A. 用于局域网的基本网络连接设备是
网络适配器(网卡)。在局域网中,计算机需要进行数据搭衫搜通信,知历网塌茄卡是连接计算机与网络的关键设备,所以被称为基本网络连接设备。
B. 请问,路由器包括哪些种类呢哪种路由器最好呢谢谢各位。
常见的分类有以下几类:
1、按性能档次分为高、中、低档路由器。 通常将路由器吞吐量大于40Gbps的路由器称为高档路由器,背吞吐量在25Gbps——40Gbps之间的路由器称为中档路由器,而将低于25Gbps的看作低档路由器。
当然这只是一种宏观上的划分标准,各厂家划分并不完全一致,实际上路由器档次的划分不仅是以吞吐量为依据的,是有一个综合指标的。
以市巧激场占有率最大的Cisco公司为例,12000系列为高端路由器,7500以下系列路由器为中低端路由器。
2、从结构上分为“模块化路由器”和“非模块化路由器”。
模块化结构可以灵活地配置路由器,以适应企业不断增加的业务需求,非模块化的就只能提供固定的端口。通常中高端路由器为模块化结构,低端路由器为非模块化结构。
3、从功能上划分,可将路由器分为“骨干级路由器”,“企业级路由器”和“接入级路由器”。
a、骨干级路由器是实现企业级网络互连的关键设备,它数据吞吐量较大,非常重要。对骨干级路由器的基本性能要求是高速度和高可靠性。
为了获得高可靠性,网络系统普遍采用诸如热备份、双电源、双数据通路等传统冗余技术,从而使得骨干路由器的可靠性一般不成问题。
b、企业级路由器连接许多终端系统,连接对象较多,但系统相对简单,且数据流量较小,对这类路由器的要求是以尽量便宜的方法实现尽可能多的端点互连,同时还要求能够支持不同的服务质量。 c、接入级路由器主要应用于连接家庭或ISP内的小型企业客户群体。
4、按所处网络位置划分通常把路由器划分为“边界路由器”和“中间节点路由器”。 很明显"边界路由器"是处于网络边缘,用于不同网络路由器的连接;而"中间节点路由器"则处于网络的中间,通常用于连接不同网络,起到一个数据转发的桥梁作用。
由于各自所处的网络位置有所不同,其主要性能也就有相应的侧重,如中间节点路由器因为要面对各种各样的网络。如何识别这些网络中的各节点呢?靠的就是这些中间节点路由器的MAC地址记忆功能。
基于上述原因,选择中间节点路由器时就需要在MAC地址记忆功能更加注重,也就是要求选择缓存更大,MAC地址记忆能力较强的路由器。
但是边界路由器由于它可能要耐宽租同时接受来自许多不同网络路由器发来的数据,所以这就要求这种边界路由器的背板带宽要足够宽,当然这也要与边界路由器所处的网络环境而定。
什么样的路由器好用
现在路由器品牌阵容基本成型,TP-LINK、D-LINK、腾达、迅捷、华为、小昌兆米、360、磊科等基本就是这几种,目前最多人用的就是TP-LINK和D-LINK,当然小米、360等互联网品牌也是很多人的选择,毕竟性价比很高。总之,路由器选择有名的总是不会错的,至少质量上有保证。
C. 网卡、交换机、路由器各自的特点及作用
换机
交换机也叫交换式集线器,它通过对信息进行重新生成,并经过内部处理后转发至指定端口,具备自动寻址能力和交换作用,由于交换机根据所传递信息包的目的地址,将每一信息包独立地从源端口送至目的端口,避免了和其他端口发生碰撞。广义的交换机哪历就是一种在通信系统中完成信息交换功能的设备。
在计算机网络系统中,交换机是针对共享工作模式的弱点而推出的。集线器是采用共享工作模式的代表,如果把集线器比作一个邮递员,那么这个邮递员是个不认识字的“傻瓜”——要他去送信,他不知道直接根据信件上的地址将信件送给收信人,只会拿着信分发给所有的人,然后让接收的人根据地址信息来判断是不是自己的!而交换机则是一个“聪明”的邮递员——交换机拥有一条高带宽的背部总线和内部交换矩阵。交换机的所有的端口都挂接在这条背部总线上,当控制电路收到数据包以后,处理端口会查找内存中的地址对照表以确定目的MAC(网卡的硬件地址)的NIC(网卡)挂接在哪个端口上,通过内部交换矩阵迅速将数据包传送到目的端口。目的MAC若不存在,交换机才广播到所有的端口,接收端口回应后交换机会“学习”新的地址,并把它添加入内部地址表中。
可见,交换机在收到某个网卡发过来的“信件”时,会根据上面的地址信息,以及自己掌握的“常住居民户口簿”快速将信件送到收信人的手中。万一收信人的地址不在“户口簿”上,交换机才会像集线器一样将信分发给所有的人,然后从中找到收信人。而找到收信人之后,交换机会立刻将这个人的信息登记到“户口簿”上,这样以后再为该客户服务时,就可以迅速将信件送达了。
路由器
路由器是网络中进行网间连接的关键设备。作为不同网络之间互相连接的枢纽,路由器系统构成了基于 TCP/IP 的国际互连网络Internet 的主体脉络。
路由器之所以在互连网络中处于关键地位,是因为它处于网络层,一方面能够跨越不同的物理网络类型(DDN、FDDI、以太网等等),另一方面在逻辑上将整个互连网络分割成逻辑上独立的网络单位,使网络具有一定的逻辑结构。路由器的主要工作就是为经过路由器的每个数据帧寻找一条最佳传输路径,并将该数据有效地传送到目的站点。
路由器的基本功能是,把数据(IP 报文)传送到正确的网络,细分则包括:1、IP 数据报的转发,包括数据报的寻径和传送;2、子网隔离,抑制广播风暴;3、维护路由表,并与其它路由器交换路铅慧由信息,这是 IP 报文转发的基础;4、IP 数据报的差错处理及简单的拥塞控制;5、实现对 IP 数据报的过滤和记帐。
路由器构成了 Internet 的骨架。它的处理速度是网络通信的主要瓶颈之一,它的可靠性则直接影响着网络互连的质量。因此Internet 研究领域中,路由器技术始终处于核心地位。
总的来说,路由器与交换机的主要区别体现在以下几个方面:
(1)工作层次不同
最初的的交换机是工作在OSI/RM开放体系结构的数据链路层,也就是第二层,而路由器一开始就设计工作在OSI模型的网络层。由于交换机工作在OSI的第二层(数据链路层),所以它的工作原理比较简单,而路由器工作在OSI的第三层(网络层),可以得到更多的协议信息,路由器可以做出更加智能的转发决策。
(2)数据转发所依据的对象不同
交换机是利用物理地址或者说MAC地址来确定转发数据的目的地址。而路由器则是利用不同网络的ID号(即IP地址)来确定数据转发的地址。IP地址是在软件中实现的,描述的是设备所在的网络,有时这些第三层的地址也称为协议地址或者网络地址。MAC地址通常是硬件自带的,由网卡生产商来分配的,而且已经固化到了网卡中去,一般来说是不可更改的。而IP地址则通常由网络管理员或系统自动分配。
(3)传统的交换机只能分割冲突域,不能分割广播域;而路由器可以分割广播域
由交换机连接的网段仍属于同一个广播李激搜域,广播数据包会在交换机连接的所有网段上传播,在某些情况下会导致通信拥挤和安全漏洞。连接到路由器上的网段会被分配成不同的广播域,广播数据不会穿过路由器。虽然第三层以上交换机具有VLAN功能,也可以分割广播域,但是各子广播域之间是不能通信交流的,它们之间的交流仍然需要路由器。
(4)路由器提供了防火墙的服务
路由器仅仅转发特定地址的数据包,不传送不支持路由协议的数据包传送和未知目标网络数据包的传送,从而可以防止广播风暴。
交换机一般用于LAN-WAN的连接,交换机归于网桥,是数据链路层的设备,有些交换机也可实现第三层的交换。 路由器用于WAN-WAN之间的连接,可以解决异性网络之间转发分组,作用于网络层。他们只是从一条线路上接受输入分组,然后向另一条线路转发。这两条线路可能分属于不同的网络,并采用不同协议。相比较而言,路由器的功能较交换机要强大,但速度相对也慢,价格昂贵,第三层交换机既有交换机线速转发报文能力,又有路由器良好的控制功能,因此得以广泛应用。
路由器是,解析作用,交换机是转发作用,简单的说都不可以提高网速的,谢谢。都只是个连接的介质。网卡是工作在数据链路层的网路组件,是局域网中连接计算机和传输介质的接口,不仅能实现与局域网传输介质之间的物理连接和电信号匹配,还涉及帧的发送与接收、帧的封装与拆封、介质访问控制、数据的编码与解码以及数据缓存的功能等。无线网卡是终端无线网络的设备,是无线局域网的无线覆盖下通过无线连接网络进行上网使用的无线终端设备。具体来说无线网卡就是使你的电脑可以利用无线来上网的一个装置,但是有了无线网卡也还需要一个可以连接的无线网络,如果你在家里或者所在地有无线路由器或者无线AP(AccessPoint无线接入点)的覆盖,就可以通过无线网卡以无线的方式连接无线网络可上网。
D. 网络安全的关键技术有哪些
一.虚拟网技术
虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。
由以上运行机制带来的网络安全的好处是显而易见的:信息态咐尘只到达应该到达的地点。因此、防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。但是,虚拟网技术也带来了新的安全问题:
执行虚拟网交换的设备越来越复杂,从而成为被攻击的对象。
基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。
基于MAC的VLAN不能防止MAC欺骗攻击。
以太网从本质上基于广播机制,但应用了交换器和VLAN技术后,实际上转变为点到点通讯,除非设置了监听口,信息交换也不会存在监听和插入(改变)问题。
但是,采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此,VLAN的划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。
网络层通讯可以跨越路由器,因此攻击可以从远方发起。IP协议族各厂家实现的不完善,因此,在网络层发现的安全漏洞相对更多,如IP sweep, teardrop, sync-flood, IP spoofing攻击等。
二.防火墙枝术
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络帆禅进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态.
防火墙产品主要有堡垒主机,包过滤路由器,应用层网关(代理服务器)以及电路层网关,屏蔽主机防火墙,双宿主机等类型.
虽然防火墙是保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击.
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展.国内外已有数十家公司推出了功能各不相同的防火墙产品系列.
防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴.在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统如果答案是"是",则说明企业内部网还没有在网络层采取相应的防范措施.
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一.虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务.另外还有多种防火墙产品正朝着数据安全与用户认证,防止病毒与黑客简歼侵入等方向发展.
1、使用Firewall的益处
保护脆弱的服务
通过过滤不安全的服务,Firewall可以极大地提高网络安全和减少子网中主机的风险。
例如,Firewall可以禁止NIS、NFS服务通过,Firewall同时可以拒绝源路由和ICMP重定向封包。
控制对系统的访问
Firewall可以提供对系统的访问控制。如允许从外部访问某些主机,同时禁止访问另外的主机。例如,Firewall允许外部访问特定的Mail Server和Web Server。
集中的安全管理
Firewall对企业内部网实现集中的安全管理,在Firewall定义的安全规则可以运用于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。如在Firewall可以定义不同的认证方法,而不需在每台机器上分别安装特定的认证软件。外部用户也只需要经过—次认证即可访问内部网。
增强的保密性
使用Firewall可以阻止攻击者获取攻击网络系统的有用信息,如Finger和DNS。
记录和统计网络利用数据以及非法使用数据
Firewall可以记录和统计通过Firewall的网络通讯,提供关于网络使用的统计数据,并且,Firewall可以提供统计数据,来判断可能的攻击和探测。
策略执行
Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时,网络安全取决于每台主机的用户。
2、 设置Firewall的要素
网络策略
影响Firewall系统设计、安装和使用的网络策略可分为两级,高级的网络策略定义允许和禁止的服务以及如何使用服务,低级的网络策略描述Firewall如何限制和过滤在高级策略中定义的服务。
服务访问策略
服务访问策略集中在Internet访问服务以及外部网络访问(如拨入策略、SLIP/PPP连接等)。
服务访问策略必须是可行的和合理的。可行的策略必须在阻止己知的网络风险和提供用户服务之间获得平衡。典型的服务访问策略是:允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务;允许内部用户访问指定的Internet主机和服务。
Firewall设计策略
Firewall设计策略基于特定的firewall,定义完成服务访问策略的规则。通常有两种基本的设计策略:
允许任何服务除非被明确禁止;
禁止任何服务除非被明确允许。
通常采用第二种类型的设计策略。
3、 Firewall的基本分类
包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术.网络上的数据都是以"包"为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址,目标地址,TCP/UDP源端口和目标端口等.防火墙通过读取数据包中的地址信息来判断这些"包"是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外.系统管理员也可以根据实际情况灵活制订判断规则.
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全.
但包过滤技术的缺陷也是明显的.包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源,目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒.有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙.
网络地址转换(NAT)
是一种用于把IP地址转换成临时的,外部的,注册的IP地址标准.它允许具有私有IP地址的内部网络访问因特网.它还意味着用户不许要为其网络中每一台机器取得注册的IP地址.
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录.系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址.在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问.OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全.当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中.当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求.网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可.
代理型
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展.代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流.从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机.当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机.由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统.
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效.其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
监测型监测型
防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义.监测型防火墙能够对各层的数据进行主动的,实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入.同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用.据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部.因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品
虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙.基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术.这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本.
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势.由于这种产品是基于应用的,应用网关能提供对协议的过滤.例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄.正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
4、 建设Firewall的原则
分析安全和服务需求
以下问题有助于分析安全和服务需求:
√ 计划使用哪些Internet服务(如http,ftp,gopher),从何处使用Internet服务(本地网,拨号,远程办公室)。
√ 增加的需要,如加密或拔号接入支持。
√ 提供以上服务和访问的风险。
√ 提供网络安全控制的同时,对系统应用服务牺牲的代价。
策略的灵活性
Internet相关的网络安全策略总的来说,应该保持一定的灵活性,主要有以下原因:
√ Internet自身发展非常快,机构可能需要不断使用Internet提供的新服务开展业务。新的协议和服务大量涌现带来新的安全问题,安全策略必须能反应和处理这些问题。
√ 机构面临的风险并非是静态的,机构职能转变、网络设置改变都有可能改变风险。
远程用户认证策略
√ 远程用户不能通过放置于Firewall后的未经认证的Modem访问系统。
√ PPP/SLIP连接必须通过Firewall认证。
√ 对远程用户进行认证方法培训。
拨入/拨出策略
√ 拨入/拨出能力必须在设计Firewall时进行考虑和集成。
√ 外部拨入用户必须通过Firewall的认证。
Information Server策略
√ 公共信息服务器的安全必须集成到Firewall中。
√ 必须对公共信息服务器进行严格的安全控制,否则将成为系统安全的缺口。
√ 为Information server定义折中的安全策略允许提供公共服务。
√ 对公共信息服务和商业信息(如email)讲行安全策略区分。
Firewall系统的基本特征
√ Firewall必须支持.“禁止任何服务除非被明确允许”的设计策略。
√ Firewall必须支持实际的安全政策,而非改变安全策略适应Firewall。
√ Firewall必须是灵活的,以适应新的服务和机构智能改变带来的安全策略的改变。
√ Firewall必须支持增强的认证机制。
√ Firewall应该使用过滤技术以允许或拒绝对特定主机的访问。
√ IP过滤描述语言应该灵活,界面友好,并支持源IP和目的IP,协议类型,源和目的TCP/UDP口,以及到达和离开界面。
√ Firewall应该为FTP、TELNET提供代理服务,以提供增强和集中的认证管理机制。如果提供其它的服务(如NNTP,http等)也必须通过代理服务器。
√ Firewall应该支持集中的SMTP处理,减少内部网和远程系统的直接连接。
√ Firewall应该支持对公共Information server的访问,支持对公共Information server的保护,并且将Information server同内部网隔离。
√ Firewall可支持对拨号接入的集中管理和过滤。
√ Firewall应支持对交通、可疑活动的日志记录。
√ 如果Firewall需要通用的操作系统,必须保证使用的操作系统安装了所有己知的安全漏洞Patch。
√ Firewall的设计应该是可理解和管理的。
√ Firewall依赖的操作系统应及时地升级以弥补安全漏洞。
5、选择防火墙的要点
(1) 安全性:即是否通过了严格的入侵测试。
(2) 抗攻击能力:对典型攻击的防御能力
(3) 性能:是否能够提供足够的网络吞吐能力
(4) 自我完备能力:自身的安全性,Fail-close
(5) 可管理能力:是否支持SNMP网管
(6) VPN支持
(7) 认证和加密特性
(8) 服务的类型和原理
(9)网络地址转换能力
三.病毒防护技术
病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联,病毒的传播途径和速度大大加快。
我们将病毒的途径分为:
(1 ) 通过FTP,电子邮件传播。
(2) 通过软盘、光盘、磁带传播。
(3) 通过Web游览传播,主要是恶意的Java控件网站。
(4) 通过群件系统传播。
病毒防护的主要技术如下:
(1) 阻止病毒的传播。
在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。
(2) 检查和清除病毒。
使用防病毒软件检查和清除病毒。
(3) 病毒数据库的升级。
病毒数据库应不断更新,并下发到桌面系统。
(4) 在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件,禁止未经许可的控件下载和安装。
四.入侵检测技术
利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。但是,仅仅使用防火墙、网络安全还远远不够:
(1) 入侵者可寻找防火墙背后可能敞开的后门。
(2) 入侵者可能就在防火墙内。
(3) 由于性能的限制,防火焰通常不能提供实时的入侵检测能力。
入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。
实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击,其次它能够缩短hacker入侵的时间。
入侵检测系统可分为两类:
√ 基于主机
√ 基于网络
基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查,非法访问的闯入等,并且提供对典型应用的监视如Web服务器应用。
基于网络的入侵检测系统用于实时监控网络关键路径的信息,其基本模型如右图示:
上述模型由四个部分组成:
(1) Passive protocol Analyzer网络数据包的协议分析器、将结果送给模式匹配部分并根据需要保存。
(2) Pattern-Matching Signature Analysis根据协议分析器的结果匹配入侵特征,结果传送给Countermeasure部分。
(3) countermeasure执行规定的动作。
(4) Storage保存分析结果及相关数据。
基于主机的安全监控系统具备如下特点:
(1) 精确,可以精确地判断入侵事件。
(2) 高级,可以判断应用层的入侵事件。
(3) 对入侵时间立即进行反应。
(4) 针对不同操作系统特点。
(5) 占用主机宝贵资源。
基于网络的安全监控系统具备如下特点:
(1) 能够监视经过本网段的任何活动。
(2) 实时网络监视。
(3) 监视粒度更细致。
(4) 精确度较差。
(5) 防入侵欺骗的能力较差。
(6) 交换网络环境难于配置。
基于主机及网络的入侵监控系统通常均可配置为分布式模式:
(1) 在需要监视的服务器上安装监视模块(agent),分别向管理服务器报告及上传证据,提供跨平台的入侵监视解决方案。
(2) 在需要监视的网络路径上,放置监视模块(sensor),分别向管理服务器报告及上传证据,提供跨网络的入侵监视解决方案。
选择入侵监视系统的要点是:
(1) 协议分析及检测能力。
(2) 解码效率(速度)。
(3) 自身安全的完备性。
(4) 精确度及完整度,防欺骗能力。
(5) 模式更新速度。
五.安全扫描技术
网络安全技术中,另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。
安全扫描工具源于Hacker在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。
安全扫描工具通常也分为基于服务器和基于网络的扫描器。
基于服务器的扫描器主要扫描服务器相关的安全漏洞,如password文件,目录和文件权限,共享文件系统,敏感服务,软件,系统漏洞等,并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。
基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞,并可设定模拟攻击,以测试系统的防御能力。通常该类扫描器限制使用范围(IP地址或路由器跳数)。网络安全扫描的主要性能应该考虑以下方面:
(1) 速度。在网络内进行安全扫描非常耗时。
(2) 网络拓扑。通过GUI的图形界面,可迭择一步或某些区域的设备。
(3) 能够发现的漏洞数量。
(4) 是否支持可定制的攻击方法。通常提供强大的工具构造特定的攻击方法。因为网络内服务器及其它设备对相同协议的实现存在差别,所以预制的扫描方法肯定不能满足客户的需求。
(5) 报告,扫描器应该能够给出清楚的安全漏洞报告。
(6) 更新周期。提供该项产品的厂商应尽快给出新发现的安生漏洞扫描特性升级,并给出相应的改进建议。
安全扫描器不能实时监视网络上的入侵,但是能够测试和评价系统的安全性,并及时发现安全漏洞。
六. 认证和数宇签名技术
认证技术主要解决网络通讯过程中通讯双方的身份认可,数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。
认证技术将应用到企业网络中的以下方面:
(1) 路由器认证,路由器和交换机之间的认证。
(2) 操作系统认证。操作系统对用户的认证。
(3) 网管系统对网管设备之间的认证。
(4) VPN网关设备之间的认证。
(5) 拨号访问服务器与客户间的认证。
(6) 应用服务器(如Web Server)与客户的认证。
(7) 电子邮件通讯双方的认证。
数字签名技术主要用于:
(1) 基于PKI认证体系的认证过程。
(2) 基于PKI的电子邮件及交易(通过Web进行的交易)的不可抵赖记录。
认证过程通常涉及到加密和密钥交换。通常,加密可使用对称加密、不对称加密及两种加密方法的混合。
UserName/Password认证
该种认证方式是最常用的一种认证方式,用于操作系统登录、telnet、rlogin等,但由于此种认证方式过程不加密,即password容易被监听和解密。
使用摘要算法的认证
Radius(拨号认证协议)、路由协议(OSPF)、SNMP Security Protocol等均使用共享的Security Key,加上摘要算法(MD5)进行认证,由于摘要算法是一个不可逆的过程,因此,在认证过程中,由摘要信息不能计算出共享的security key,敏感信息不在网络上传输。市场上主要采用的摘要算法有MD5和SHA-1。
基于PKI的认证
使用公开密钥体系进行认证和加密。该种方法安全程度较高,综合采用了摘要算法、不对称加密、对称加密、数字签名等技术,很好地将安全性和高效率结合起来。后面描述了基于PKI认证的基本原理。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙验证等领域。
该种认证方法安全程度很高,但是涉及到比较繁重的证书管理任务。
E. 路由器的分类有哪些
常见分类有下几类:
1、按性能档次分高、、低档路由器
通常路由器吞吐量大于40Gbps路由器称高档路由器背吞吐量25Gbps~40Gbps之间路由器称档路由器而低于25Gbps看作低档路由器当只种宏观上划分标准各厂家划分并完全致实际上路由器档次划分仅吞吐量依据稿前哪有综合指标市场占有率大Cisco公司例12000系列高端路由器7500下系列路由器低端路由器
2、从结构上分模块化路由器和非模块化路由器
模块化结构灵活地配置路由器适应企业断增加业务需求非模块化只能提供固定端口通常高端路由器模块化结构低端路由器非模块化结构
3、从功能上划分路由器分骨干级路由器企业级路由器和接入级路由器
a、骨干级路由器实现企业级网络互连关键设备数据吞吐量较大非常重要对骨干级路由器基本性能要求高速度和高靠性了获得高靠性网络系统普遍采用诸热备份、双电源、双数据通路等传统冗余技术从而使得骨干路由器靠性般成问题
b、企业级路由器连接许多终端系统连接对象较多系统相对简单且数据流量较小对类路由器要求尽量便宜方法实现尽能多端点互连同时还要求能够支持同服务质量
c、接入级路由器主要应用于连接家庭或ISP内小型企业客户群体
4、按所处网络位置划分通常把路由器划分边界路由器和间节点路由器
明显"边界路由器"处于网络边缘用于同网络路由器连接;而"间节点路由器"则处于网络间通常用于连接同网络起数据转发桥梁作用由于各自所处网络位置有所同其主要性能也有相应侧重间节点路由器因要面对各种各样网络何识别些网络各节点呢靠些间节悔卜点路由器MAC地址记忆功能基于上述原因选择间节点路由器时需要MAC地址记忆功能更加注重也要求选择缓存更大MAC地址记忆能力较强路由器边界路由器由于能要同时接受来自许多同网络路由器发来数据所要键码求种边界路由器背板带宽要足够宽当也要与边界路由器所处网络环境而定
5、从性能上分线速路由器及非线速路由器
所谓"线速路由器"完全按传输介质带宽进行通畅传输基本上没有间断和延时通常线速路由器高端路由器具有非常高端口带宽和数据转发能力能媒体速率转发数据包;低端路由器非线速路由器些新宽带接入路由器也有线速转发能力
F. 什么是网络硬件
你想知道什么是网络硬件吗?下面将由我带大家来解答这个疑问吧,希望对大家有所收获!
网络硬件的概述
1、服务器和工作站
大多数时候服务器是网络的核心(当然对等网也可以没有服务器)。作为普通的办公、教学等应用服务器可以采用一般配置较高的普通电脑,注意内存和硬盘的容量应适当大一点,主板、机箱等配件也应选购名牌的产品,保证质量稳定可靠,而在显卡、 显示器 、多媒体等方面则不必过多花费。如果资金不存在问题,或应用要求高(如证券交易),则最好采用专用的服务器。
专用网络服务器与普通电脑的主要区别在于:专用服务器具有更好的安全性和可靠性、更加注重系统的I/O吞吐能力,一般采用了双电源、热拔插、SCSI RAID硬盘等技术。当然专用网络服务器的价格也不菲。
工作站实际上就是普通的电脑,386以上档次的电脑都可作为组网的工作站。一般根据资金、应用等具体情况使用当时流行配置的电脑作为工作站。网络工作站可以不配置软驱和光驱,而且硬盘可以选择容量较小的塌枯前,这样不仅可以充分利用服务器的资源,节省资金,还可防止病毒感染,保证网络安全。
2、网络适配器(网卡)
网卡的主要作用是将计算机数据转换为能够通过介质传输的信号。当网络适配器传输数据时,它首先接收来自计算机的数据。为数据附加自己的包含校验及网卡地址报头,然后将数据转换为可通过传输介质发送的信号。
ISA接口的网卡,左边那块EPROM用于无盘站启动
笔记本 网卡和接细缆的BNC接口
从总线结构看,ISA接口的网卡现在已基本被淘汰,普遍采用了PCI接口,另外还有PCMIA接口的笔记本电脑专用网卡。网卡的端口方面,以前BNC头(T形连接器,用于连接同轴电缆)和AVI(粗缆连接器)曾被广泛使用,目前已基本被淘汰。现在网卡主要采用RJ-45连接器,类似普通的电话电缆连接器(RJ-11),但要大一些,它使用具有四对导线的双绞线电缆。从数据传输方式看,现在网卡都支持全双工模式,所谓“全双工”,简单说就是指当A传送数据给B时,B同时也可以传送数据给A。而网卡与主机之间的数据传输方式,采用了BusMaster方式;可以不占用CPU资源,因此速度很快。
网卡上的RJ45接口和指示灯
3、传输介质(网线)
常见的网线分细同轴线缆、粗同轴线缆和双绞线、光缆等。以前同轴线缆采用较多,主要是因为同轴电缆组成的总线形结构网络成本较低,但单条电缆的损坏可能导致整个网络瘫痪,维护也难,这已经是一种将近淘汰败衡的网络形式。
以下重点介绍双绞线。根据最大传输速度的不同,双绞线分为不同的类别: 3类、5类及超5类。3类双绞线的速率为10Mb/S, 5类双绞线的速率可达100Mb/S,超5类更可达155Mb/s以上,可以适合未来多媒体数据传输的需求。双绞线还分为屏蔽双绞线(STP)和非屏蔽双绞线(UTP),STP双绞线内部包了一层皱纹状的屏蔽金属物质,并且多了一条接地用的金属铜丝线,因此它的抗干扰性比UTP双绞线强,但价格也要贵很多。对于UTP双绞线,阻抗值在1MHZ时通常为100欧姆,中心芯线24AMG(直径为0.5mm), 每条双绞线最大传输距离为100米。 由于网线布线大多涉及到建筑结构与内部装修,因此在布线完成后,如果想重新布线是非常困难的, 所以即使网卡等设备还是10Base-T的,但是在规划网络时,应该考虑到未来的需求,所以应采用5类甚至超5类的双绞线。
双绞线
和双绞线配套使用的还有RJ45水晶头,用于制作双绞线与网卡RJ45接口间的接头,其质量好坏直接关系整个网络的稳定性,不可忽视。
水晶头
光纤是新一代的传输介质,与铜质介质相比,光纤具有一些明显的优势。因为光纤不会向外界辐射电子信号,所以使用光纤介质的网络无论是在安全性,可靠性还是网络性能方面都有了很大的提高。光纤传输的带宽大大超出铜质线缆,而且光纤支持的最大连接距离达两公里以上,是组建较大规模团清网络的必然选择。现在有两种不同类型的光纤,分别是单模光纤和多模光纤。(所谓“模”就是指以一定的角度进入光纤的一束光线)。多模光纤使用发光二极管(LED)作为发光设备,而单模光纤使用的则是激光二极管(LD)。 多模光纤允许多束光线穿过光纤。因为不同光线进入光纤的角度不同,所以到达光纤末端的时间也不同。这就是我们通常所说的模色散。色散从一定程度上限制了多模光纤所能实现的带宽和传输距离。正是基于这种原因,多模光纤一般被用于同一办公楼或距离相对较近的区域内的网络连接。单模光纤只允许一束光线穿过光纤。因为只有一种模态,所以不会发生色散。使用单模光纤传递数据的质量更高,传输距离更长。单模光纤通常被用来连接办公楼之间或地理分散更广的网络。
如果使用光纤作为传输介质,还需增加光端收发器等设备。价格比较昂贵,在一般的应用中并不采用。
光纤和光端设备
4、中继器和桥接器
大家知道无论采用何种传输介质其传输距离都是有限的。(粗同轴电缆每一网段的最大距离为500米,细同轴电缆为180米,双绞线为100米),超过这些距离,就需要利用中继器来扩展距离,中继器的功能就是将经过衰减而变得不完整的信号,经过整理后,重新产生出完整的信号再继续传送,虽然中继器可以延长传输距离,但传输带宽不会变化。
至于桥接器:传统的桥接器只有两个端口,用于连接不同的网段。(网段可以由中继器分离,可以由桥接器分离也可以由路由器分离),桥接器具有信号过滤的功能,此外,桥接器上的每一个端口是专用带宽,而传统的共享式集线器的带宽是由该集线器上的所有端口平均分配的。
5、交换机、集线器
集线器可以看成是一种多端口的中继器,是共享带宽式的,其带宽由它的端口平均分配,如总带宽为10Mb/s的集线器,连接4台工作站同时上网时,每台工作站平均带宽仅为10/4=2.5Mb/s。交换机又叫交换式集线器:可以想象成一台多端口的桥接器,每一端口都有其专用的带宽,如10Mb/s的交换式集线器,每个端口都有10Mb/s的带宽。交换机和集线器都遵循IEEE802.3或IEEE802.3u,其介质存取方式均为CSMA/CD。它们之间的区别为:
集线器为共享方式,既同一网段的机器共享固有的带宽,传输通过碰撞检测进行,同一网段计算机越多,传输碰撞也越多,传输速率会变慢;交换机每个端口为固定带宽,有独特的传输方式,传输速率不受计算机增加影响,其独特的Nway、全双工功能增加了交换机的使用范围和传输速度。
集线器
现在交换机和集线器普遍采用了自适应(Auto-sense 或 Auto-Negotiation)技术。可以自动适应100M和10M速率。这类交换机和集线器按照以下顺序适应工作速率:100M 全双工,100M半双工,10M全双工10M半双工。Auto-Negotiation在IEEE 802.3u 中已有规定。其好处是在不需用户参与设定的情况下,自动以最高速率连接。
另外集线器上一般都有Collision灯。由于以太网络采用了CSMA/CD协议。在传输过程中可能发生冲突,此时,Collision要闪烁。如果Collision闪烁过分频繁,说明网络负载已经很重了,需要对网络进行调整或者升级。
6、路由器
路由器是网络中进行网间连接的关键设备。作为不同网络之间互相连接的枢纽,路由器系统构成了基于 TCP/IP 的国际互连网络 Internet 的主体脉络,也可以说,路由器构成了 Internet 的骨架。它的处理速度是网络通信的主要瓶颈之一,它的可靠性则直接影响着网络互连的质量。因此,在园区网、地区网、乃至整个 Internet 研究领域中,路由器技术始终处于核心地位 。路由器之所以在互连网络中处于关键地位,是因为它处于网络层,一方面能够跨越不同的物理网络类型(DDN、FDDI、以太网等等),另一方面在逻辑上将整个互连网络分割成逻辑上独立的网络单位,使网络具有一定的逻辑结构。
路由器的基本功能是把数据(IP 包)传送到正确的网络,具体包括:IP 数据包的转发,包括数据包的寻径和传送;子网隔离,抑制广播风暴;维护路由表,并与 其它 路由器交换路由信息,这是 IP 包转发的基础;IP 数据包的差错处理及简单的拥塞控制;实现对 IP 数据包的过滤和记忆等功能。
网络安装设置概述
1、网卡的安装和设置
对ISA接口网卡,首先应在DOS下运行网卡自带的设置程序,把中断号由3改为5或9或11。(避免和主板COM2口冲突),记下修改后的中断号和I/O地址,并修改Win98中的网卡资源,使两处修改结果一致,网卡才能正常工作。然后在Win98的网络设置中添加适配器,安装网卡驱动程序即可。对于即插即用的PCI网卡,在把网卡插入主机上后,一般开机时都会检测到网卡,Windows98会自动分配资源并提示安装好驱动程序。 如果有问题,可以点击“控制面板”的“添加新硬件”来手工安装,还不行的话应调整主板 BIOS 设置及换一个PCI插槽试试。
2 、双绞线的制作
双绞线必须和RJ--45接口配合,才能把各计算机连接起来,为了适应将来的发展,网线必须遵循EIA/TIA 568B标准,只要双绞线的两端,都按照以下排列制作即可。
1脚 2脚 3脚 4脚 5脚 6脚 7脚 8脚 白橙 橙 白绿 蓝 白蓝 绿 白棕 棕
100Base-T或10Base-T网络只要使用RT-45插座的第1、2、3、6共4个引脚即可,网卡引脚功能定义如下:
引脚 功能定义 1发送数据 2发送数据 3接收数据 6接收数据 4,5,7,8 保留
集线器引脚正好相反,即发送数据变成接收数据,反之则反。另外要注意的一点是对于用于连接两台集线器或两台机器互连的双绞线,需要将1、3;2、6交换连接。这根特殊制作的双绞线又被称为“跳线”。
用双绞线作为传输介质,每网段最长不能超过100米。制作双绞线必须用到RJ-45的压线钳,要制作好一条双绞线不是一件容易的事,必须按照一定的标准,具体如下:
除去双绞线的外皮最少2cm。将双绞线电缆中的每条线调整好,就会呈现平行状态,其中绿色需要跨越白蓝色和蓝色线,然后修剪顶端,之后应剩余总长度约为14cm。将调整好的双绞线按规定排列放入RJ-45接头,用压线钳压紧,制作好后的双绞线不应该露出外表皮,而且不易产生松动,制作好后可以试拉一下。为了保证双绞线的导通性,可在制作好后用万用表或专门的测试设备来测试一下。
3、组建局域网
要组建局域网络,使各计算机能相互通信,必须把它们连接起来。现在一般都采用的是星型连接,用一个集线器将各台计算机集中连接起来,这种网络的优点是当网络中的任何一个节点坏时,不会影响到整个网络,总线型网络要比星型网络经济一些。但总线型网络只能实现半双工功能,而且不利于以后的扩展,是一种即将被淘汰的网络构架。
总线结构的网络
星型网络的连接很简单,只要把制作好的双绞线一端插在主机网卡的RJ-45插口,另一端插到集线器上即可。按照此法把其它计算机连上集线器,即一个小型局域网的硬件连接到此完成。如果新增集线器,为了保证新增的集线器与原有的局域网结合,我们必须用“跳线”将两台集线器相连。
10M以太网应遵循5-4-3规则。既在一个10M网络中,一共可以分为5个网段,其中用4个中继器连接,允许其中3个网段有设备,其他2个网段只是传输距离的延长。在10BSE-T网络中,只允许级连4个HUB。可以使用可堆叠的集线器,可堆叠集线器如DE1824,可以堆叠8个,在逻辑上这8个HUB栈可以看作一个HUB。或者可以使用交换机和HUB连接。避免了5-4-3规则的限制,而增加端口数。
要注意集线器堆叠和级联是有区别的,堆叠方式采用厂家的堆叠电缆,堆叠在一起的集线器在逻辑上作为一个集线器,不受5-4-3规则的限制。级联方式采用cross-over电缆(1、2和3、6反接),受5-4-3限制,只能级联4个集线器。
4、网络设置
在硬件形式上形成局域网,并安装好网卡驱动程序后,网络还不能使用,必须进行一系列的设置并添好网络协议。以WIN98中的设置为例:需打开“控制面板”双击“网络”弹出“网络”属性对话框,按“添加”钮,在“已经安装了下列网络组件”栏下,添加如下组件:Microsoft网络用户网卡驱动程序,NetBEUT协议,TCP/IP协议等,具体设置过程很多 文章 都已讲到,这里不再细谈。
下面简单谈谈路由器的设置供大家参考:
配置路由器有两种 方法 ,一是通过路由器的配置端口,利用微机或终端来配置,二是利用网络通过Telnet命令来配置,不过采用第二种方法,要求用户已经正确配置了路由器各接口的IP地址。第一种方法更具有通用性,其配置方法如下:
1. 通过配置口(Console)搭建配置环境
第一步:如下图所示,建立本地配置环境,只需将微机(或终端)的串口通过标准RS232电缆与路由器的配置口连接;如果建立远程配置环境,如图2-2所示,需要在微机串口和路由器配置口上分别挂接Modem。然后通过电话拨号实现连接。
第二步:准备一台安装了Win95/98 操作系统 的个人电脑;
第三步:用随机提供的配置口电缆把PC的串口1和路由器 的Console口相连,然后打开PC和路由器的电源。
第四步:用PC建一个超级终端。开始→程序→附件→通信→超级终端。用鼠标双击Hypertrm.exe文件,然后输入要建的超级终端名称并选择一个图标,选择“直接连接到串口1”选项,设置通信端口(设置终端通信参数:通信速率9600bps、8位数据位、1位停止位,无奇偶校验,无流控,终端类型:VT100,二进制传输协议:Xmodem/CRC.),鼠标点击确定后,PC终端即正确连到了路由器上。然后你就可以使用路由器的配置命令对路由器进行配置了。 《网络硬件搭建与配置实践》以实际的网络工程为案例,全面深入地介绍了网络布线的设计、施工与测试,网络设备的规划、选择与配置, 无线网络 的设计、配置与测试,网络安全的规划、配置与实施,网络设备的监控、维护与故障排除,囊括了最新的 网络技术 和网络设备,是一整套紧贴实际应用的完全硬件解决方案。
G. 集线器交换机路由器的区别
集线器和交换机的工作层次,转发方式,传输模式都不一样。
集线器工作在物理层,属于1层设备,每发送一个数据,所有的端口均可以收到,交换机工作在数据链路层,属于2层设备,每个端口形成一张MAC地址转发表,根据数据包的MAC地址转发数据,而不是广播形式。
集线器的工作原理是广播形式,无论哪个端口收到数据之后,都要广播到所有的端口,当接入设备比较多时,网络性能会受到很大的影响。交换机根据MAC地址转发数据,收到数据包之后,检查报文的目的MAC地址,找到对应的端口进行转发,而不是广播到所有的端口。
集线器内部采用了总线型拓团渗模扑,各个节点共用一条总线进行通信,数据包的发送和接收采用了CSMA/CD协议,在同一时间内必须是单向的,只能维持在半双工模式下。两个端口不能同时收发数据,并且当两个端口通信时,其他端口不同工作。当塌缓交换机上的两个端口通信时,它们之间的通道是相互独立的,可以实现全双工通信。两个端口同喊散时收发数据。
H. 组建一个星型网络的关键设备是
关键设备就是交换机或者HUB.没有交换机或者HUB什么都搞不成,除非你组建无线网络
I. 网络会议设备哪款功能强大
现代的视频会议设备除了用于音视频开会外,它还能实现一些多媒体功能:
(1)资料文档的共享。例如在政府应用中,政府办公、会议、公检法部门在远程办案中,有大量的文件资料需要与会者共同讨论。在传统视频会议中,使用文档投影机将文档通过图像的方式在与会者之间共享
(2)远程培训。企业内部协作需要商讨产品设计、工程方案、统计报表分析等功能,设计图纸、业务报表是会议讨论的重点,数据传输和共享功能的重要性有时甚至超过了视频功能。
(3)远程教学应用中最充分地发挥了多媒体视频通讯的优势。针对远程教育的视频通讯方案支持课件共享、交互式问答、课程存储、点播回放等功能。
(4)远程医疗的应用中,开放平台的多媒体视讯系统能够与医疗设备接口,实现各种医疗数据的共享。
产品形态
一般的视频会议设备包括MCU多点控制器(视频会议服务器)、会议室终端、PC桌面型终端、电话接入网关(PSTNGateway)、Gatekeeper(网闸)等几个部分。各种不同的终端都连入MCU进行集中交换,组成一个视频会议网络。此外,语音会议系统可以让所有桌面用户通过PC参与语音会议,这些是在视频会议基础上的衍生。语音系统也是多功能视频会议的一个参考条件。
随着云计算技术的出现,视频会议领域出现了云计算视频会议模式,云计算视频会议设备支持多服务器动态集群部署,并提供多台高性能服务器,大大提升了会议稳定性、安全性、可用性。近年来,云计算视频会议因能大幅提高沟通效率,持续降低沟通成本,带来内部管理水平升级,而获得众多用户欢迎,已广泛应用在政府、军队、交通、运输、金融、运营商、教育、企业等各个领域。毫无疑问,视频会议运用云计算以后,在方便性、快捷性、易用性上具有更强的吸引力,必将激发视频会议应用新高潮的到来。
云计算视频会议是视频会议与云计算的完美结合,带来了最便捷的远程会议体验。
J. 关于网络硬件
交换器,路由器,集线器,网卡等网络设备的区别和联系
网卡和路由器是两种网络硬件设备。网卡是网络终端与网络的接口设备;而路由器是用来引导网络中的信息传输的。
集线器
集线器实际就是一种多端口的中继器。集线器一般有4、8、16、24、32等数量的RJ45接口,通过这些接口,集线器便能为相应数量的电脑完成“中继”功能(将已经衰减得不完整的信号经过整理,重新产生出完整的信号再继续传送)。由于它在网络中处于一种“中心”位置,因此集线器也叫做“Hub”。
集线器的工作原理很简单,比如有一个具备8个端口的集线器,共连接了8台电脑。集线器处于网络的“中心”,通过集线器对信号进行转发,8台电脑之间可以互连互通。具体通信过程是这样的:假如计算机1要将一条信息发送给计算机8,当计算机1的网卡将信息通过双绞线送到集线器上时,集线器并不会直接将信息送给计算机8,它会将信息进行“广播”——将信息同时发送给8个端口,当8个端口上的计算机接收到这条广播信息时,会对信息进行检查,如果发现该信息是发给自己的,则接收,否则不予理睬。由于该信息是计算机1发给计算机8的,因此最终计算机8会接收该信息,而其它7台电脑看完信息后,会因为信息不是自己的而不接收该信息。
交换机
交换机也叫交换式集线器,它通过对信息进行重新生成,并经过内部处理后转发至指定端口,具备自动寻址能力和交换作用,由于交换机根据所传递信息包的目的地址,将每一信息包独立地从源端口送至目的端口,避免了和其他端口发生碰撞。广义的交换机就是一种在通信系统中完成信息交换功能的设备。
在计算机网络系统中,交换机是针对共享工作模式的弱点而推出的。集线器是采用共享工作模式的代表,如果把集线器比作一个邮递员,那么这个邮递员是个不认识字的“傻瓜”——要他去送信,他不知道直接根据信件上的地址将信件送给收信人,只会拿着信分发给所有的人,然后让接收的人根据地址信息来判断是不是自己的!而交换机则是一个“聪明”的邮递员——交换机拥有一条高带宽的背部总线和内部交换矩阵。交换机的所有的端口都挂接在这条背部总线上,当控制电路收到数据包以后,处理端口会查找内存中的地址对照表以确定目的MAC(网卡的硬件地址)的NIC(网卡)挂接在哪个端口上,通过内部交换矩阵迅速将数据包传送到目的端口。目的MAC若不存在,交换机才广播到所有的端口,接收端口回应后交换机会“学习”新的地址,并把它添加入内部地址表中。
可见,交换机在收到某个网卡发过来的“信件”时,会根据上面的地址信息,以及自己掌握的“常住居民户口簿”快速将信件送到收信人的手中。万一收信人的地址不在“户口簿”上,交换机才会像集线器一样将信分发给所有的人,然后从中找到收信人。而找到收信人之后,交换机会立刻将这个人的信息登记到“户口簿”上,这样以后再为该客户服务时,就可以迅速将信件送达了。
路由器
路由器是网络中进行网间连接的关键设备。作为不同网络之间互相连接的枢纽,路由器系统构成了基于 TCP/IP 的国际互连网络Internet 的主体脉络。
路由器之所以在互连网络中处于关键地位,是因为它处于网络层,一方面能够跨越不同的物理网络类型(DDN、FDDI、以太网等等),另一方面在逻辑上将整个互连网络分割成逻辑上独立的网络单位,使网络具有一定的逻辑结构。路由器的主要工作就是为经过路由器的每个数据帧寻找一条最佳传输路径,并将该数据有效地传送到目的站点。
路由器的基本功能是,把数据(IP 报文)传送到正确的网络,细分则包括:1、IP 数据报的转发,包括数据报的寻径和传送;2、子网隔离,抑制广播风暴;3、维护路由表,并与其它路由器交换路由信息,这是 IP 报文转发的基础;4、IP 数据报的差错处理及简单的拥塞控制;5、实现对 IP 数据报的过滤和记帐。
路由器构成了 Internet 的骨架。它的处理速度是网络通信的主要瓶颈之一,它的可*性则直接影响着网络互连的质量。因此Internet 研究领域中,路由器技术始终处于核心地位。
最近看到很多人在询问交换机、集线器、路由器是什么,功能如何,有何区别,笔者就这些问题简单的做些解答。
首先说HUB,也就是集线器。它的作用可以简单的理解为将一些机器连接起来组成一个局域网。而交换机(又名交换式集线器)作用与集线器大体相同。但是两者在性能上有区别:集线器采用的式共享带宽的工作方式,而交换机是独享带宽。这样在机器很多或数据量很大时,两者将会有比较明显的。而路由器与以上两者有明显区别,它的作用在于连接不同的网段并且找到网络中数据传输最合适的路径 ,可以说一般情况下个人用户需求不大。路由器是产生于交换机之后,就像交换机产生于集线器之后,所以路由器与交换机也有一定联系,并不是完全独立的两种设备。路由器主要克服了交换机不能路由转发数据包的不足。
总的来说,路由器与交换机的主要区别体现在以下几个方面:
(1)工作层次不同
最初的的交换机是工作在OSI/RM开放体系结构的数据链路层,也就是第二层,而路由器一开始就设计工作在OSI模型的网络层。由于交换机工作在OSI的第二层(数据链路层),所以它的工作原理比较简单,而路由器工作在OSI的第三层(网络层),可以得到更多的协议信息,路由器可以做出更加智能的转发决策。
(2)数据转发所依据的对象不同
交换机是利用物理地址或者说MAC地址来确定转发数据的目的地址。而路由器则是利用不同网络的ID号(即IP地址)来确定数据转发的地址。IP地址是在软件中实现的,描述的是设备所在的网络,有时这些第三层的地址也称为协议地址或者网络地址。MAC地址通常是硬件自带的,由网卡生产商来分配的,而且已经固化到了网卡中去,一般来说是不可更改的。而IP地址则通常由网络管理员或系统自动分配。
(3)传统的交换机只能分割冲突域,不能分割广播域;而路由器可以分割广播域
由交换机连接的网段仍属于同一个广播域,广播数据包会在交换机连接的所有网段上传播,在某些情况下会导致通信拥挤和安全漏洞。连接到路由器上的网段会被分配成不同的广播域,广播数据不会穿过路由器。虽然第三层以上交换机具有VLAN功能,也可以分割广播域,但是各子广播域之间是不能通信交流的,它们之间的交流仍然需要路由器。
(4)路由器提供了防火墙的服务
路由器仅仅转发特定地址的数据包,不传送不支持路由协议的数据包传送和未知目标网络数据包的传送,从而可以防止广播风暴。
交换机一般用于LAN-WAN的连接,交换机归于网桥,是数据链路层的设备,有些交换机也可实现第三层的交换。 路由器用于WAN-WAN之间的连接,可以解决异性网络之间转发分组,作用于网络层。他们只是从一条线路上接受输入分组,然后向另一条线路转发。这两条线路可能分属于不同的网络,并采用不同协议。相比较而言,路由器的功能较交换机要强大,但速度相对也慢,价格昂贵,第三层交换机既有交换机线速转发报文能力,又有路由器良好的控制功能,因此得以广泛应用。
目前个人比较多宽带接入方式就是ADSL,因此笔者就ADSL的接入来简单的说明一下。现在购买的ADSL猫大多具有路由功能(很多的时候厂家在出厂时将路由功能屏蔽了,因为电信安装时大多是不启用路由功能的,启用DHCP。打开ADSL的路由功能),如果个人上网或少数几台通过ADSL本身就可以了,如果电脑比较多你只需要再购买一个或多个集线器或者交换机。考虑到如今集线器与交换机的 价格相差十分小,不是特殊的原因,请购买一个交换机。不必去追求高价,因为如今产品同质化十分严重,我最便宜的交换机现在没有任 何问题。给你一个参考报价,建议你购买一个8口的,以满足扩充需求,一般的价格100元左右。接上交换机,所有电脑再接到交换机上就行了。余下所要做的事情就只有把各个机器的网线插入交换机的接口,将猫的网线插入uplink接口。然后设置路由功能,DHCP等, 就可以共享上网了。