络层之上的设备:网关
网络层设备——网关(Gateway)
就是一个网络连接到另一个网络的“关口”。也就是网络关卡。
网关(Gateway)又称网间连接器、协议转换器。默认网关在网络层上以实现网络互连,是最复杂的网络互连设备,仅用于两个高层协议不同的网络互连。网关的结构也和路由器类似,不同的是互连层。网关既可以用于广域网互连,也可以用于局域网互连。
注:由于历史的原因,许多有关TCP/IP的文献曾经把网络层使用的路由器称为网关,在今天很多局域网采用都是路由来接入网络,因此通常指的网关就是路由器的IP!
网关实质上是一个网络通向其他网络的IP地址。
假设有网络A和网络B,网络A的IP地址范围为“192.168.1.1~192. 168.1.254”,子网掩码为255.255.255.0;网络B的IP地址范围为“192.168.2.1~192.168.2.254”,子网掩码为255.255.255.0。
在没有路由器的情况下,两个网络之间是不能进行TCP/IP通信的,即使是两个网络连接在同一台交换机(或集线器)上,TCP/IP协议也会根据子网掩码(255.255.255.0)判定两个网络中的主机处在不同的网络里。
要实现这两个网络之间的通信,则必须通过网关。如果网络A中的主机发现数据包的目的主机不在本地网络中,就把数据包转发给它自己的网关,再由网关转发给网络B的网关,网络B的网关再转发给网络B的某个主机。网络B向网络A转发数据包的过程。
对默认网关,其意思是一台主机如果找不到可用的网关,就把数据包发给默认指定的网关,由这个网关来处理数据包。现在主机使用的网关,一般指的是默认网关。
网关实质上是一个网络通向其他网络的IP地址,网关在网段内的可用ip中选一个,不过,一般用的是第1个和最后一个。
交换机和路由器的区别
交换机用于同一网络内部数据的快速传输、转发决策通过查看二层头部完成、转发不需要修改数据帧、工作在 TCP/IP 协议的二层 —— 数据链路层、工作简单,直接使用硬件处理
路由器用于不同网络间数据的跨网络传输、转发决策通过查看三层头部完成、转发需要修改 TTL ,IP 头部校验和需要重新计算,数据帧需要重新封装
工作在 TCP/IP 协议的三层 —— 网络层
工作复杂,使用软件处理
为什么有时候还要在路由器的后面先接1台交换机再接计算机
路由器是可以直接接电脑等终端设备,为什么标准都是路由器接交换机然后再接电脑等终端,是因为路由器本来就是一个路由设备,用来选路的,不适合大量的数据交换,交换机是用来大量数据交换的,终端在内网的性质就是需要使用交换机,所以标准就是路由器地下接交换机的形式。一般是情况就是在路由器下面接交换机,路由器主要起数据转发,也就是寻址、路由的功能,交换机起到用户接入的目的。但是家用的路由器的话直接就接计算机就可以了,而不必考虑再接交换机。
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
