路由器&交换机&防火墙&无线AP基础理论知识总结
Ethernet口不能直接配IP地址,需要划分VLAN不同网段还需要加trunk。
配完命令需要save 保存到内存中,导出保存配置是存在硬盘中。
1.路由器
原理:网关设备,工作在OSI网络层对不同的网络之间的数据包进行存储、分组转发处理,其主要就是在不同的逻辑分开网络。在网络通信中,路由器具有判断网络地址以及选择IP路径的作用,可以在多个网络环境中,构建灵活的链接系统,通过不同的数据分组以及介质访问方式对各个子网进行链接。路由器在操作中仅接受源站或者其他相关路由器传递的信息,是一种基于网络层的互联设备。
传输介质
本地路由器:光纤、同轴电缆、双绞线
远程路由器:电话线要配调制解调器,无线要通过无线接收机、发射机。
启动过程
作为路由器来讲,也有一个类似于我们PC系统中BIOS一样作用的部分,叫做MiniIOS。MiniIOS可以使我们在路由器的FLASH中不存在ISO时,先引导起来,进入恢复模式,来使用TFTP或X-MODEM等方式去给FLASH中导入ISO文件。所以,路由器的启动过程应该是这样的:
路由器在加电后首先会进行POST,Power On Self Test (上电自检,对硬件进行检测的过程)。
POST完成后,首先读取ROM里的BootStrap程序进行初步引导。
初步引导完成后,尝试定位并读取完整的ISO镜像文件。在这里,路由器将会首先在FLASH中查找ISO文件,如果找到了ISO文件的话,那么读取ISO文件,引导路由器。
如果在FLASH中没有找到ISO文件的话,那么路由器将会进入BOOT模式,在BOOT模式下可以使用TFTP上的ISO文件。或者使用TFTP/X-MODEM来给路由器的FLASH中传一个ISO文件(一般我们把这个过程叫做灌ISO)。传输完毕后重新启动路由器,路由器就可以正常启动到CLI模式。
当路由器初始化完成ISO文件后,就会开始在NVRAM中查找STARTUP-CONFIG文件,STARTUP-CONFIG叫做启动配置文件。该文件里保存了我们对路由器所做的所有的配置和修改。当路由器找到了这个文件后,路由器就会加载该文件里的所有配置,并且根据配置来学习、生成、维护路由表,并将所有的配置加载到RAM(路由器的内存)里后,进入用户模式,最终完成启动过程。
如果在NVRAM里没有STARTUP-CONFIG文件,则路由器会进入询问配置模式,也就是俗称的问答配置模式,在该模式下所有关于路由器的配置都可以以问答的形式进行配置。不过一般情况下我们基本上是不用这样的模式的。我们一般都会进入CLI(Comman Line Interface)命令行模式后对路由器进行配置。
作用功能
(1)实现IP、TCP、UDP、ICMP等网络的互连。
(2)对数据进行处理。收发数据包,具有对数据的分组过滤、复用、加密、压缩及防护墙等各项功能。
(3)依据路由表的信息,对数据包下一传输目的地进行选择。
(4) 进行外部网关协议和其他自制域之间拓扑信息的交换。
(5) 实现网络管理和系统支持功能。
分类
(1)功能上可以划分为:骨干级、企业级和接入级路由器。骨干级路由器数据吐量较大且重要,是企业级网络实现互连的关键。骨干级路由器要求性能的高速度及高可靠性。 网络通常采用热备份、双电源和双数据通路等技术来确保其可靠性。企业级路由器连接对象为许多终端系统,简单且数据流量较小。 [5]
(2)结构上可以划分为:模块化和非模块化路由器。 模块化路由器可以实现路由器的灵活配置,适应企业的业务需求;非模块化路由器只能提供固定单一的端口。通常情况下,高端路由器是模块化结构,低端路由器是非模块化结构的。 [5]
(3)按所处网络位置划分为“边界路由器”和“中间节点路由器”。在广域网范围内的路由器按其转发报文的性能可以分为两种类型,即边界路由器和中间节点路由器。
VPN技术
VPN(虚拟专用网)是路由器技术中最重要的一种。VPN 指在建筑在上能够进行自我管理的专用网络。在上,VPN用户可以控制自己与其他使用者之间的联系,可以同时支持拨号的用户使用。成功的VPN具备这些特点:安全保障、服务质量保障、具备可扩充性、灵活性和可管理性。 [5]
路由器的主要技术:背板结构、移动IP技术、IPV6技术、vpn技术、VPRN技术、QoS技术。
安全隐患:无线网络路由隐蔽性不高、存在窃听网络通信问题、拒绝服务攻击。
2.交换机
交换机定义:工作在数据链路层,同个子网网段之间数据的传输。作用:传输信息放大,与路由器是最优路径选择。工作在局域网中。
交换机拥有一条很高带宽的背部总线和内部交换矩阵。交换机的所有的端口都挂接在这条背部总线上,控制电路收到数据包以后,处理端口会查找内存中的地址对照表以确定目的MAC(网卡的硬件地址)的NIC(网卡)挂接在哪个端口上,通过内部交换矩阵迅速将数据包传送到目的端口,目的MAC若不存在,广播到所有的端口,接收端口回应后交换机会“学习”新的MAC地址,并把它添加入内部MAC地址表中。使用交换机也可以把网络“分段”,通过对照IP地址表,交换机只允许必要的网络流量通过交换机。通过交换机的过滤和转发,可以有效的减少冲突域。
交换机工作于OSI参考模型的第二层,即数据链路层。交换机内部的CPU会在每个端口成功连接时,通过将MAC地址和端口对应,形成一张MAC表。在今后的通讯中,发往该MAC地址的数据包将仅送往其对应的端口,而不是所有的端口。因此,交换机可用于划分数据链路层广播,即冲突域;但它不能划分网络层广播,即广播域。
交换机分类:广域网交换机和局域网交换机。广域网交换机主要应用于电信领域,提供通信用的基础平台。而局域网交换机则应用于局域网络,用于连接终端设备,如PC机及网络打印机等。
传输介质和传输速度:以太网交换机、快速以太网交换机、千兆以太网交换机、FDDI交换机、ATM交换机和令牌环交换机等。
规模上:企业级交换机都是机架式,部门级交换机可以是机架式(插槽数较少),也可以是固定配置式,而工作组级交换机为固定配置式(功能较为简单)。另一方面,从应用的规模来看,作为骨干交换机时,支持500个信息点以上大型企业应用的交换机为企业级交换机,支持300个信息点以下中型企业的交换机为部门级交换机,而支持100个信息点以内的交换机为工作组级交换机。
交换机:以太网交换(二层交换机、三层交换机、四层交换机),光交换机
光交换机
光交换是人们正在研制的下一代交换技术。所有的交换技术都是基于电信号的,即使是光纤交换机也是先将光信号转为电信号,经过交换处理后,再转回光信号发到另一根光纤。由于光电转换速率较低,同时电路的处理速度存在物理学上的瓶颈,因此人们希望设计出一种无需经过光电转换的“光交换机”,其内部不是电路而是光路,逻辑原件不是开关电路而是开关光路。这样将大大提高交换机的处理速率。 [3]
远程配置
交换机除了可以通过“Console”端口与计算机直接连接,还可以通过普通端口连接。此时配置交换机就不能用本地配置,而是需要通过Telnet或者Web浏览器的方式实现交换机配置。具体配置方法如下:
1、Telnet
Telnet协议是一种远程访问协议,可以通过它登录到交换机进行配置。
假设交换机IP为:192.168.0.1,通过Telnet进行交换机配置只需两步: [3]
第1步,单击开始,运行,输入“Telnet 192.168.0.1”
第2步,输入好后,单击“确定”按钮,或单击回车键,建立与远程交换机的连接。然后,就可以根据实际需要对该交换机进行相应的配置和管理了。
2、Web
通过Web界面,可以对交换机设置,方法如下:
第1步,运行Web浏览器,在地址栏中输入交换机IP,回车,弹出如下对话框。
第2步,输入正确的用户名和密码。
第3步,连接建立,可进入交换机配置系统。
第4步,根据提示进行交换机设置和参数修改。 [3]
交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。交换机还具备了一些新的功能,如对VLAN(虚拟局域网)的支持、对链路汇聚的支持,甚至有的还具有防火墙的功能。
3.无线局域网AP、AC
无线AP(Access Point):即无线接入点,它用于无线网络的无线交换机,也是无线网络的核心。无线AP是移动计算机用户进入有线网络的接入点,主要用于宽带家庭、大楼内部以及园区内部,可以覆盖几十米至上百米。无线AP(又称会话点或存取桥接器)是一个包含很广的名称,它不仅包含单纯性无线接入点(无线AP),同样也是无线路由器(含无线网关、无线网桥)等类设备的统称。
无线接入点(AP)是无线局域网的一种典型应用。AP是Access Point的简称,就是所谓的“无线访问节点”,无线AP是无线网和有线网之间沟通的桥梁,是组建无线局域网(WLAN)的核心设备。它主要是提供无线工作站和有线局域网之间的互相访问,这样,在AP信号覆盖范围内的无线工作站可以通过它进行相互通信,没有AP基本上就无法组建真正意义上可访问Internet的WLAN。AP在WLAN中就相当于发射基站在移动通信网络中的角色 [2] 。
简介
在无线网络中,AP就相当于有线网络的集线器,它能够把各个无线客户端连接起来,无线客户端所使用的网卡是无线网卡,传输介质是空气(电磁波)。在逻辑上,它是一个无线单元的中心点,该单元内的所有无线信号都要通过它才能进行交换。AP是无线局域网基本模式中必不可少的设备,虽然只使用无线网卡而不使用AP也能组成一个点对点模式的无线局域网,但这样的无线局域网多少有些特殊,它只适用于临时性的无线连接。使用AP后不仅可以得到永久性的无线连接服务,而且能集中管理用户并大大提高无线网的安全性。通俗地讲,无线AP是无线网和有线网之间沟通的桥梁。由于无线AP的覆盖范围是一个向外扩散的圆形区域,因此,应当尽量把无线AP放置在无线网络的中心位置,而且各无线客户端与无线AP的直线距离最好不要超过30m,以避免因通信信号衰减过多而导致通信失败。
无线接入点(AP)设备用作无线基站,主要是用来连接无线网络及有线网络的桥接器。利用这种接入点AP,可整合有线及无线网络 [3] 。产品遵循IEEE802.11及IEEE802.11b,可支持11Mbit/s、5.5Mbit/s、2Mbit/s和1Mbit/s,亦支持漫游功能,同时也支持ESSID及WEP的加密功能,可防止未经授权的不当接人。增强型AP设备还支持同一AP下用户的隔离,而且支持以太网线供电功能。AP主要技术参数如下。
(1)标准:IEEE802.11b(无线局域网)、IEEE802.3(以太网);
(2)频段:2400~2483.5MHz与ISM频段公用;
(3)调制技术:直接序列扩频;
(4)数据速率:1Mbit/s DBPSK,2Mbit/s DPQSK,5.5Mbit/s CCK,11Mbit/s CCK;
(5)子信道数量:13条;
(6)传播范围(11Mbit/s):办公室环境35~100m,开放环境100~300m;
(7)数据安全:64位和128位WEP加密;
(8)接收机灵敏度:
1Mbit/s传输率下接收灵敏度为-92dBm;
2Mbit/s传输率下接收灵敏度为-90dBm;
5.5Mbit/s传输率下接收灵敏度为-87dBm;
11Mbit/s传输率下接收灵敏度为一84dBm;
天线类型:双极化天线(2dB增益)。
功能
无线路由器其实就是无线AP+路由功能,很多的无线路由器都拥有AP功能。如果你家是ADSL或小区宽带,应该选择无线路由而不是无线AP来共享网络,如果你家有路由器了,买个无线AP就行了,对于一般的家庭用户笔者强烈推荐选择无线路由器。
在SOHO办公环境中,一个无线路由就可以满足需求了。通过整合的宽带接入路由器和无线AP功能,它可以轻松实现无线网络的连接。无线路由器一般包括了网络地址转换(NAT)协议,支持网络连接共享,这对于soho办公来说非常有用。
无线路由器有基本的防火墙或者信息包过滤器来防止端口扫描软件和其他针对宽带连接的攻击。另外无线路由器的四个有线端口也很实用,它可以连接几台有线的PC,这对于管理路由器或共享打印机都是非常有用的。
4.防火墙
防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。 [1]
防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
防火墙功能:
(1)网络安全的屏障
(2)强化网络安全策略
(3)监控审计
(4)防止内部信息的外泄
(5)日志记录与事件通知
重要性
1、记录计算机网络之中的数据信息
2、防止工作人员访问存在安全隐患的网站
3、控制不安全服务
意义和特征
(1)数据必经之地
典型的防火墙体系网络结构一端连接企事业单位内部的局域网,而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙,只有符合安全策略的数据流才能通过防火墙。
(2)网络流量的合法性
(3)抗攻击免疫力
主要类型:过滤型防火墙、应用代理类型防火墙、复合型。
关键技术:包过滤技术、加密技术、防病毒技术、代理服务器。
部署方式:桥接式、网关模式、NAT模式、高可靠性设计。
具体应用
1、内网中的防火墙技术
防火墙在内网中的设定位置是比较固定的,一般将其设置在服务器的入口处,通过对外部的访问者进行控制,从而达到保护内部网络的作用,而处于内部网络的用户,可以根据自己的需求明确权限规划,使用户可以访问规划内的路径。总的来说,内网中的防火墙主要起到以下两个作用:一是认证应用,内网中的多项行为具有远程的特点,只有在约束的情况下,通过相关认证才能进行;二是记录访问记录,避免自身的攻击,形成安全策略。 [3]
2、外网中的防火墙技术
应用于外网中的防火墙,主要发挥其防范作用,外网在防火墙授权的情况下,才可以进入内网。针对外网布设防火墙时,必须保障全面性,促使外网的所有网络活动均可在防火墙的监视下,如果外网出现非法入侵,防火墙则可主动拒绝为外网提供服务。基于防火墙的作用下,内网对于外网而言,处于完全封闭的状态,外网无法解析到内网的任何信息。防火墙成为外网进入内网的唯一途径,所以防火墙能够详细记录外网活动,汇总成日志,防火墙通过分析日常日志,判断外网行为是否具有攻击特性。
未来趋势
随着网络技术的不断发展,防火墙相关产品和技术也在不断进步。 [7]
(1)防火墙的产品发展趋势
目前,就防火墙产品而言,新的产品有:智能防火墙、分布式防火墙和网络产品的系统化应用等。 [7]
智能防火墙:在防火墙产品中加入人工智能识别技术,不但提高防火墙的安全防范能力,而且由于防火墙具有自学习功能,可以防范来自网络的最新型攻击。 [7]
分布式防火墙:一种全新的防火墙体系结构。网络防火墙、主机防火墙和管理中心是分布式防火墙的构成组件。传统防火墙实际上是在网络边缘上实现防护的防火墙,而分布式防火墙则在网络内部增加了另外一层安全防护。分布式防火墙的优点有:支持移动计算;支持加密和认证功能,与网络拓扑无关等。 [7]
网络产品的系统化应用:主要是指某些厂商的安全产品直接与防火墙进行融合,打包销售。另外,有些厂商的产品之间虽然各自独立,当各个产品之间可以进行通信。 [7]
(2)防火墙的技术发展趋势
包过滤技术作为防火墙技术中最核心的技术之一,自身具有比较明显的缺点:不具备身份验证机制和用户角色配置功能。因此,一些产品开发商就将AAA认证系统集成到防火墙中,确保防火墙具备支持基于用户角色的安全策略功能。多级过滤技术就是在防火墙中设置多层过滤规则。在网络层,利用分组过滤技术拦截所有假冒的IP源地址和源路由分组;根据过滤规则,传输层拦截所有禁止出/入的协议和数据包;在应用层,利用FTP、SMTP等网关对各种Internet的服务进行监测和控制。 [7]
综合来讲,上述技术都是对已有防火墙技术的有效补充,是提升已有防火墙技术的弥补措施。 [7]
(3)防火墙的体系结构发展趋势
随着软硬件处理能力、网络带宽的不断提升,防火墙的数据处理能力也在得到提升。尤其近几年多媒体流技术(在线视频)的发展,要求防火墙的处理时延必须越来越小。基于以上业务需求,防火墙制造商开发了基于网络处理器和基于ASIC(ApplicationSpecificIntegratedCircuits,专用集成电路)的防火墙产品。基于网络处理器的防火墙本质上还是依赖于软件系统的解决方案,因此软件性能的好坏直接影响防火墙的性能。而基于ASIC的防火墙产品具有定制化、可编程的硬件芯片以及与之相匹配的软件系统,因此性能的优越性不言而喻,可以很好地满足客户对系统灵活性和高性能的要求。 [7]
