交換機、路由器、防火墻幾乎是現(xiàn)代局域網(wǎng)絡都要使用的網(wǎng)絡設備，其中，交換機負責連接網(wǎng)絡設備（如交換機、路由器、防火墻、無線AP等）和終端設備（如計算機、服務器、攝像頭、網(wǎng)絡打印機等）；路由器實現(xiàn)局域網(wǎng)與局域網(wǎng)的互聯(lián)，局域網(wǎng)與Internet的互聯(lián)；而防火墻作為一個安全網(wǎng)絡設備，作用于內部網(wǎng)絡與內部網(wǎng)絡之間，或者內部網(wǎng)絡與Internet之間?？偟膩碚f，交換機負責連接設備，路由器負責連接網(wǎng)絡，防火墻負責網(wǎng)絡訪問限制。

交換機連接圖：
 

交換機連接方式圖

路由器連接圖：

路由器第一種連接方式圖

路由器第二種連接方式圖

 
防火墻連接圖：
第一種連接方式

防火墻第一種連接方式圖

防火墻第二種連接方式圖

 
      下面通過分別對交換機、路由器、防火墻的圖文描述，讓大家對這三個網(wǎng)絡設備有進一步的了解。

一.交換機概述

      1.交換機的功能

      交換機的功能是連接計算機、服務器、網(wǎng)絡打印機、網(wǎng)絡攝像頭、IP電話等終端設備，并實現(xiàn)與其它交換機、無線接入點、路由器、網(wǎng)絡防火墻等網(wǎng)絡設備的互聯(lián)，從而構建局域網(wǎng)絡，實現(xiàn)所有設備之間的通信。
 

交換機連接功能圖

2.交換機的工作原理

      交換機位于OSI參考模型中的第二層（數(shù)據(jù)鏈路層），交換機的工作依賴于對MAC地址的識別（所有的網(wǎng)絡設備都有一個唯一的MAC地址，通常是由廠商直接燒錄進網(wǎng)卡中）。

      當交換機從其某個端口收到一個數(shù)據(jù)包時，先讀取包頭中的源MAC地址（即發(fā)送該數(shù)據(jù)包的設備網(wǎng)卡的MAC地址），將該MAC地址和端口對應起來添加到交換機內存里的地址表中；然后再讀取包頭中的目的MAC地址，對照內存里的地址表看該MAC地址與哪個端口對應，如果地址表中有該MAC地址的對應端口，則將該數(shù)據(jù)包直接復制到對應的端口上，如果沒有找到，則將該數(shù)據(jù)幀作為一個廣播幀發(fā)送到所有的端口，對應的MAC地址設備會自動接受該幀數(shù)據(jù)，同時，交換機將接受該幀數(shù)據(jù)的端口與這個目的MAC地址對應起來放入內存中的地址表中。

二.路由器概述：

路由器的功能

      路由器是一種智能選擇數(shù)據(jù)傳輸路徑的網(wǎng)絡設備，其依賴的是數(shù)據(jù)中的IP地址，功能如下：

1.連接網(wǎng)絡

      路由器也稱為網(wǎng)關，它將局域網(wǎng)絡連接起來組成規(guī)模更大的廣域網(wǎng)絡，在連接異構網(wǎng)絡時（異構網(wǎng)絡就是指不同的網(wǎng)絡類型，如ATM網(wǎng)絡，F(xiàn)DDI網(wǎng)絡，以太網(wǎng)絡等），由于異構網(wǎng)絡采用不同的數(shù)據(jù)封裝方式，無法直接通信，而路由器能夠將這些不同的封裝數(shù)據(jù)進行“翻譯”，從而實現(xiàn)異構網(wǎng)絡的通信。此外，對于局域網(wǎng)而言，廣域網(wǎng)無疑是一個異構網(wǎng)絡。
 

異構網(wǎng)絡連接圖

2.隔離廣播

      由于交換機會將廣播發(fā)送到整個網(wǎng)絡中的每個端口，這會嚴重影響網(wǎng)絡的傳輸效率，并且會大量占用計算機的CPU性能。路由器可以將這些廣播隔離在局域網(wǎng)內，以達到分隔廣播域的作用，從而提高每個局域網(wǎng)的傳輸效率。
 

路由器分隔廣播域圖

      如上圖所示，路由器將廣播域分成四個部分，每個交換機連接一個小的局域網(wǎng)，四個小型局域網(wǎng)分別使用各自的廣播域廣播。另外，使用VLAN(虛擬網(wǎng))技術也能實現(xiàn)分隔廣播域的作用。

3.路由選擇

      在路由器內存中的路由表中列出了整個互聯(lián)網(wǎng)絡的各個節(jié)點，以及這些節(jié)點的路徑和傳輸費用（路由表會根據(jù)網(wǎng)絡的實際情況不斷的動態(tài)更新它的路由表，從而保持有效的路由表），路由器會按照預先制定的策略，智能的選擇到達目的路由器的路徑。

路由選擇圖

      如上路，如果不考慮傳輸費用的情況，路由器1到路由器4的傳輸，它會自動選擇1-4的路徑，而不是1-2-3-4的路徑。

4.網(wǎng)絡安全

      作為整個局域網(wǎng)絡與外界聯(lián)絡的唯一出口，路由器還擔負著保護內部用戶和數(shù)據(jù)的責任。

      地址裝換：局域網(wǎng)內的終端設備使用的是內部保留IP地址（一般情況這些IP地址的IP段有：192.168.0.0–192.168.255.255,10.0.0.0–10.255.255.255,172.16.0.0–172.16.255.255等），這些IP地址并不會被路由到Internet，當內部終端設備需要和外部網(wǎng)絡通信時，路由器會將地址轉換為合法的IP地址，實現(xiàn)對Internet的訪問。

      訪問列表：網(wǎng)絡工程師可以預先在路由器上設定各種訪問策略，規(guī)定哪段時間，什么網(wǎng)絡協(xié)議和哪種網(wǎng)絡服務可以被允許進出局域網(wǎng)，從而提高了網(wǎng)絡的傳輸效率和安全性。

路由器的工作原理

      當同一網(wǎng)絡中的計算機需要向同一網(wǎng)絡中的另一臺計算機發(fā)送數(shù)據(jù)時，只需將這一數(shù)據(jù)發(fā)送到這個網(wǎng)絡，另一臺計算機就能收到；當需要向其它網(wǎng)絡的計算機發(fā)送數(shù)據(jù)時，將直接把數(shù)據(jù)發(fā)送到默認網(wǎng)關（即路由器的IP地址），由默認網(wǎng)關將數(shù)據(jù)通過最佳傳輸路徑轉發(fā)至目的計算機的默認網(wǎng)關，再由目的計算機的默認網(wǎng)關將數(shù)據(jù)發(fā)送給目的計算機。
 

默認網(wǎng)關圖

      路由器在發(fā)送數(shù)據(jù)包的時候會根據(jù)數(shù)據(jù)包中的目的IP地址查找路由表，如果路由表中有該IP的信息，路由器會選擇最佳傳輸路徑發(fā)送。如果路由表中沒有該IP，路由器則會將數(shù)據(jù)傳輸?shù)铰酚善鞯哪J網(wǎng)關（路由器的默認網(wǎng)關為網(wǎng)絡中的另一個路由器的IP），通過路由器的默認網(wǎng)關路由器將數(shù)據(jù)傳輸出去，如果始終無法找到目的IP終端，則該數(shù)據(jù)包會被網(wǎng)絡丟棄。

路由器工作原理圖

 
 
三.防火墻概述

      防火墻又稱網(wǎng)絡防火墻，是指設置在計算機網(wǎng)絡之間的一道隔離裝置，它可以隔離兩個或者多個網(wǎng)絡，限制網(wǎng)絡互訪，從而保護內部網(wǎng)絡用戶和數(shù)據(jù)的安全。

網(wǎng)絡防火墻的功能

1.隔離網(wǎng)絡

      網(wǎng)絡防火墻通常位于路由器與內部網(wǎng)絡（即局域網(wǎng)）之間，對所有進出局域網(wǎng)的數(shù)據(jù)進行過濾和篩選，從而避免了來自外部網(wǎng)絡的網(wǎng)絡攻擊，保護了內部網(wǎng)絡。
 

防火墻隔離內部和外部網(wǎng)絡圖

同時，網(wǎng)絡防火墻還可以隔離內部網(wǎng)絡，將內部網(wǎng)絡中的一些重要部門和普通用戶隔離起來，從而避免來自網(wǎng)絡內部的惡意攻擊。

防火墻隔離內部重要網(wǎng)絡

2.保障安全

      網(wǎng)絡防火墻能將所有的安全軟件（如密碼、加密、身份證、審計等）設置在防火墻上，進行集中有效的管理。

      內部網(wǎng)絡和外部網(wǎng)絡的所有數(shù)據(jù)流都要進過防火墻，防火墻通過查看這些數(shù)據(jù)流的IP地址和端口判定數(shù)據(jù)流是否符合防火墻預先設定的安全策略，如果符合，讓其通過；如果不符，則禁止通過。

      網(wǎng)絡防火墻可以將MAC地址與IP地址綁定起來，防止受控的網(wǎng)絡內部用戶通過修改IP地址來訪問外網(wǎng)。

網(wǎng)絡防火墻的工作原理

      防火墻的種類大致可以分為兩種，一種是包過濾型防火墻，一種是應用代理防火墻。

1.包過濾防火墻

      包過濾防火墻工作于OSI參考模型的第四層（即網(wǎng)絡傳輸層），通過檢查每個數(shù)據(jù)包的IP地址，所采用的通信協(xié)議和端口號等判斷是否允許放行。防火墻通過將數(shù)據(jù)包的內部狀態(tài)信息和自己內存中設定的安全策略進行對照，如果該數(shù)據(jù)包符合安全策略中的某一條策略，那么允許數(shù)據(jù)通過；如果不符合任何安全策略，那么防火墻會執(zhí)行默認的處理規(guī)則（一般情況下，默認的處理規(guī)則就是丟棄該數(shù)據(jù)包）。

2.應用代理防火墻

      應用代理防火墻工作于OSI參考模型的第七層（即應用層），當客戶機需要使用服務器上的數(shù)據(jù)時，首先將數(shù)據(jù)請求發(fā)送給代理服務器，由代理服務器根據(jù)這一請求向服務器請求數(shù)據(jù)。然后再由代理服務器將返回的數(shù)據(jù)轉給客戶機。由于外部系統(tǒng)與內部服務器之間沒有直接的數(shù)據(jù)通道，外部的攻擊就難以進入到內部網(wǎng)絡。