网络技术知识交流

网络基础知识技术交流王雷wanglei006@gmail.com南阳金桥科技网络基础知识技术交流1.网络的基本组成单元2.交换机基本原理介绍3.路由器基本原理介绍4.防火墙设备的基本原理介绍主要内容南阳金桥科技网络基础知识技术交流方案优势和特点网络的基本组成单元南阳金桥科技网络基础知识技术交流从网络管理人员角度来理解网络系统二层交换机防火墙INTERNET路由器/三层交换机终端PC以上图为例：传统网络一般有三部分组成。1、二层交换机2、三层交换机/路由器3、防火墙或者网关设备南阳金桥科技网络基础知识技术交流交换机基本原理和配置介绍南阳金桥科技网络基础知识技术交流以太网设备(1)—集线器以太网Ethernet10M同一时间只能有一个设备发送信息•集线器工作在物理层•所有工作站处于同一个物理网段中,即统一冲突域中.•所有工作站处于同一个广播域中.•同一时刻只能有一台工作站发送数据.•所有工作站共享相同的带宽.Hub所有节点共享10M带宽冲突域/广播域南阳金桥科技网络基础知识技术交流以太网交换机每个节点独享10M带宽骨干交换式以太网不同网段的设备可同时发送信息10M•交换机工作在数据链路层。•各个端口有自己单独的带宽，相互之间不在同一物理网段。•同一端口下的所有节点共享同一带宽，处于同一个物理网段内。•同一时刻不同端口下的节点允许同时发送数据。以太网设备(2)—交换机南阳金桥科技网络基础知识技术交流0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444Port1Port12Port1:0260.8c01.1111Port2:0260.8c01.2222Port3:0260.8c01.3333Port12:0260.8c01.4444交换机工作原理：学习南阳金桥科技网络基础知识技术交流0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444Port1Port12Port1:0260.8c01.1111Port2:0260.8c01.2222Port3:0260.8c01.3333Port12:0260.8c01.4444•交换机根据目标地址和MAC地址表决定向哪个端口转发数据。•目标地址不在地址表中的数据帧将向所有端口转发。•广播数据包向所有端口转发。交换机工作原理：转发南阳金桥科技网络基础知识技术交流0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444Port1Port12Port1:0260.8c01.1111Port1:0260.8c01.2222Port3:0260.8c01.3333Port12:0260.8c01.4444X源地址和目标地址在同一端口下的数据帧将被过滤，不向任何端口转发转发。交换机工作原理：过滤南阳金桥科技网络基础知识技术交流数据链路层的简单模型局域网广域网主机H1主机H2路由器R1路由器R2路由器R3电话网局域网主机H1向H2发送数据链路层应用层运输层网络层物理层链路层应用层运输层网络层物理层链路层网络层物理层链路层网络层物理层链路层网络层物理层R1R2R3H1H2从层次上来看数据的流动南阳金桥科技网络基础知识技术交流局域网广域网主机H1主机H2路由器R1路由器R2路由器R3电话网局域网主机H1向H2发送数据链路层应用层运输层网络层物理层链路层应用层运输层网络层物理层链路层网络层物理层链路层网络层物理层链路层网络层物理层R1R2R3H1H2仅从数据链路层观察帧的流动数据链路层的简单模型南阳金桥科技网络基础知识技术交流MAC帧物理层IP层以太网V2MAC帧目的地址源地址类型数据FCS6624字节46~1500IP数据报以太网V2的MAC帧格式目的地址字段6字节南阳金桥科技网络基础知识技术交流MAC帧物理层IP层以太网V2MAC帧目的地址源地址类型数据FCS6624字节46~1500IP数据报1010101010101010101010101010101011前同步码帧开始定界符7字节1字节…8字节插入在帧的前面插入的8字节中的第一个字段共7个字节，是前同步码，用来迅速实现MAC帧的比特同步。第二个字段是帧开始定界符，表示后面的信息就是MAC帧。为了达到比特同步，在传输媒体上实际传送的要比MAC帧还多8个字节以太网V2的MAC帧格式南阳金桥科技网络基础知识技术交流•目前使用得最多的网桥是透明网桥(transparentbridge)。•“透明”是指局域网上的站点并不知道所发送的帧将经过哪几个网桥，因为网桥对各站来说是看不见的。•透明网桥是一种即插即用设备，其标准是IEEE802.1D。透明网桥南阳金桥科技网络基础知识技术交流•以太网交换机的每个端口都直接与主机相连，并且一般都工作在全双工方式。•交换机能同时连通许多对的端口，使每一对相互通信的主机都能像独占通信媒体那样，进行无碰撞地传输数据。•以太网交换机由于使用了专用的交换结构芯片，其交换速率就较高。以太网交换机的特点南阳金桥科技网络基础知识技术交流交换机技术•VLAN技术•STP技术•TRUNK技术•端口聚合技术•多层交换技术南阳金桥科技网络基础知识技术交流路由器基本原理介绍南阳金桥科技网络基础知识技术交流什么是路由？R3ABCR1R2R4DEFR5R5FR3ER3DNextHopDestination南阳金桥科技网络基础知识技术交流R3ABCR1R2R4DEFR5R5FR3ER3DNextHopDestination163241DataOptions(ifany)DestinationAddressSourceAddressHeaderChecksumProtocolTTLFragmentOffsetFlagsFragmentIDTotalPacketLengthT.ServiceHLenVer20bytes什么是路由？南阳金桥科技网络基础知识技术交流ABCR1R2R3R4DEFR5什么是路由？南阳金桥科技网络基础知识技术交流•在任何网络中，都有路由的概念，从公路网、铁路网到我们平时拨打电话用的的传统电信网络。一条路由就是从源地址到目的地址的一条通路。在电话网络中，电话号码是按照地域分级的，所以可以根据电话号码，从大到小，逐级查找，最终找到到达目的地的通路，而IP网络与此不同，IP网络的开放性、自由性以及IP地址的分配方式等决定了我们无法根据IP地址象传统电信网络一样建立和查找路由。路由南阳金桥科技网络基础知识技术交流•路由器工作在网络层•主要功能是接收来自各个网络入口的分组，并把分组从其相应的出口转发出去–通过查找选路表找到分组相应的出口–将分组从入口送到出口，这取决于路由器的体系结构•路由器使用各种路由协议，提供网间数据的路由选择，并对网络的资源进行动态控制•性能指标主要包括–吞吐量、转发速度、时延、所支持的路由协议、网络接口类型、传输协议和网管功能等路由器南阳金桥科技网络基础知识技术交流•路径决断(pathdetermination):是路由器“学习”在网络拓扑中的到达不同可能的目的地的各种路径的过程，通过一些选路准则挑出其中最好的路径，并将该路径的信息记录到其路由表中。•将数据包交换到相应的网络接口卡：一旦路由表建立，路由器便可通过其输入接口接受数据包，确定其目的地址，然后根据路由表中的信息，将该数据包转送到相应路由器的输出接口。路由器的功能南阳金桥科技网络基础知识技术交流•网络层协议（ARP协议，ip协议，ICMP协议，IGMP协议等）•IP地址和子网掩码•路由选择协议（静态路由，RIP，OSPF，BGP等协议）路由器的主要技术南阳金桥科技网络基础知识技术交流防火墙的基本原理介绍南阳金桥科技网络基础知识技术交流防火墙基本概念防火墙是由管理员为保护自己的网络免遭外界非授权访问但又允许与因特网联接而发展起来的。从网际角度，防火墙可以看成是安装在两个网络之间的一道栅栏，根据安全计划和安全策略中的定义来保护其后面的网络。由软件和硬件组成的防火墙应该具有以下功能。（1）所有进出网络的通信流都应该通过防火墙。（2）所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权。（3）理论上说，防火墙是穿不透的。南阳金桥科技网络基础知识技术交流•数据包过滤防火墙通常是一个具备包过滤功能的简单路由器，支持因特网安全。这是使因特网联接更加安全的一种简单方法，因为包过滤是路由器的固有属性。包是网络上信息流动的单位。在网上传输的文件一般在发出端被划分成一串数据包，经过网上的中间站点，最终传到目的地，然后这些包中的数据又重新组成原来的文件。每个包有两个部分：数据部分和包头。包头中含有源地址和目标地址等信息。包过滤一直是一种简单而有效的方法。通过拦截数据包，读出并拒绝那些不符合标准的包头，过滤掉不应入站的信息。包过滤防火墙南阳金桥科技网络基础知识技术交流每个数据包都包含有特定信息的一组报头，其主要信息是：（1）IP协议类型（TCP、UDP，ICMP等）；（2）IP源地址；（3）IP目标地址；（4）IP选择域的内容；（5）TCP或UDP源端口号；（6）TCP或UDP目标端口号；（7）ICMP消息类型。路由器也会得到一些在数据包头部信息中没有的关于数据包的其他信息，如数据包到达的网络接口和出去的网络接口。包过滤防火墙南阳金桥科技网络基础知识技术交流过滤路由器严格地检查数据包，除了决定它是否转发数据包到目的地之外，还决定它是否应该发送。应该或者不应该由站点的安全策略决定。过滤路由器放置在内部网络与因特网之间，作用为：（l）过滤路由器将担负更大的责任，它不但需要执行转发及确定转发的任务，而且它是唯一的保护系统；（2）如果安全保护失败(或在侵袭下失败)，内部的网络将被暴露；（3）简单的过滤路由器不能修改任务；（4）过滤路由器能容许或否认服务，但它不能保护在一个服务之内的单独操作。包过滤防火墙南阳金桥科技网络基础知识技术交流•包过滤是一种保安机制，它控制哪些数据包可以进出网络而哪些数据包应被网络拒绝。我们在这儿首先简单介绍一些高层IP（因特网协议）网络的概念。•包过滤是如何工作的包过滤技术可以允许或不允许某些包在网络上传递，它依据以下的判据：（1）将包的目的地址作为判据；（2）将包的源地址作为判据；（3）将包的传送协议作为判据。包过滤系统只能让我们进行类似以下情况的操作：（1）不让任何用户从外部网用Telnet登录；（2）允许任何用户使用SMTP往内部网发电子邮件；（3）只允许某台机器通过NNTP往内部网发新闻。包过滤南阳金桥科技网络基础知识技术交流谢谢！