数据网络交换机概念和原理
数据网络交换机概念和原理
交换(switching)是按照通信两端传输信息的需要,用人工或设备自动完成的方法,把要传输的信息送到符合要求的相应路由上的技术统称。广义的交换机(switch)就是一种在通信系统中完成信息交换功能的设备。
在计算机网络系统中,交换概念的提出是对于共享工作模式的改进。我们以前介绍过的HUB集线器就是一种共享设备,HUB本身不能识别目的地址,当同一局域网内的A主机给B主机传输数据时,数据包在以HUB为架构的网络上是以广播方式传输的,由每一台终端通过验证数据包头的地址信息来确定是否接收。也就是说,在这种工作方式下,同一时刻网络上只能传输一组数据帧的通讯,如果发生碰撞还得重试。这种方式就是共享网络带宽。
交换机拥有一条很高带宽的背部总线和内部交换矩阵。交换机的所有的端口都挂接在这条背部总线上,控制电路收到数据包以后,处理端口会查找内存中的地址对照表以确定目的MAC(网卡的硬件地址)的NIC(网卡)挂接在哪个端口上,通过内部交换矩阵迅速将数据包传送到目的端口,目的MAC若不存在才广播到所有的端口,接收端口回应后交换机会“学习”新的地址,并把它添加入内部MAC地址表中。
使用交换机也可以把网络“分段”,通过对照MAC地址表,交换机只允许必要的网络流量通过交换机。通过交换机的过滤和转发,可以有效的隔离广播风暴,减少误包和错包的出现,避免共享冲突。
交换机在同一时刻可进行多个端口对之间的数据传输。每一端口都可视为独立的网段,连接在其上的网络设备独自享有全部的带宽,无须同其他设备竞争使用。当节点A向节点D发送数据时,节点B可同时向节点C发送数据,而且这两个传输都享有网络的全部带宽,都有着自己的虚拟连接。假使这里使用的是10Mbps的以太网交换机,那么该交换机这时的总流通量就等于2×10Mbps=20Mbps,而使用10Mbps的共享式HUB时,一个HUB的总流通量也不会超出10Mbps。
总之,交换机是一种基于MAC地址识别,能完成封装转发数据包功能的网络设备。交换机可以“学习”MAC地址,并把其存放在内部地址表中,通过在数据帧的始发者和目标接收者之间建立临时的交换路径,使数据帧直接由源地址到达目的地址。
网络交换机分类
从广义上来看,交换机分为两种:广域网交换机和局域网交换机。广域网交换机主要应用于电信领域,提供通信用的基础平台。而局域网交换机则应用于局域网络,用于连接终端设备,如PC机及网络打印机等。从传输介质和传输速度上可分为以太网交换机、快速以太网交换机、千兆以太网交换机、FDDI交换机、ATM交换机和令牌环交换机等。从规模应用上又可分为企业级交换机、部门级交换机和工作组交换机等。各厂商划分的尺度并不是完全一致的,一般来讲,企业级交换机都是机架式,部门级交换机可以是机架式(插槽数较少),也可以是固定配置式,而工作组级交换机为固定配置式(功能较为简单)。另一方面,从应用的规模来看,作为骨干交换机时,支持500个信息点以上大型企业应用的交换机为企业级交换机,支持300个信息点以下中型企业的交换机为部门级交换机,而支持100个信息点以内的交换机为工作组级交换机。本文所介绍的交换机指的是局域网交换机。
网络交换机功能
交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。目前交换机还具备了一些新的功能,如对VLAN(虚拟局域网)的支持、对链路汇聚的支持,甚至有的还具有防火墙的功能。
学习:以太网交换机了解每一端口相连设备的MAC地址,并将地址同相应的端口映射起来存放在交换机缓存中的MAC地址表中。
转发/过滤:当一个数据帧的目的地址在MAC地址表中有映射时,它被转发到连接目的节点的端口而不是所有端口(如该数据帧为广播/组播帧则转发至所有端口)。
消除回路:当交换机包括一个冗余回路时,以太网交换机通过生成树协议避免回路的产生,同时允许存在后备路径。
交换机除了能够连接同种类型的网络之外,还可以在不同类型的网络(如以太网和快速以太网)之间起到互连作用。如今许多交换机都能够提供支持快速以太网或FDDI等的高速连接端口,用于连接网络中的其它交换机或者为带宽占用量大的关键服务器提供附加带宽。
一般来说,交换机的每个端口都用来连接一个独立的网段,但是有时为了提供更快的接入速度,我们可以把一些重要的网络计算机直接连接到交换机的端口上。这样,网络的关键服务器和重要用户就拥有更快的接入速度,支持更大的信息流量。
网络交换机方式
交换机通过以下三种方式进行交换:
1) 直通式:
直通方式的以太网交换机可以理解为在各端口间是纵横交叉的线路矩阵电话交换机。它在输入端口检测到一个数据包时,检查该包的包头,获取包的目的地址,启动内部的动态查找表转换成相应的输出端口,在输入与输出交叉处接通,把数据包直通到相应的端口,实现交换功能。由于不需要存储,延迟非常小、交换非常快,这是它的优点。它的缺点是,因为数据包内容并没有被以太网交换机保存下来,所以无法检查所传送的数据包是否有误,不能提供错误检测能力。由于没有缓存,不能将具有不同速率的输入/输出端口直接接通,而且容易丢包。
2) 存储转发:
存储转发方式是计算机网络领域应用最为广泛的方式。它把输入端口的数据包先存储起来,然后进行CRC(循环冗余码校验)检查,在对错误包处理后才取出数据包的目的地址,通过查找表转换成输出端口送出包。正因如此,存储转发方式在数据处理时延时大,这是它的不足,但是它可以对进入交换机的数据包进行错误检测,有效地改善网络性能。尤其重要的是它可以支持不同速度的端口间的转换,保持高速端口与低速端口间的协同工作。
3) 碎片隔离:
这是介于前两者之间的一种解决方案。它检查数据包的长度是否够64个字节,如果小于64字节,说明是假包,则丢弃该包;如果大于64字节,则发送该包。这种方式也不提供数据校验。它的数据处理速度比存储转发方式快,但比直通式慢。
简略的概括一下交换机的基本功能:
1. 像集线器一样,交换机提供了大量可供线缆连接的端口,这样可以采用星型拓扑布线。
2. 像中继器、集线器和网桥那样,当它转发帧时,交换机会重新产生一个不失真的方形电信号。
3. 像网桥那样,交换机在每个端口上都时使用的相同转发或过滤逻辑。
4. 像网桥那样,交换机将局域网分为多个冲突域,每个冲突域都是有独立的宽带,因此大大提高了局域网的宽带。
5. 除了具有网桥、集线器和中继器的功能以外,交换机还提供了更先进的功能,如虚拟局域网(VLAN)和更高的性能。
网络交换机应用
作为局域网的主要连接设备,以太网交换机成为应用普及最快的网络设备之一。随着交换技术的不断发展,以太网交换机的价格急剧下降,交换到桌面已是大势所趋。
如果你的以太网络上拥有大量的用户、繁忙的应用程序和各式各样的服务器,而且你还未对网络结构做出任何调整,那么整个网络的性能可能会非常低。解决方法之一是在以太网上添加一个10/100Mbps的交换机,它不仅可以处理10Mbps的常规以太网数据流,而且还可以支持100Mbps的快速以太网连接。
如果网络的利用率超过了40%,并且碰撞率大于10%,交换机可以帮你解决一点问题。带有100Mbps快速以太网和10Mbps以太网端口的交换机可以全双工方式运行,可以建立起专用的20Mbps到200Mbps连接。 不仅不同网络环境下交换机的作用各不相同,在同一网络环境下添加新的交换机和增加现有交换机的交换端口对网络的影响也不尽相同。充分了解和掌握网络的流量模式是能否发挥交换机作用的一个非常重要的因素。因为使用交换机的目的就是尽可能的减少和过滤网络中的数据流量,所以如果网络中的某台交换机由于安装位置设置不当,几乎需要转发接收到的所有数据包的话,交换机就无法发挥其优化网络性能的作用,反而降低了数据的传输速度,增加了网络延迟。
除安装位置之外,如果在那些负载较小,信息量较低的网络中也盲目添加交换机的话,同样也可能起到负面影响。受数据包的处理时间、交换机的缓冲区大小以及需要重新生成新数据包等因素的影响,在这种情况下使用简单的HUB要比交换机更为理想。因此,我们不能一概认为交换机就比HUB有优势,尤其当用户的网络并不拥挤,尚有很大的可利用空间时,使用HUB更能够充分利用网络的现有资源。
网络交换机技术与发展史
概述
1993年,局域网交换设备出现,1994年,国内掀起了交换网络技术的热潮。其实,交换技术是一个具有简化、低价、高性能和高端口密集特点的交换产品,体现了桥接技术的复杂交换技术在OSI参考模型的第二层操作。与桥接器一样,交换机按每一个包中的MAC地址相对简单
地决策信息转发。而这种转发决策一般不考虑包中隐藏的更深的其他信息。与桥接器不同的是交换机转发延迟很小,操作接近单个局域网性能,远远超过了普通桥接互联网络之间的转发性能。
交换技术允许共享型和专用型的局域网段进行带宽调整,以减轻局域网之间信息流通出现的瓶颈问题。现在已有以太网、快速以太网、FDDI和ATM技术的交换产品。
类似传统的桥接器,交换机提供了许多网络互联功能。交换机能经济地将网络分成小的冲突网域,为每个工作站提供更高的带宽。协议的透明性使得交换机在软件配置简单的情况下直接安装在多协议网络中;交换机使用现有的电缆、中继器、集线器和工作站的网卡,不必作高层的硬件升级;交换机对工作站是透明的,这样管理开销低廉,简化了网络节点的增加、移动和网络变化的操作。
利用专门设计的集成电路可使交换机以线路速率在所有的端口并行转发信息,提供了比传统桥接器高得多的操作性能。如理论上单个以太网端口对含有64个八进制数的数据包,可提供14880bps的传输速率。这意味着一台具有12个端口、支持6道并行数据流的“线路速率”以太网交换器必须提供89280bps的总体吞吐率(6道信息流X14880bps/道信息流)。专用集成电路技术使得交换器在更多端口的情况下以上述性能运行,其端口造价低于传统型桥接器。
几种交换技术
1. 端口交换
端口交换技术最早出现在插槽式的集线器中,这类集线器的背板通常划分有多条以太网段(每条网段为一个广播域),不用网桥或路由连接,网络之间是互不相通的。以大主模块插入后通常被分配到某个背板的网段上,端口交换用于将以太模块的端口在背板的多个网段之间进行分配、平衡。根据支持的程度,端口交换还可细分为:
·模块交换:将整个模块进行网段迁移。
·端口组交换:通常模块上的端口被划分为若干组,每组端口允许进行网段迁移。
·端口级交换:支持每个端口在不同网段之间进行迁移。这种交换技术是基于OSI第一层上完成的,具有灵活性和负载平衡能力等优点。如果配置得当,那么还可以在一定程度进行客错,但没有改变共享传输介质的特点,自而未能称之为真正的交换。
2. 帧交换
帧交换是目前应用最广的局域网交换技术,它通过对传统传输媒介
进行微分段,提供并行传送的机制,以减小冲突域,获得高的带宽。一般来讲每个公司的产品的实现技术均会有差异,但对网络帧的处理方式一般有以下几种:
·直通交换:提供线速处理能力,交换机只读出网络帧的前14个字节,便将网络帧传送到相应的端口上。
·存储转发:通过对网络帧的读取进行验错和控制。
前一种方法的交换速度非常快,但缺乏对网络帧进行更高级的控制,缺乏智能性和安全性,同时也无法支持具有不同速率的端口的交换。因此,各厂商把后一种技术作为重点。
有的厂商甚至对网络帧进行分解,将帧分解成固定大小的信元,该信元处理极易用硬件实现,处理速度快,同时能够完成高级控制功能(如美国MADGE公司的LET集线器)如优先级控制。
3. 信元交换
ATM技术采用固定长度53个字节的信元交换。由于长度固定,因而便于用硬件实现。ATM采用专用的非差别连接,并行运行,可以通过一个交换机同时建立多个节点,但并不会影响每个节点之间的通信能力。ATM还容许在源节点和目标、节点建立多个虚拟链接,以保障足够的带宽和容错能力。ATM采用了统计时分电路进行复用,因而能大大提高通道的利用率。ATM的带宽可以达到25M、155M、622M甚至数Gb的传输能力。但随着万兆以太网的出现,曾经代表网络和通讯技术发展的未来方向的ATM技术,开始逐渐失去存在的意义。
二层交换机,三层交换机及四层交换机的区别
二层交换
二层交换技术的发展比较成熟,二层交换机属数据链路层设备,可以识别数据包中的MAC地址信息,根据MAC地址进行转发,并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。
具体的工作流程如下:
1) 当交换机从某个端口收到一个数据包,它先读取包头中的源MAC地址,这样它就知道源MAC地址的机器是连在哪个端口上的;
2) 再去读取包头中的目的MAC地址,并在地址表中查找相应的端口;
3) 如表中有与这目的MAC地址对应的端口,把数据包直接复制到
这端口上;
4) 如表中找不到相应的端口则把数据包广播到所有端口上,当目的机器对源机器回应时,交换机又可以学习一目的MAC地址与哪个端口对应,在下次传送数据时就不再需要对所有端口进行广播了。不断的循环这个过程,对于全网的MAC地址信息都可以学习到,二层交换机就是这样建立和维护它自己的地址表。
从二层交换机的工作原理可以推知以下三点:
1) 由于交换机对多数端口的数据进行同时交换,这就要求具有很宽的交换总线带宽,如果二层交换机有N个端口,每个端口的带宽是M,交换机总线带宽超过N×M,那么这交换机就可以实现线速交换;
2) 学习端口连接的机器的MAC地址,写入地址表,地址表的大小(一般两种表示方式:一为BEFFER RAM,一为MAC表项数值),地址表大小影响交换机的接入容量;
3) 还有一个就是二层交换机一般都含有专门用于处理数据包转发的ASIC(Application specific Integrated Circuit)芯片,因此转发速度可以做到非常快。由于各个厂家采用ASIC不同,直接影响产品性能。
以上三点也是评判二三层交换机性能优劣的主要技术参数,这一点请大家在考虑设备选型时注意比较。
三层交换
下面先来通过一个简单的网络来看看三层交换机的工作过程。
使用IP的设备A------------------------三层交换机------------------------使用IP的设备B
比如A要给B发送数据,已知目的IP,那么A就用子网掩码取得网络地址,判断目的IP是否与自己在同一网段。如果在同一网段,但不知道转发数据所需的MAC地址,A就发送一个ARP请求,B返回其MAC地址,A用此MAC封装数据包并发送给交换机,交换机起用二层交换模块,查找MAC地址表,将数据包转发到相应的端口。
如果目的IP地址显示不是同一网段的,那么A要实现和B的通讯,在流缓存条目中没有对应MAC地址条目,就将第一个正常数据包发送向一个缺省网关,这个缺省网关一般在操作系统中已经设好,对应第三层路由模块,所以可见对于不是同一子网的数据,最先在MAC表中放的是缺省网关的MAC地址;然后就由三层模块接收到此数据包,查询路由表以确定到达B的路由,将构造一个新的帧头,其中以缺省网关的MAC地址为源MAC地址,以主机B的MAC地址为目的MAC地址。通过一定的识别触发机制,确立主机A与B的MAC地址及转发端口的对应关
系,并记录进流缓存条目表,以后的A到B的数据,就直接交由二层交换模块完成。这就通常所说的一次路由多次转发。
以上就是三层交换机工作过程的简单概括,可以看出三层交换的特点:
1)由硬件结合实现数据的高速转发。这就不是简单的二层交换机和路由器的叠加,三层路由模块直接叠加在二层交换的高速背板总线上,突破了传统路由器的接口速率限制,速率可达几十Gbit/s。算上背板带宽,这些是三层交换机性能的两个重要参数。
2)简洁的路由软件使路由过程简化。大部分的数据转发,除了必要的路由选择交由路由软件处理,都是又二层模块高速转发,路由软件大多都是经过处理的高效优化软件,并不是简单照搬路由器中的软件。
二层和三层交换机的选择
二层交换机用于小型的局域网络。这个就不用多言了,在小型局域网中,广播包影响不大,二层交换机的快速交换功能、多个接入端口和低谦价格为小型网络用户提供了很完善的解决方案。
路由器的优点在于接口类型丰富,支持的三层功能强大,路由能力强大,适合用于大型的网络间的路由,它的优势在于选择最佳路由,负荷分担,链路备份及和其他网络进行路由信息的交换等等路由器所具有功能。
三层交换机的最重要的功能是加快大型局域网络内部的数据的快速转发,加入路由功能也是为这个目的服务的。如果把大型网络按照部门,地域等等因素划分成一个个小局域网,这将导致大量的网际互访,单纯的使用二层交换机不能实现网际互访;如单纯的使用路由器,由于接口数量有限和路由转发速度慢,将限制网络的速度和网络规模,采用具有路由功能的快速转发的三层交换机就成为首选。
一般来说,在内网数据流量大,要求快速转发响应的网络中,如全部由三层交换机来做这个工作,会造成三层交换机负担过重,响应速度受影响,将网间的路由交由路由器去完成,充分发挥不同设备的优点,不失为一种好的组网策略,当然,前提是客户的腰包很鼓,不然就退而求其次,让三层交换机也兼为网际互连。
四层交换
第四层交换的一个简单定义是:它是一种功能,它决定传输不仅仅依据MAC地址(第二层网桥)或源/目标IP地址(第三层路由),而且依据
TCP/UDP(第四层) 应用端口号。第四层交换功能就象是虚IP,指向物理服务器。它传输的业务服从的协议多种多样,有HTTP、FTP、NFS、Telnet或其他协议。这些业务在物理服务器基础上,需要复杂的载量平衡算法。
在IP世界,业务类型由终端TCP或UDP端口地址来决定,在第四层交换中的应用区间则由源端和终端IP地址、TCP和UDP端口共同决定。在第四层交换中为每个供搜寻使用的服务器组设立虚IP地址(VIP),每组服务器支持某种应用。在域名服务器(DNS)中存储的每个应用服务器地址是VIP,而不是真实的服务器地址。当某用户申请应用时,一个带有目标服务器组的VIP连接请求(例如一个TCP SYN包)发给服务器交换机。服务器交换机在组中选取最好的服务器,将终端地址中的VIP用实际服务器的IP取代,并将连接请求传给服务器。这样,同一区间所有的包由服务器交换机进行映射,在用户和同一服务器间进行传输。
第四层交换的原理
OSI模型的第四层是传输层。传输层负责端对端通信,即在网络源和目标系统之间协调通信。在IP协议栈中这是TCP(一种传输协议)和UDP(用户数据包协议)所在的协议层。
在第四层中,TCP和UDP标题包含端口号(port number),它们可以唯一区分每个数据包包含哪些应用协议(例如HTTP、FTP等)。端点系统利用这种信息来区分包中的数据,尤其是端口号使一个接收端计算机系统能够确定它所收到的IP包类型,并把它交给合适的高层软件。端口号和设备IP地址的组合通常称作"插口(socket)"。1和255之间的端口号被保留,他们称为"熟知"端口,也就是说,在所有主机TCP/I P协议栈实现中,这些端口号是相同的。除了"熟知"端口外,标准UNIX服务分配在256到1024端口范围,定制的应用一般在1024以上分配端口号。分配端口号的最近清单可以在RFC1700 "Assigned Numbers"上找到。
TCP/UDP端口号提供的附加信息可以为网络交换机所利用,这是第四层交换的基础。具有第四层功能的交换机能够起到与服务器相连接的"虚拟IP"(VIP)前端的作用。每台服务器和支持单一或通用应用的服务器组都配置一个VIP地址。这个VIP 地址被发送出去并在域名系统上注册。在发出一个服务请求时,第四层交换机通过判定TCP开始,来识别一次会话的开始。然后它利用复杂的算法来确定处理这个请求的最佳服务器。一旦做出这种决定,交换机就将会话与一个具体的IP地址联系在
一起,并用该服务器真正的IP地址来代替服务器上的VIP地址。
每台第四层交换机都保存一个与被选择的服务器相配的源IP地址以及源TCP端口相关联的连接表。然后第四层交换机向这台服务器转发连接请求。所有后续包在客户机与服务器之间重新影射和转发,直到交换机发现会话为止。在使用第四层交换的情况下,接入可以与真正的服务器连接在一起来满足用户制定的规则,诸如使每台服务器上有相等数量的接入或根据不同服务器的容量来分配传输流。
如何选用合适的第四层交换
1) 速度
为了在企业网中行之有效,第四层交换必须提供与第三层线速路由器可比拟的性能。也就是说,第四层交换必须在所有端口以全介质速度操作,即使在多个千兆以太网连接上亦如此。千兆以太网速度等于以每秒1488000 个数据包的最大速度路由(假定最坏的情形,即所有包为以及网定义的最小尺寸,长64字节)。
2) 服务器容量平衡算法
依据所希望的容量平衡间隔尺寸,第四层交换机将应用分配给服务器的算法有很多种,有简单的检测环路最近的连接、检测环路时延或检测服务器本身的闭环反馈。在所有的预测中,闭环反馈提供反映服务器现有业务量的最精确的检测。
3) 表容量
应注意的是,进行第四层交换的交换机需要有区分和存贮大量发送表项的能力。交换机在一个企业网的核心时尤其如此。许多第二/ 三层交换机倾向发送表的大小与网络设备的数量成正比。对第四层交换机,这个数量必须乘以网络中使用的不同应用协议和会话的数量。因而发送表的大小随端点设备和应用类型数量的增长而迅速增长。第四层交换机设计者在设计其产品时需要考虑表的这种增长。大的表容量对制造支持线速发送第四层流量的高性能交换机至关重要.
4) 冗余
第四层交换机内部有支持冗余拓扑结构的功能。在具有双链路的网卡容错连接时,就可能建立从一个服务器到网卡,链路和服务器交换器的完全冗余系统。
可网管交换机的管理方式
可网管交换机可以通过以下几种途径进行管理:通过RS-232 串行
口(或并行口)管理、通过网络浏览器管理和通过网络管理软件管理。 1.通过串口管理
可网管交换机附带了一条串口电缆,供交换机管理使用。先把串口电缆的一端插在交换机背面的串口里,另一端插在普通电脑的串口里。然后接通交换机和电脑电源。在Windows 98和Windows 2000里都提供了“超级终端”程序。打开“超级终端”,在设定好连接参数后,就可以通过串口电缆与交换机交互了,如图1所示。这种方式并不占用交换机的带宽,因此称为“带外管理”(Out of band)。
在这种管理方式下,交换机提供了一个菜单驱动的控制台界面或命令行界面。你可以使用“Tab” 键或箭头键在菜单和子菜单里移动,按回车键执行相应的命令,或者使用专用的交换机管理命令集管理交换机。不同品牌的交换机命令集是不同的,甚至同一品牌的交换机,其命令也不同。使用菜单命令在操作上更加方便一些。
2.通过Web管理
可网管交换机可以通过Web(网络浏览器)管理,但是必须给交换机指定一个IP地址。这个IP地址除了供管理交换机使用之外,并没有其他用途。在默认状态下,交换机没有IP地址,必须通过串口或其他方式指定一个IP地址之后,才能启用这种管理方式。
使用网络浏览器管理交换机时,交换机相当于一台Web服务器,只是网页并不储存在硬盘里面,而是在交换机的NVRAM里面,通过程序可以把NVRAM里面的Web程序升级。当管理员在浏览器中输入交换机的IP地址时,交换机就像一台服务器一样把网页传递给电脑,此时给你的感觉就像在访问一个网站一样,如图2所示。这种方式占用交换机的带宽,因此称为“带内管理”(In band)。
如果你想管理交换机,只要点击网页中相应的功能项,在文本框或下拉列表中改变交换机的参数就可以了。Web管理这种方式可以在局域网上进行,所以可以实现远程管理。
3.通过网管软件管理
可网管交换机均遵循SNMP协议(简单网络管理协议),SNMP协议是一整套的符合国际标准的网络设备管理规范。凡是遵循SNMP协议的设备,均可以通过网管软件来管理。你只需要在一台网管工作站上安装一套SNMP网络管理软件,通过局域网就可以很方便地管理网络上的交换机、路由器、服务器等。通过SNMP网络管理软件的界面如图3所示,它也是一种带内管理方式。
可网管交换机的管理可以通过以上三种方式来管理。究竟采用哪一种方式呢?在交换机初始设置的时候,往往得通过带外管理;在设定好IP地址之后,就可以使用带内管理方式了。带内管理因为管理数据是通
过公共使用的局域网传递的,可以实现远程管理,然而安全性不强。带外管理是通过串口通信的,数据只在交换机和管理用机之间传递,因此安全性很强;然而由于串口电缆长度的限制,不能实现远程管理。所以采用哪种方式得看你对安全性和可管理性的要求了。
网络交换机作用
?网络交换机网络交换机(NetworkSwitch)是集线器的升级换代产品,从外观上来看,它与集线器基 本上没有多大区别,都是带有多个端口的长方体。广 义的交换机就是一种在通信系统中完成信息交换功能 的设备。随着通信业的发展以及国民经济信息化的推 进,以太网交换机市场呈稳步上升态势。由于以太网 具有性能价格比高、高度灵活、相对简单、易于实现 等特点。所以,以太网技术已成为当今最重要的一种 局域网组网技术,以太网交换机也就成为了最普及的 交换机。 目录 ?网络交换机的概述 ?网络交换机的性能 ?网络交换机的分类 ?网络交换机的选择 网络交换机的概述 ?随着电子技术的飞速发展,计算机及其应用日益普及,计算机网络也迅速发展起来。凡是将地理位置 不同,具备独立功能的多台计算机、终端及其附属设
备,用通信设备和线路连接起来,并配以相应的网络软件实现计算机通信信息网的资源共享与数据通信,都称为计算机通信网。当网络规模扩大时,单纯靠延长网线已变得不现实。并且对于不同的局域网,要实现互相之间的数据传送,共享网络的资源,需要有专门的连接设备实现网络扩展。同时,网络中站点的增加,地理范围的扩大,业务量的增长,促使网络互联迅速向前发展。 网络互联的高速发展,导致网络交换技术的出现,网络交换机也随之应运而生。广义的交换机就是一种在通信系统中完成信息交换功能的设备。网络交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流量控制。 随着交换技术的发展,交换机由原来工作在OSI承M 的第二层,发展到现在有可以工作在第四层的交换机出现,所以根据工作的协议层交换机可分第二层交换机、第三层交换机和第四层交换机。由于第四层交换机交换技术尚未真正成熟且价格昂贵,第四层交换机在实际应用中目前还较少见。 网络交换机的性能 网络交换机是一种连接网络分段的网络设备。从技术角度看,网络交换机运行在OSI 模型的第2层
计算机网络__交换机工作原理
计算机网络交换机工作原理 在前面了解到根据交换机在OSI参考模型中工作的协议层不同,将交换机分为二层交换机、三层交换机、四层交换机。交换机工作的协议层不同,其工作原理也不相同。下面我们将介绍各层交换机的工作原理。 1.二层交换机工作原理 二层交换机能够识别数据包中的MAC地址信息,然后根据MAC地址进行数据包的转发,并将这些MAC地址与对应的端口记录在内部的地址列表中。二层交换机的工作原理如下:当交换机从端口收到数据包后,首先分析数据包头中的源MAC地址和目的MAC地址,并找出源MAC地址对应的交换机端口。然后,从MAC地址表中查找目的MAC地址对应的交换机端口。 如果MAC地址表中存在目的MAC地址的对应端口,则将数据包直接发送到该对应端口。如果MAC地址表中没有与目的MAC地址的对应端口,则将数据包广播到交换机所有端口,待目的计算机对源计算机回应时,交换机学习目的MAC地址与端口的对应关系,并将该对应关系添加至MAC地址表中。 这样,当下次再向该MAC地址传送数据时,就不需要向所有端口广播数据。并且,通过不断重复上面的过程,交换机能够学习到网络内的MAC地址信息,建立并维护自己内部的MAC地址表。如图6-10所示,为二层交换机工作原理示意图。 图6-10 二层交换机工作原理 2.三层交换机工作原理 三层交换机是在二层交换机的基础上增加了三层路由模块,能够工作于OSI参考模型的网络层,实现多个网段之间的数据传输。三层交换机既可以完成数据交换功能,又可以完成数据路由功能。其工作原理如下: 当三层交换机接收到某个信息源的第一个数据包时,交换机将对该数据包进行分析,并判断数据包中的目的IP地址与源IP地址是否在同一网段内。如果两个IP地址属于同一网段,
交换机有哪些功能
最近看到很多人在询问交换机、集线器、路由器是什么,功能如何,有何区别,笔者就这些问题简单的做些解答。 首先说HUB,也就是集线器。它的作用可以简单的理解为将一些机器连接起来组成一个局域网。而交换机(又名交换式集线器)作用与集线器大体相同。但是两者在性能上有区别:集线器采用的式共享带宽的工作方式,而交换机是独享带宽。这样在机器很多或数据量很大时,两者将会有比较明显的。而路由器与以上两者有明显区别,它的作用在于连接不同的网段并且找到网络中数据传输最合适的路径,可以说一般情况下个人用户需求不大。路由器是产生于交换机之后,就像交换机产生于集线器之后,所以路由器与交换机也有一定联系,并不是完全独立的两种设备。路由器主要克服了交换机不能路由转发数据包的不足。 总的来说,路由器与交换机的主要区别体现在以下几个方面: (1)工作层次不同 最初的的交换机是工作在OSI/RM开放体系结构的数据链路层,也就是第二层,而路由器一开始就设计工作在OSI模型的网络层。由于交换机工作在OSI的第二层(数据链路层),所以它的工作原理比较简单,而路由器工作在OSI的第三层(网络层),可以得到更多的协议信息,路由器可以做出更加智能的转发决策。 (2)数据转发所依据的对象不同 交换机是利用物理地址或者说MAC地址来确定转发数据的目的地址。而路由器则是利用不同网络的ID号(即IP地址)来确定数据转发的地址。IP地址是在软件中实现的,描述的是设备所在的网络,有时这些第三层的地址也称为协议地址或者网络地址。MAC地址通常是硬件自带的,由网卡生产商来分配的,而且已经固化到了网卡中去,一般来说是不可更改的。而IP地址则通常由网络管理员或系统自动分配。 (3)传统的交换机只能分割冲突域,不能分割广播域;而路由器可以分割广播域 由交换机连接的网段仍属于同一个广播域,广播数据包会在交换机连接的所有网段上传播,在某些情况下会导致通信拥挤和安全漏洞。连接到路由器上的网段会被分配成不同的广播域,广播数据不会穿过路由器。虽然第三层以上交换机具有VLAN功能,也可以分割广播域,但是各子广播域之间是不能通信交流的,它们之间的交流仍然需要路由器。 (4)路由器提供了防火墙的服务 路由器仅仅转发特定地址的数据包,不传送不支持路由协议的数据包传送和未知目标网络数据包的传送,从而可以防止广播风暴。 交换机一般用于LAN-WAN的连接,交换机归于网桥,是数据链路层的设备,有些交换机也可实现第三层的交换。路由器用于WAN-WAN之间的连接,可以解决异性网络之间转发分组,作用于网络层。他们只是从一条线路上接受输入分组,然后向另一条线路转发。这两条线路可能分属于不同的网络,并采用不同协议。相比较而言,路由器的功能较交换机要强大,但速度相对也慢,价格昂贵,第三层交换机既有交换机线速转发报文能力,又有路由器良好的控制功能,因此得以广泛应用。 目前个人比较多宽带接入方式就是ADSL,因此笔者就ADSL的接入来简单的说明一下。现在购买的ADSL
交换机原理与基础知识
交换机原理与基础知识 一、基本以太网 1、以太网标准: 以太网是Ethernet的意思,过去使用的是十兆标准,现在是百兆到桌面,千兆做干线。 常见的标准有: 10BASE-2 细缆以太网 10BASE-5 粗缆以太网 10BASE-T 星型以太网 100BASE-T 快速以太网 1000BASE-T 千兆以太网 现在千兆也应用到桌面 2、接线标准 星型以太网采用双绞线连接,双绞线是8芯,分四组,两芯一组绞在一起,故称双绞线。 8芯双绞线只用其中4芯:1、2、3、6。 常见接线方式有两种: 568B接线规范:白橙橙白绿蓝白蓝绿白棕棕 1 2 3 4 5 6 7 8 568A接线规范:白绿绿白橙蓝白蓝橙白棕棕 1 2 3 4 5 6 7 8 将568B的1和3对调,2和6对调,就得到568A。 3、接线方法 两边采用相同的接线方式叫做平接,两边采用不同的接线方式叫扭接。 不同的设备之间连接,使用平接线;相同的设备连接使用扭接线。 电脑、路由器与集线器、交换机连接时使用平接线。 这是因为网线中的4条线,一对是输入,一对是输出,输入应该与输出对应。 如果将1和3连接,2和4连接,相当于自己的输出送给自己的输入。 这样可以使网卡进入工作状态,阻止空接口关闭,而影响有些程序的运行。 二、交换机原理与应用 1、冲突域和广播域 交换机是根据网桥的原理发展起来的,学习交换机先认识两个概念: (1)冲突域: 冲突域是数据必然发送到的区域。 HUB是无智能的信号驱动器,有入必出,整个由HUB组成的网络是一个冲突域。 交换机的一个接口下的网络是一个冲突域,所以交换机可以隔离冲突域。 (2)广播域: 广播数据时可以发送到的区域是一个广播域。
网络基本概念(一)
网络基本概念(一) (总分:96.00,做题时间:90分钟) 一、{{B}}选择题{{/B}}(总题数:50,分数:50.00) 1.组建一个星形网络通常比组建一个总线型网络昂贵,是因为________。 (分数:1.00) A.星形集线器非常昂贵 B.星形网络在每一根电缆的末端需要昂贵的连接头 C.星形网络接口卡比总线型接口卡昂贵 D.星形网络较之总线型需要更多的电缆√ 解析: 2.网络协议精确地规定了交换数据的________。 (分数:1.00) A.格式和结果 B.格式和时序√ C.结果和时序 D.格式、结果和时序 解析: 3.在下列传输介质中,________的抗电磁干扰性最好。 (分数:1.00) A.双绞线 B.同轴电缆 C.光缆√ D.无线介质 解析: 4.关于因特网,以下说法错误的是________。 (分数:1.00) A.用户利用HTTP协议使用WEB服务 B.用户利用NNTP协议使用电子邮件服务√ C.用户利用FTP协议使用文件传输服务 D.用户利用DNS协议使用域名解析服务 解析: 5.下列有关网络拓扑结构的叙述中,正确的是________。 (分数:1.00) A.网络拓扑结构是指网络结点间的分布形式 B.目前局域网中最普遍采用的拓扑结构是总线结构 C.树形结构的线路复杂,网络管理也较困难√ D.树形结构的缺点是,当需要增加新的工作站时成本较高 解析: 6.在网络环境下,每个用户除了可以访问本地机器上本地存储之外,还可以访问服务器上的一些外存,这种配备大容量的海量存储器的服务器是________。 (分数:1.00) A.文件服务器 B.终端服务器 C.磁盘服务器√ D.打印服务器 解析:
网络安全基础知识介绍
网络安全基础知识介绍 网络让我们的生活变得更加便利了,我们在网上几乎可以找到所有问题的答案。但是有利也有弊,网络安全问题也困扰着很多人。现在如果不了解一点网络安全知识,对于网上形形色色的陷阱是很难提防的。 下面,小编就为大家介绍一下网络安全基础知识,希望能够帮助大家在网络世界里避免中毒,避免个人信息泄露。 1.什么是计算机病毒? 答:计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。 2.什么是木马? 答:木马是一种带有恶意性质的远程控制软件。木马一般分为客户端(client)和服务器端(server)。 3.什么是防火墙?它是如何确保网络安全的?
答:防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。 4.加密技术是指什么? 答:加密技术是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。 5.什么叫蠕虫病毒? 答:蠕虫病毒源自第一种在网络上传播的病毒。1988年,22岁的康奈尔大学研究生罗伯特·莫里斯(Robert Morris)通过网络发送了一种专为攻击UNIX系统缺陷、名为“蠕虫”(Worm)的病毒。蠕虫造成了6000个系统瘫痪,估计损失为200万到 6000万美元。由于这只蠕虫的诞生,在网上还专门成立了计算机应急小组(CERT)。现在蠕虫病毒家族已经壮大到成千上万种,并且这千万种蠕虫病毒大都出自黑客之手。
二层交换机原理
一、交换机的工作原理 1.交换机根据收到数据帧中的源MAC地址建立该地址同交换机端口的映射,并将其写入MAC地址表中。 2.交换机将数据帧中的目的MAC地址同已建立的MAC地址表进行比较,以决定由哪个端口进行转发。 3.如数据帧中的目的MAC地址不在MAC地址表中,则向所有端口转发。这一过程称为泛洪(flood)。 4.广播帧和组播帧向所有的端口转发。 二、交换机的三个主要功能 学习:以太网交换机了解每一端口相连设备的MAC地址,并将地址同相应的端口映射起来存放在交换机缓存中的MAC地址表中。 转发/过滤:当一个数据帧的目的地址在MAC地址表中有映射时,它被转发到连接目的节点的端口而不是所有端口(如该数据帧为广播/组播帧则转发至所有端口)。 消除回路:当交换机包括一个冗余回路时,以太网交换机通过生成树协议避免回路的产生,同时允许存在后备路径。 三、交换机的工作特性 1.交换机的每一个端口所连接的网段都是一个独立的冲突域。 2.交换机所连接的设备仍然在同一个广播域内,也就是说,交换机不隔绝广播(惟一的例外是在配有VLAN的环境中)。 3.交换机依据帧头的信息进行转发,因此说交换机是工作在数据链路层的网络设备(此处所述交换机仅指传统的二层交换设备)。 四、交换机的分类 依照交换机处理帧时不同的操作模式,主要可分为两类: 存储转发:交换机在转发之前必须接收整个帧,并进行错误校检,如无错误再将这一帧发往目的地址。帧通过交换机的转发时延随帧长度的不同而变化。 直通式:交换机只要检查到帧头中所包含的目的地址就立即转发该帧,而无需等待帧全部的被接收,也不进行错误校验。由于以太网帧头的长度总是固定的,因此帧通过交换机的转发时延也保持不变。 五、二、三、四层交换机? 多种理解的说法: 1. 二层交换(也称为桥接)是基于硬件的桥接。基于每个末端站点的唯一MAC地址转发数据包。二层交换的高性能可以产生增加各子网主机数量的网络设计。其仍然有桥接所具有的特性和限制。 三层交换是基于硬件的路由选择。路由器和第三层交换机对数据包交换操作的主要区别在于物理上的实施。
第一课 网络的基本概念
第1课网络基础知识 一、教学内容:网络基础知识 二、学习目标 (1)了解计算机网络的知识。 (2)了解计算机网络的软件和硬件。 (3)了解计算机网络的应用。 三、教学重点:计算机网络的应用 四、教学难点:计算机网络的结构 五、教学方法:讲授法、任务驱动法、教学演示法 六、教学课时:1课时 七、教学过程 (一)引言 网络是一种信息的来源途径,可能大家还不是很清楚网络中如何获得信息,从这节课开始,我们就来研究网络,看网络究竟是什么?网络有何用途?给我们的生活带来怎样的变化?下面我们开始讲这节新课: (二)讲授新课 (板书)网络基础知识 1、什么是计算机网络? 计算机网络是把若干台计算机利用信息传输介质和连接设备相互连接起来,在相应的网络协议软件支持下,实现计算机之间相互通信和资源共享的系统。从这个定义中我们可以提炼出三个要点:一是网络是计算机有两台或两台以上,二是信息传输介质和连接设备,三是网络协议。计算机网络的基本功能是数据传输和资源共享。以上我们简单定义了一下计算机网络,接下来我们来看一下计算机网络的分类及构成。 2、计算机网络的分类 计算机网络一般可分为两大类:1、局域网(Local Area Network,简称LAN),、2、城域网(Metropolian Area Network,简称:MAN)3、广域网(Wide Area Network,简称WAN) 。局域网,顾名思义,局,小,指在同一建筑物内或地理位置在一定范围内的多台计算机组成的网络。比如:一个校园网就是一个局域网,通过局域网,共享系统资源,大大提高教学效果和管理效率。而城域网和广域网
的覆盖面积辽阔,通常是以连接不同地域的大型主机系统组成的。当前大多数全国性网络都是广域网,局域网与广域网是以覆盖范围的大小来分的,如将两者相互连接就形成网际网络,简称网际网(network of network)。网际网使网络的功能得到更充分的扩展,目前最大的全球性网络因特网(Internet)就是一个网际网,现在国内的中国银行国内骨干网、民航售票网等等都是网际网。好,网络的分类就讲到这里,接下来我们讲: 3、网络的结构形式 网络的结构形式是指网络中各节点(又叫站点)之间的连接方式,下面介绍几种较常见的网络结构。网络的拓扑结主要有星型、环型和总线型等几种:(1).星型结构 星型结构是最早的通用网络拓扑结构形式。其中每个站点都通过连线(例如电缆)与主控机相连,相邻站点之间的通信都通过主控机进行,所以,要求主控机有很高的可靠性。这是一种集中控制方式的结构。星型结构的优点是结构简单,控制处理也较为简便,增加工作站点容易;缺点是一旦主控机出现故障,会引起整个系统的瘫痪,可靠性较差。星型结构如图所示。 (2).环型结构 网络中各工作站通过中继器连接到一个闭合的环路上,信息沿环形线路单向(或双向)传输,由目的站点接收。环型网适合那些数据不需要在中心主控机上集中处理而主要在各自站点进行处理的情况。环型结构的优点是结构简单、成本低,缺点是环中任意一点的故障都会引起网络瘫痪,可靠性低。环型拓扑结构如图所示。 (3).总线型结构 网络中各个工作站均经—根总线相连,信息可沿两个不同的方向由—个站点传向另一站点。这种结构的优点是:工作站连入或从网络中卸下都非常方便,系统中某工作站出现故障也不会影响其他站点之间的通信,系统可靠性较高,结构简单,成本低。这种结构是目前局部网中普遍采用的形式。总线型结构如图所示。 以上3种网络结构是最基本的网络结构形式,实际应用中往往把它们结合起来使用。 (四)使用校园网 校园网是种最常见的局域网,它是全校师生共同学习资源库和学习园地。下面我们学习使用在校园网中的共享资源,以及如何把自己计算机中有用的、好玩的资
网络安全基础知识
网络安全基础知识 防火墙技术可以分为三大类型,它们分别是(1)等,防火墙系统通常由(2)组成,防止不希望的、未经授权的通信进出被保护的内部网络,它(3)内部网络的安全措施,也(4)进人防火墙的数据带来的安全问题。它是一种(5)网络安全措施。 (1)A.IP过滤、线路过滤和入侵检测 B.包过滤、入侵检测和应用代理 C.包过滤、入侵检测和数据加密 D.线路过滤、IP过滤和应用代理 (2)A.代理服务器和入侵检测系统 B.杀病毒卡和杀毒软件 C.过滤路由器和入侵检测系统 D.过滤路由器和代理服务器 (3)A.是一种 B.不能替代 C.可以替代 D.是外部和 (4)A.能够区分 B.物理隔离 C.不能解决 D.可以解决 (5)A.被动的 B.主动的 C.能够防止内部犯罪的 D.能够解决所有问题的 答案:(1)D (2)D (3)B (4)C (5)A 解析:本题主要考查防火墙的分类、组成及作用。 防火墙的基本功能是对网络通信进行筛选屏蔽以防止未授权的访问进出计算机网络,简单的概括就是,对网络进行访问控制。绝大部分的防火墙都是放置在可信任网络(Internal)和不可信任网络(Internet)之间。 防火墙一般有三个特性: A.所有的通信都经过防火墙 B.防火墙只放行经过授权的网络流量 C.防火墙能经受的住对其本身的攻击 防火墙技术分为IP过滤、线路过滤和应用代理等三大类型; 防火墙系统通常由过滤路由器和代理服务器组成,能够根据过滤规则来拦截和检查所有出站和进站的数据;代理服务器。内部网络通过中间节点与外部网络相连,而不是直接相连。 防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络,通过边界控制 强化内部网络的安全策略。它是建立在内外网络边界的过滤封锁机制,内部的网络被认为是安全的和可信赖的。而外部的网络被认为是不安全的和不可信赖的。它提供一种内部节点或者网络与Internet的安全屏障,它是一种被动的网络安全措施。 ● 随着网络的普及,防火墙技术在网络作为一种安全技术的重要性越来越突出,通常防火墙中使用的技术有过滤和代理两种。路由器可以根据(6)进行过滤,以阻挡某些非法访问。(7)是一种代理协议,使用该协议的代理服务器是一种(8)网关。另外一种可以把内部网络中的某些私有IP地址隐藏起来的代理服务器技术使用的是(9)。安全机制是实现安全服务的技术手段,一种安全机制可以提供多种安全服务,而.一种安全服务也可采用多种安全机制。加密机制不能提供的安全服务是(10)。
(完整版)交换机的分类及功能
交换机的分类及工作原理
交换机的分类及工作原理 交换机拥有一条很高带宽的背部总线和内部交换矩阵。交换机的所有的端口都挂接在这条背部总线上,控制电路收到数据包以后,处理端口会查找内存中的地址对照表以确定目的MAC(网卡的硬件地址)的NIC(网卡)挂接在哪个端口上,通过内部交换矩阵迅速将数据包传送到目的端口,目的MAC 若不存在才广播到所有的端口,接收端口回应后交换机会“学习”新的地址,并把它添加入内部MAC地址表中。使用交换机也可以把网络“分段”,通过对照MAC地址表,交换机只允许必要的网络流量通过交换机。通过交换机的过滤和转发,可以有效的隔离广播风暴,减少误包和错包的出现,避免共享冲突。交换机在同一时刻可进行多个端口对之间的数据传输。每一端口都可视为独立的网段,连接在其上的网络设备独自享有全部的带宽,无须同其他设备竞争使用。当节点A向节点D发送数据时,节点B可同时向节点C发送数据,而且这两个传输都享有网络的全部带宽,都有着自己的虚拟连接。假使这里使用的是10Mbps的以太网交换机,那么该交换机这时的总流通量就等于2×10Mbps=20Mbps,而使用10Mbps的共享式HUB时,一个HUB的总流通量也不会超出10Mbps。总之,交换机是一种基于MAC地址识别,能完成封装转发数据包功能的网络设备。交换机可以“学习”MAC地址,并把其存放在内部地址表中,通过在数据帧的始发者和目标接收者之间建立临时的交换路径,使数据帧直接由源地址到达目的地址。 从层次上分类交换机可分为二层交换机、三层交换机、四层交换机等:(一)二层交换技术 二层交换技术是发展比较成熟,二层交换机属数据链路层设备,可以识别数据包中的MAC地址信息,根据MAC地址进行转发,并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。具体的工作流程如下: (1)当交换机从某个端口收到一个数据包,它先读取包头中的源MAC地址,这样它就知道源MAC地址的机器是连在哪个端口上的; (2)再去读取包头中的目的MAC地址,并在地址表中查找相应的端口;
网络安全知识
网络安全知识 篇一:网络安全基本知识一旦黑客定位了你的网络,他通常会选定一个目标进行渗透。通常这个目标会是安全漏洞最多或是他拥有最多攻击工具的主机。非法入侵系统的方法有很多,你应当对这些方法引起注意。 常见攻击类型和特征 攻击特征是攻击的特定指纹。入侵监测系统和网络扫描器就是根据这些特征来识别和防范攻击的。下面简要回顾一些特定地攻击渗透网络和主机的方法。 常见的攻击方法 你也许知道许多常见的攻击方法,下面列出了一些: ?字典攻击:黑客利用一些自动执行的程序猜测用户命和密码,审计这类攻击通常需要做全面的日志记录和入侵监测系统(IDS)。 ?Man-in-the-middle攻击:黑客从合法的传输过程中嗅探到密码和信息。防范这类攻击的有效方法是应用强壮的加密。 ?劫持攻击:在双方进行会话时被第三方(黑客)入侵,黑客黑掉其中一方,并冒充他继续与另一方进行会话。虽然不是个完全的解决方案,但强的验证方法将有助于防范这种攻击。 ?病毒攻击:病毒是能够自我复制和传播的小程序,消耗系统资源。在审计过程中,你应当安装最新的反病毒程序,并对用户进行防病毒教育。 ?非法服务:非法服务是任何未经同意便运行在你的操作系统上的进程或服务。你会在接下来的课程中学到这种攻击。 ?拒绝服务攻击:利用各种程序(包括病毒和包发生器)使系统崩溃或消耗带宽。容易遭受攻击的目标 最常遭受攻击的目标包括路由器、数据库、Web和FTP服务器,和与协议相关的服务, 如DNS WINS和SMB。本课将讨论这些通常遭受攻击的目标。 路由器 连接公网的路由器由于被暴露在外,通常成为被攻击的对象。许多路由器为便于管理使用SNMP协议,尤其是SNMPvl,成为潜在的问题。许多网络管理员未关闭或加密Telnet会话,若明文传输的口令被截取,黑客就可以重新配置路由器,这种配置包括关闭接口,重新配置路由跳计数等等。物理安全同样值得考虑。必须保证路由器不能被外人物理接触到进行终端会话。 过滤 Telnet 为了避免未授权的路由器访问,你应利用防火墙过滤掉路由器外网的telnet 端口和SNMP[161,162]端口 技术提示:许多网络管理员习惯于在配置完路由器后将 Telnet 服务禁止掉,因为路由器并不需要过多的维护工作。如果需要额外的配置,你可以建立物理连接。 路由器和消耗带宽攻击 最近对 Yahoo、 e-Bay 等电子商务网站的攻击表明迅速重新配置路由器的重要性。这些 攻击是由下列分布式拒绝服务攻击工具发起的: ?Tribal Flood Network(TFN) ?Tribal Flood Network(TFN2k)
交换机的作用
交换机的作用 交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。目前交换机还具备了一些新的功能,如对VLAN(虚拟局域网)的支持、对链路汇聚的支持,甚至有的还具有防火墙的功能。 学习:以太网交换机了解每一端口相连设备的MAC地址,并将地址同相应的端口映射起来存放在交换机缓存中的MAC地址表中。 转发/过滤:当一个数据帧的目的地址在MAC地址表中有映射时,它被转发到连接目的节点的端口而不是所有端口(如该数据帧为广播/组播帧则转发至所有端口)。 消除回路:当交换机包括一个冗余回路时,以太网交换机通过生成树协议避免回路的产生,同时允许存在后备路径。 交换机除了能够连接同种类型的网络之外,还可以在不同类型的网络(如以太网和快速以太网)之间起到互连作用。如今许多交换机都能够提供支持快速以太网或FDDI等的高速连接端口,用于连接网络中的其它交换机或者为带宽占用量大的关键服务器提供附加带宽。一般来说,交换机的每个端口都用来连接一个独立的网段,但是有时为了提供更快的接入速度,我们可以把一些重要的网络计算机直接连接到交换机的端口上。这样,网络的关键服务器和重要用户就拥有更快的接入速度,支持更大的信息流量。 最后简略的概括一下交换机的基本功能: 1.像集线器一样,交换机提供了大量可供线缆连接的端口,这样可以采用星型拓扑布线。 2.像中继器、集线器和网桥那样,当它转发帧时,交换机会重新产生一个不失真的方形电信号。 3.像网桥那样,交换机在每个端口上都使用相同的转发或过滤逻辑。 4.像网桥那样,交换机将局域网分为多个冲突域,每个冲突域都是有独立的宽带,因此大大提高了局域网的带宽。 5.除了具有网桥、集线器和中继器的功能以外,交换机还提供了更先进的功能,如虚拟局域网(VLAN)和更高的性能。
交换机地工作原理
交换机的工作原理 1、交换机的定义 局域网交换机拥有许多端口,每个端口有自己的专用带宽,并且可以连接不同的网段。交换机各个端口之间的通信是同时的、并行的,这就大大提高了信息吞吐量。为了进一步提高性能,每个端口还可以只连接一个设备。 为了实现交换机之间的互连或与高档服务器的连接,局域网交换机一般拥有一个或几个高速端口,如100MB以太网端口、FDDI端口或155MB ATM端口,从而保证整个网络的传输性能。 2、交换机的定义 通过集线器共享局域网的用户不仅是共享带宽,而且是竞争带宽。可能由于个别用户需要更多的带宽而导致其他用户的可用带宽相对减少,甚至被迫等待,因而也就耽误了通信和信息处理。利用交换机的网络微分段技术,可以将一个大型的共享式局域网的用户分成许多独立的网段,减少竞争带宽的用户数量,增加每个用户的可用带宽,从而缓解共享网络的拥挤状况。由于交换机可以将信息迅速而直接地送到目的地能大大提高速度和带宽,能保护用户以前在介质方面的投资,并提供良好的可扩展性,因此交换机不但是网桥的理想替代物,而且是集线器的理想替代物。 与网桥和集线器相比,交换机从下面几方面改进了性能: (1)通过支持并行通信,提高了交换机的信息吞吐量。 (2)将传统的一个大局域网上的用户分成若干工作组,每个端口连接一台设备
或连接一个工作组,有效地解决拥挤现像。这种方法人们称之为网络微分段(Micro一segmentation)技术。 (3)虚拟网(VirtuaI LAN)技术的出现,给交换机的使用和管理带来了更大的灵活性。我们将在后面专门介绍虚拟网。 (4)端口密度可以与集线器相媲美,一般的网络系统都是有一个或几个服务器,而绝大部分都是普通的客户机。客户机都需要访问服务器,这样就导致服务器的通信和事务处理能力成为整个网络性能好坏的关键。 交换机就主要从提高连接服务器的端口的速率以及相应的帧缓冲区的大小,来提高整个网络的性能,从而满足用户的要求。一些高档的交换机还采用全双工技术进一步提高端口的带宽。以前的网络设备基本上都是采用半双工的工作方式,即当一台主机发送数据包的时候,它就不能接收数据包,当接收数据包的时候,就不能发送数据包。由于采用全双工技术,即主机在发送数据包的同时,还可以接收数据包,普通的10M端口就可以变成20M端口,普通的100M端口就可以变成200M 端口,这样就进一步提高了信息吞吐量。 3、交换机的工作原理 传统的交换机本质上是具有流量控制能力的多端口网桥,即传统的(二层)交换机。把路由技术引入交换机,可以完成网络层路由选择,故称为三层交换,这是交换机的新进展。交换机(二层交换)的工作原理交换机和网桥一样,是工作在链路层的联网设备,它的各个端口都具有桥接功能,每个端口可以连接一个LAN或一台高性能或服务器,能够通过自学习来了解每个端口的设备连接情况。所有端口由专用处理器进行控制,并经过控制管理总线转发信息。 同时可以用专门的网管软件进行集中管理。除此之外,交换机为了提高数
计算机网络基本概念及简答
1.广域网覆盖范围从几十千米到几千千米,可以将一个国家、地区或横跨几个洲的计算机和网络互联起来的网络 2.城域网可以满足几十公里范围内的大量企业、机关、公司的多个局域网互联的需要,并能实现大量用户与数据、语音、图像等多种信息传输的网络。 3.局域网用于有限地理范围(例如一幢大楼),将各种计算机、外设互连的网络。 4.无线传感器网络一种将Ad hOC网络技术与传感器技术相结合的新型网络 5.计算机网络以能够相互共享资源的方式互联起来的自治计算机系统的集合。 6.网络拓扑通过网中结点与通信线路之间的几何关系来反映出网络中各实体间的结构关系 7.ARPANET 对Internet的形成与发展起到奠基作用的计算机网络 8.点对点线路连接一对计算机或路由器结点的线路 9.Ad hOC网络一种特殊的自组织、对等式、多跳、无线移动网络。 10.P2P所有的成员计算机在不同的时间中,可以充当客户与服务器两个不同的角色,区别于固定服务器的网络结构形式 1.0SI参考模型由国际标准化组织IS0制定的网络层次结构模型。 2.网络体系结构.计算机网络层次结构模型与各层协议的集合。 3.通信协议为网络数据交换而制定的规则、约定与标准。 4.接口同一结点内相邻层之间交换信息的连接点。 5.数据链路层该层在两个通信实体之间传送以帧为单位的数据,通过差错控制方法,使有差错的物理线路变成无差错。 6.网络层负责使分组以适当的路径通过通信子网的层次。 7.传输层负责为用户提供可靠的端到端进程通信服务的层次。 8.应用层.0SI参考模型的最高层。 1.基带传输在数字通信信道上直接传输基带信号的方法 2.频带传输利用模拟通信信道传输数字信号的方法 3.移频键控通过改变载波信号的角频率来表示数据的信号编码方式 4.振幅键控通过改变载波信号的振幅来表示数据的信号编码方式 5.移相键控通过改变载波信号的相位值来表示数据的信号编码方式。 6.单模光纤光信号只能与光纤轴成单个可分辨角度实现单路光载波传输的光纤 7.多模光纤光信号可以与光纤轴成多个可分辨角度实现多路光载波传输的光纤 8.单工通信在一条通信线路中信号只能向一个方向传送的方法 9.半双工通信在一条通信线路中信号可以双向传送,但同一时间只能向一个方向传送数据 10.全双工通信在一条通信线路中可以同时双向传输数据的方法 11.模拟信号信号电平连续变化的电信号 12.数字信号用0、1两种不同的电平表示的电信号 13.外同步法发送端发送一路数据信号的同时发送一路同步时钟信号 14.内同步法从自含时钟编码的发送数据中提取同步时钟的方法 15.波分复用在一根光纤上复用多路光载波信号 16.脉冲编码调制. 将语音信号转换为数字信号的方法 1.纠错码让每个传输的分组带上足够的冗余信息,以便在接收端能发现并自动纠正传输差错的编码方法 2.检错码让分组仅包含足以使接收端发现差错的冗余信息,但是不能确定哪个比特出错,并且自己不能纠正传输差错的编码方法。 3.误码率二进制比特在数据传输系统中被传错的概率 4.帧数据链路层的数据传输单元 5.数据链路层协议为实现数据链路控制功能而制定的规程或协议。
网络工程 心得
学习网络工程心得体会 网络工程师是指基于硬、软件两方面的工程师。根据硬件和软件的不同、认证的不同,将网络工程师划分成很多种类。网络工程师是通过学习和训练,掌握网络技术的理论知识和操作技能的网络技术人员。网络工程师能够从事计算机信息系统的设计、建设、运行和维护工作。 在科技飞速发展的今天,计算机网络早已被每一个人熟知,它让我们的生活更加精彩,让人与人之间的距离更加贴近了,也让庞大的地球变为一个小村落。由此可见,当今计算机网络已是普及到世界的各个角落,通过一学期的学习和自身多年的体验以及使用,对计算机网络也是更加了解。 计算机网络的定义: 计算机网络技术是通信技术与计算机技术相结合的产物。计算机网络是按照网络协议,将地球上分散的、独立的计算机相互连接的集合。连接介质可以是电缆、双绞线、光纤、微波、载波或通信卫星。计算机网络具有共享硬件、软件和数据资源的功能,具有对共享数据资源集中处理及管理和维护的能力。计算机网络是“通信技术”与“计算机技术”的结合产物,数据交换是基础,资源交换为目的。计算机网络的组成: 组成:通信网络,资源子网 通信子网:(1)功能:完成网络的通信、数据的存储转发,具体的有:差错控制;流量控制;路由选择;网络安全;流量计费。(2)构成:网络结点、通信线路。资源子网:(1)功能:提供网络资源共享,处理数据能力。(2)构成:主机系统(硬件、软件)。 网络工程是指按计划进行的以工程化的思想、方式、方法,设计、研发和解决网络系统问题的工程。培养掌握网络工程的基本理论与方法以及计算机技术和网络技术等方面的知识,能运用所学知识与技能去分析和解决相关的实际问题,可在信息产业以及其他国民经济部门从事各类网络系统和计算机通信系统研究、教学、设计、开发等工作的高级科技人才。 关于网络工程这门课,我们是建筑工程专业的,这门选修课对于我们来讲也是有切入点的。在这门课上,我们学习了,网络工程的基本概念,很全面也很实际。了解了网络需求分析的内容和方法,可行性论证的过程以及网络工程投标的过程;还介绍了,网络逻辑实际的原理,将分层设计和组件设计结合起来,以以太网为例,分析了网络设计·升级的原理和方法,同时还介绍IP地址分配·SLAN 划分·路由协议选择等知识;还介绍了网络冗余设计和数据备份的原理和方法;介绍了网络安全的设计思想,举例说明了防火墙在网络安全结构中的作用,并给出制定防火墙策略的一些方法;重在介绍网络逻辑结构的物理实现,分成三大部分。即如何选择合适的传输物质,如何选择合适的网络设备以及结构化综合布线的构成和设计;介绍了流行的网络结构——Internet结构的基本原理,并举例了一个OA应用的实例,侧重介绍了以Internet为网络平台的OA系统如何搭;以上知识点是我按照书本写的,可能和老师讲课的顺序有所出入。 还有就是我们重点学习的路由器和交换机的配置。这部分老师讲的很多,也很仔细,包括了静态路由,动态路由,Eigrp协议,Ospf协议,交换机基本配置,VLAN,STP,ASL,NA T,DHCP,PPP,等众多协议。 在学习过程中,我们意识到了这门选修课的重要性:网络工程是国家战略工程,网络工程师说网络安全问题关系到国家的安全与社会的稳定,在网络信息技术高速发展的今天,在全球化进程的不断加速中,网络安全的重要性被日益放大,
网络安全基础知识汇总
网络安全基础知识汇总 一、引论 提到网络安全,一般人们将它看作是信息安全的一个分支,信息安全是更加广义的一个概念:防止对知识、事实、数据或能力非授权使用、误用、篡改或拒绝使用所采取的措施,说白了,信息安全就是保护敏感重要的信息不被非法访问获取,以及用来进一步做非法的事情。网络安全具体表现在多台计算机实现自主互联的环境下的信息安全问题,主要表现为:自主计算机安全、互联的安全(实现互联的设备、通信链路、网络软件、网络协议)以及各种网络应用和服务的安全。这里提到了一些典型的网络安全问题,可以来梳理一下: 1.IP安全:主要的攻击方式有被动攻击的网络窃听,主动攻击的IP欺骗(报文伪造、篡改)和路由攻击(中间人攻击); 2.DNS安全:这个大家应该比较熟悉,修改DNS的映射表,误导用户的访问流量; 3.DoS攻击:单一攻击源发起的拒绝服务攻击,主要是占用网络资源,强迫目标崩溃,现在更为流行的其实是DDoS,多个攻击源发起的分布式拒绝攻击; 网络安全的三个基本属性:机密性、完整性与可用性,其实还可以加上可审性。机密性又叫保密性,主要是指控制信息的流出,
即保证信息与信息不被非授权者所获取与使用,主要防范措施是密码技术;完整性是指信息的可靠性,即信息不会被伪造、篡改,主要防范措施是校验与认证技术;可用性是保证系统可以正常使用。网络安全的措施一般按照网络的TCP/IP或者OSI的模型归类到各个层次上进行,例如数据链路层负责建立点到点通信,网络层负责路由寻径,传输层负责建立端到端的通信信道。 最早的安全问题发生在计算机平台,后来逐渐进入网络层次,计算机安全中主要由主体控制客体的访问权限,网络中则包含更加复杂的安全问题。现在网络应用发展如火如荼,电子政务、电子商务、电子理财迅速发展,这些都为应对安全威胁提出了挑战。 密码学在网络安全领域中的应用主要是机密性和身份认证,对称密码体制如DES,非对称密码体制如RSA,一般的做法是RSA保护DES密钥,DES负责信息的实际传输,原因在于DES 实现快捷,RSA相比占用更多的计算资源。 二、风险分析 风险分析主要的任务时对需要保护的资产及其受到的潜在威胁进行鉴别。首要的一步是对资产进行确定,包括物理资源(工作站、服务器及各种设备等)、知识资源(数据库、财务信息等)以及时间和信誉资源。第二步需要分析潜在的攻击源,如内部的员工,外部的敌对者等;第三步要针对以上分析指定折中的安全策略,因为安全措施与系统性能往往成反比。风险被定义为漏洞威胁,漏
网络基本概念..
第1章计算机网络基础 习题: ⒈什么是计算机网络? 答:所谓计算机网络是指利用通讯手段,把地理上分散的、能够以相互共享资源(硬件、软件和数据等)的方式有机地连接起来的、而又各自具备独立功能的计算机系统的集合。 ⒉计算机网络有哪些基本功能? 答:计算机网络具有下述功能: ⑴数据通信。网络中的计算机之间可以进行数据传输,这是网络最基本的功能。 ⑵资源共享。入网的用户可以共享网络中的数据、数据库、软件和硬件资源,这是网络的主要功能。 ⑶可提高系统的可靠性。用户可以借助硬件和软件的手段来保证系统的可靠性。 ⑷能进行分布处理。可以把工作分散到网络中的各个计算机上完成。 ⑸可以集中控制、管理和分配网络中的软件、硬件资源。 ⒊计算机网络由哪些部分组成? 答:计算机网络都应包含三个主要组成部分:若干台主机(Host)、一个通讯子网和一系列的通信协议。 1.主机(Host):用来向用户提供服务的各种计算机。 2.通讯子网:用于进行数据通信的通信链路和结点交换机。 3.通信协议:这是通信双方事先约定好的也是必须遵守的规则,这种约定保证了主机与主机、主机与通信子网以及通信子网中各节点之间的通信。 ⒋计算机网络体系结构是何含义? 答:网络体系结构:是指用分层研究方法定义的网络各层的功能,各层协议和接口的集合。国际标准化组织ISO于1977年提出了一个试图使各种计算机在世界范围内互相连通的标准框架,即“开放系统互连参考模型”简称OSI/RM。OSI参考模型共分七层结构:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。 ⒌简述广域网和局域网的区别。 答:局域网在距离上一般被限制在一定规模的地理区域内(如一个实验室、一幢大楼、一个校园。主要特点可以归纳为:⑴地理范围(小)有限,参加组网的计算机通常处在1~ 2km 的范围内;⑵信道的带宽大,数据传输率高,一般为1~ 1000Mbps;⑶数据传输可靠,误码率低;⑷局域网大多采用总线型、星型及环型拓扑结构,结构简单,实现容易;⑸网络的控制一般趋向于分布式,从而减少了对某个节点的依赖性,避免一个节点故障对整个网络的影响;⑹通常网络归一个单一组织所拥有和使用,不受公共网络管理规定的约束,容易进行设备的更新和新技术的引用,不断增强网络功能。 广域网最根本的特点就是机器分布范围广,一般从数千米到数千千米,因此网络所涉及 的范围可以为市、省、国家,乃至世界范围,其中最著名的就是Internet。广域网常常借用传统的公共传输(电报、电话)网来实现。数据传输率较低,再加上传输距离远,因此错误率也比较高。网络的通信控制比较复杂,要求联到网上的用户必须严格遵守各种标准和规程。
网络安全的基本内容
计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方面 网络安全包含5大目标: 1)机密性,对使用者进行授权,未经授权不得使用或无法使用就叫保密性,保密性建立在授权的基础上,授权说白了 就是身份确认 2)完整性,保证数据无法被篡改、伪造,实际生活中我们常用签名和身份确认的方式保证信函的真实性,网络世界中 也采用类似的数字签名实现完整性,而且完整性也是基于身份确认的 3)可用性,在合适的时机能够对服务请求进行响应,如网络、服务器在规定时间都保持可访问状态 4)可控性,能够控制信息的发送或接收,这取决于对信息的甄别,如发现危害信息能够立即采取措施禁止继续传播 5)可审查性,对网络行为进行记录,便于网络安全措施的改进,同时为网络故障定位提供线索 网络安全的4个层次 1)物理安全,即保证网络环境如机房、线路、办公网络设备被物理上损坏,比如线路被剪断或窃听,机房无权限控制, 闲杂人等都可以随意进出,又如面对自然灾害,如何保证网络服务不中断,重要数据不丢失等。物理安全的文章主要在管理条例上,严格的管理和松散的管理对物理安全的作用是天壤之别,同时一旦网络出现物理安全故障,其损失无疑是巨大的。 2)安全控制,对网络使用人员的控制,如通过用户名和口令核实身份,对不同身份用户开通不同的网络权限,同时对 网络行为进行审计,安全控制不止是用于人员,还包括对网络设备身份的确认,如一些开放协议OSPF,就可以使用鉴权的手段避免和错误的设备建立连接,避免路由信息外泄。 3)安全服务,对网络行为的安全保证,即实现信息的机密性、完整性和可用性。 4)安全机制,安全服务的实现措施称为机制,如为了实现信息的机密性开发数字加密算法,为了实现信息完整性开发 数字签名算法,为了提高服务可用性开发防火墙、IDS、IPS、UTM等。 网络安全的基本内容 一、网络攻击 1.对网络的攻击大致可以分为两类:服务供给和非服务攻击。从攻击的手段可以分为8类:系统入侵类攻击、缓冲区溢出类攻击、欺骗类攻击、拒绝服务类攻击、防火墙攻击、病毒类攻击、木马类攻击与后门攻击。 2.服务类攻击(Application Dependent Attrack)是指对为网络提供某种服务的服务器发起攻击,造成该服务器的“拒绝服务”,使网络工作不正常。拒绝服务类攻击(Denial-of-Service Attrack)产生的效果表现在消耗带宽、消耗计算资源、使系统和应用崩溃等方面,导致某种服务的合法使用者不能访问他有权限访问的服务。 3.非服务类攻击(Application Independent Attrack)不针对某项具体的应用设备,而是针对网络层等低级协议进行的攻击。此种攻击往往利用协议和操作系统实现协议时的漏洞来达到攻击的目的,是一种更为隐蔽而且危险的攻击手段。 二、信息安全 1.网络中的信息安全主要包括两个方面:信息储存安全和信息传输安全。 2.信息储存安全是指如何保证静态存储在联网计算机中的信息不会被非授权的网络用户非法使用。 3.信息传输安全是指如何保证信息在网络传输过程中不被泄露和不被攻击。 信息传输安全的主要威胁有:截获信息、窃听信息、篡改信息与伪造信息。 保证网络系统中的信息安全的主要技术是数据加密与解密。