交换机，路由器和防火墙

 

交换机：可分为二层交换机和三层交换机

二层交换机是工作与数据链路层的设备、

它可以识别mac地址，封装二层以太帧，转发数据实现局域网的通信。

工作原理：首先读取数据包中的源mac地址，将源mac地址和接口保存到mac地址表，

然后读取目的mac地址，查找mac地址表有没有对应的，如果有就发送到对应的接口，

如果没有就广播该数据到所有接口。

交换机有三种模式

存储转发：交换机接收报文，存储在缓存器上进行循环冗余校验，出错丢掉。

直通转发：仅解析前六个字节。

碎片转发：介于前两者的解决方案，判断包大小，小于64字节的丢弃。

三种转发动作：丢弃，转发，扩散

三层交换机工作在网络层的设备，是具有路由器部分功能的交换机

目的是加快大型局域网内部的数据交换

同时拥有ip路由表和mac地址表

路由器

是连接两或者多个网络的硬件设备，拥有网络层ip寻路。

工作在网络层

工作原理：

路由器收到数据包时，根据ip地址和子网掩码算出网络地址

根据网络地址查找ip路由表，找到就转发给下一条路由器

如果没有找到就查看有没有默认路由，有就转发。

如果没有默认路由是直通路由的话就按照二层mac地址转发到目标站点

如果也不是直通路由的话就给源地址发送icmp出错报文。

防火墙

防火墙常布置在网络边界

一般而言用于保护内部网络，防止外部网络的攻击，防止数据的泄露，还可以对流量进行监控。

为实现CIA：机密性，完整性和可用性。

主要工作于传输层

默认禁止所有的流量通过，需要配置策略（策略五元组：目的端口，目的地址，源端口，源地址，协议）配置比较复杂，

划分区域：

 

防火墙根据形态可分为：

硬件防火墙：通常保护企业内网

软件防火墙：通常保护主机

防火墙根据访问控制可分为：

包过滤防火墙（网络层上的每个数据包都进行匹配，不会考虑数据包之间的关联性，通常不会检测应用层数据）

代理防火墙（作用于应用层，是处理速度慢）

状态检测防火墙（是包过滤技术的扩展，考虑数据包之间的关联性，可以检查应用层数据，处理后续包快，安全性好）

有三种模式：

透明模式：类似二层交换机

路由模式：类似路由器

混合模式：类似三层交换机

局限性：

防外不防内

平衡检测功能和·转发性能

端对端加密隧道，不可处理

自身瓶颈

不能完全防范全部威胁