交换机:可分为二层交换机和三层交换机
二层交换机是工作与数据链路层的设备、
它可以识别mac地址,封装二层以太帧,转发数据实现局域网的通信。
工作原理:首先读取数据包中的源mac地址,将源mac地址和接口保存到mac地址表,
然后读取目的mac地址,查找mac地址表有没有对应的,如果有就发送到对应的接口,
如果没有就广播该数据到所有接口。
交换机有三种模式
存储转发:交换机接收报文,存储在缓存器上进行循环冗余校验,出错丢掉。
直通转发:仅解析前六个字节。
碎片转发:介于前两者的解决方案,判断包大小,小于64字节的丢弃。
三种转发动作:丢弃,转发,扩散
三层交换机工作在网络层的设备,是具有路由器部分功能的交换机
目的是加快大型局域网内部的数据交换
同时拥有ip路由表和mac地址表
路由器
是连接两或者多个网络的硬件设备,拥有网络层ip寻路。
工作在网络层
工作原理:
路由器收到数据包时,根据ip地址和子网掩码算出网络地址
根据网络地址查找ip路由表,找到就转发给下一条路由器
如果没有找到就查看有没有默认路由,有就转发。
如果没有默认路由是直通路由的话就按照二层mac地址转发到目标站点
如果也不是直通路由的话就给源地址发送icmp出错报文。
防火墙
防火墙常布置在网络边界
一般而言用于保护内部网络,防止外部网络的攻击,防止数据的泄露,还可以对流量进行监控。
为实现CIA:机密性,完整性和可用性。
主要工作于传输层
默认禁止所有的流量通过,需要配置策略(策略五元组:目的端口,目的地址,源端口,源地址,协议)配置比较复杂,
划分区域:
防火墙根据形态可分为:
硬件防火墙:通常保护企业内网
软件防火墙:通常保护主机
防火墙根据访问控制可分为:
包过滤防火墙(网络层上的每个数据包都进行匹配,不会考虑数据包之间的关联性,通常不会检测应用层数据)
代理防火墙(作用于应用层,是处理速度慢)
状态检测防火墙(是包过滤技术的扩展,考虑数据包之间的关联性,可以检查应用层数据,处理后续包快,安全性好)
有三种模式:
透明模式:类似二层交换机
路由模式:类似路由器
混合模式:类似三层交换机
局限性:
防外不防内
平衡检测功能和·转发性能
端对端加密隧道,不可处理
自身瓶颈
不能完全防范全部威胁