精华内容
下载资源
问答
  • 网络设备阐释

    千次阅读 2019-04-03 18:28:41
    单从概念上说,很多时候这些网络设备并无太严格的界限,都具有网络通信、中转功能 ,而且现代技术工艺的发展,这些设备很多已开始趋于相似。但是由于网络流量、设备数量等巨大差异,其角色的充当却并不是每种设备都...

    目录

    一、网络分层体系   

    二、网络设备迭代演进

    附件一:各种网络协议一览表

    附件二:网络设备路由器配置


    一、网络分层体系   

         中继器、集线器、网桥、交换机、路由器和网关常常出现在计算机网络体系各个角落中,有时候容易混淆 。单从概念上说,很多时候这些网络设备并无太严格的界限,都具有网络通信和信号中转功能 ,而且现代技术工艺的发展,这些设备很多已开始趋于相似。但是由于网络流量、设备数量等巨大差异,其角色的充当却并不是每种设备都能胜任。 在概念逻辑上 ,常常以它们所处的网络层次来进行划分,而深层次的划分,则需要从设备是否有MAC/IP、不同协议的兼容性 、通信数量、学习记忆、汇聚和其充当的角色大小等功能上划分。(严格意义上说,计算机终端的网卡也算作是网络设备,只是已经集成到计算机中,因此未列在其中)

          按照分层思想,ISO9001把网络分为7个层次,由下至上分别是:物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。相对应的 ,各网络设备安置位置如下图所示。

    https://img-blog.csdn.net/20160430230505309

    注:本图未使用7层参考模型,而是以计算机网络实际使用的5层参考模型作为对应。

           一般来说,高层设备具有兼并低层设备的功能,我们保留计算机网络分层体系的各种设定:

    1、从传输对象上看,应用层为报文数据(文件),传输层为报文段,网络层为数据包,链路层为帧,物理层为比特,信号由下往上不断抽象加强,使得传输的信号更加接近于自然语言的数据;每一层的传输对象带有特定的标识,相邻层的传输对象转换存在着封包和解包过程。

    2、从传输功能上看,应用层支持用户代理(如浏览器)和网络接口使用网络(服务),使用应用程序传输数据;传输层支持报文段的分段与重组、流量与差错控制,使用端口传输数据;网络层支持数据包的转发、网络路径选择、拥塞控制和网际互连,使用IP地址(逻辑地址)传输数据;链路层支持帧数据的物理地址寻址、数据的成帧、流量控制和数据的检错、重发等,支持IP地址和mac地址(物理地址)的转换;物理层规定了激活、维持、关闭通信端点之间的机械特性、电气特性、功能特性以及过程特性,为上层协议提供了一个传输数据的物理媒体,物理端点(终端或者网络设备)使用物理地址转发信号,物理线路使用弱电或者电磁波传输信号(这里特指通信信号)。

    3、从传输协议上看,应用层比传输层多了应用层的协议(如:TELNET,HTTP,FTP,SMTP,DNS等),传输层比网络层多了传输层协议(如:TCP、UDP、DCCP、SCTP、SCTP等),网络层比数据链路层多了网络层协议(如:IP、RIP等), 数据链路层比物理层多了链路层协议(如:ARP/ARP,CSMA/CD,HDLC,ATM等),物理层规定各种网络信号收发设备的尺寸、大小、接口标准(如:IEEE802.3, ADSL,SDH,GPRS,5G)  等。

    4、从网络组网的需求和规模看,简单的端点对端点互联需要中继器、集线器;多端点互联需要集线器、交换机;局域网组网需要交换机;局域网跨网组网需要网桥,大规模的局域网跨网互联需要路由器,不同体系的局域网互联需要网关。

           

           但是,各个网络设备都能实现信号的传输和转发,大都具有唯一物理地址(mac),上层设备完全可以当作下层设备来使用。所以各设备的强弱排序是网关-路由器-交换机-网桥-集线器-中继器(网桥具备跨网功能,这里的交换机指局域网交换机),制作工艺也是由高到低。就这一特性,现在的网络设备越来越便宜,一般的小型网络或者家庭网络中,路由器\交换机已经取代了集线器或者中继器这类设备,甚至于单个的计算机中,比如一台计算机配置了两个或者两个以上的网卡,我们完全可以将这些网卡做一个负载均衡,而原来的网卡则相当于一个接收分发的终端,负载均衡的虚拟设备也可以算作为路由或者交换机.在逻辑或者应用层面,网关提供了不同协议层交换数据的通道。

          物理层:中继器(Repeater)和集线器(Hub)。用于连接物理特性相同的网段,这些网段,只是位置不同而已。Hub 的端口没有物理和逻辑地址。中继器和集线器具备计算机端点与端点之间连接功能,能够对信号进行调节和放大,减少信号损失。 

          链路层:网桥(Bridge)和交换机(Switch)。用于连接同一逻辑网络中、物理层规范不同的网段,这些网段的拓扑结构和其上的数据帧格式,都可以不同,具备mac地址学习记忆功能。

           网络层:路由器(Router)。用于连接不同的逻辑网络,Router的每一个端口都有唯一的物理地址和逻辑地址,具备网络路径寻址、查找和转发功能。

          应用层:网关(Gateway)。用于互连网络上,使用不同协议的应用程序之间的数据通信。

    二、网络设备迭代演进

          中继器

         中继器(Repeater)是连接网络线路的一种装置,常用于两个网络节点之间物理信号的双向转发工作。中继器是最简单的网络互联设备,主要完成物理层的功能,负责在两个节点的物理层上按位传递信息,完成信号的复制、调整和放大功能,以此来延长网络的长度。它在OSI参考模型中的位置物理层。

    https://ss1.bdstatic.com/70cFvXSh_Q1YnxGkpoWK1HF6hhy/it/u=1558426627,1535107986&fm=26&gp=0.jpg

           由于存在损耗, 在线路上传输的信号功率会逐渐衰减,衰减到一定程度时将造成信号失真,因此会导致接收错误。中继器就是为解决这一问题而设计的。它完成物理线路的连接,对衰减的信号进行放大,保持与原数据相同。

    中继器是模拟设备,用于连接两根电缆段。中继器不理解帧、分组和头的概念,他们只理解电压值。

            集线器

           集线器(HUB),它的作用可以简单理解为将一些机器连接起来组成一个局域网。差不多就是个多端口的中继器,把每个输入端口的信号放大再发到别的端口去,集线器可以实现多台计算机之间的互联,因为它有很多的端口,每个口都能连计算机。

           集线器不具有类似于网桥、交换机的"智能记忆"能力和"学习"能力。它也不具备交换机所具有的MAC地址表,所以它发送数据时都是没有针对性的,而是采用广播方式发送。也就是说当它要向某节点发送数据时,不是直接把数据发送到目的节点,而是把数据包发送到与集线器相连的所有节点。

    https://ss0.bdstatic.com/70cFuHSh_Q1YnxGkpoWK1HF6hhy/it/u=1827541280,454415216&fm=26&gp=0.jpg

           网桥

           网桥(Bridge)是一个局域网与另一个局域网之间建立连接的桥梁。网桥是属于数据链路层的一种设备,它的作用是扩展网络和通信手段,在各种传输介质中转发数据信号,扩展网络的距离,同时又有选择地将现有地址的信号从一个传输介质发送到另一个传输介质,并能有效地限制两个介质系统中无关紧要的通信。

           网桥工作在数据链路层,将两个LAN(局域网)连起来,根据MAC地址来转发帧,可以看作一个“低层的路由器”(路由器工作在网络层,根据网络地址如IP地址进行转发)

    https://img-blog.csdn.net/20181013140105889?watermark/2/text/aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xpYW5ndGlhbm1lbmc=/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70

            上图是用一个网桥连接的两个网络,网桥的A端口连接A子网,B端口连接B子网,为什么网桥知道哪些数据包该转发,哪些包不该转发呢?那是因为它有两个表A和B,当有数据包进入端口A时,网桥从数据包中提取出源MAC地址和目的MAC地址。

            一开始的时候,表A和表B都是空的,没有一条记录,这时,网桥会把数据包转发给B网络,并且在表A中增加一条MAC地址(把源MAC地址记录表中),说明这个MAC地址的机器是A子网的,同理,当B子网发送数据包到B端口时,网桥也会记录源MAC地址到B表。

            当网桥工作一段时候后,表A基本上记录了A子网所有的机器的MAC地址,表B同理,当再有一个数据包从A子网发送给网桥时,网桥会先看看数据包的目的MAC地址是属于A子网还是B子网的,如果从A表中找到对应则,抛弃该包(因为该包在HUB中已经被转发),如果不是,则转发给B子网,然后检查源MAC地址,是否在表中已经存在,如果不存在,在表A中增加一条记录。

            交换机

           网桥只有两个端口。随着网络设备的发展,逐渐产生了多个端口的“网桥”,但是由于网桥是数据链路层的广播通信,A和G通信的时候,B和F就没法通信——一个桥上多个通信将产生冲突。为了能够实现多对多的通信,于是产生了交换机。

            交换机(Switch)可以说同时是集线器和网桥的升级换代产品,因为交换机具有集线器一样的集中连接功能,同时它又具有网桥的数据交换功能。所以可以这样说,交换机是带有交换功能的集线器,或者说交换机是多端口的网桥。外形上,集线器与交换机产品没什么太大区别。

    https://ss3.bdstatic.com/70cFv8Sh_Q1YnxGkpoWK1HF6hhy/it/u=1469361474,3496431505&fm=26&gp=0.jpg

             交换机工作于OSI参考模型的第二层,即数据链路层。交换机拥有一条很高带宽的背部总线和内部交换矩阵。交换机的所有的端口都挂接在这条背部总线上,控制电路收到数据包以后,处理端口会查找内存中的地址对照表以确定目的MAC(网卡的硬件地址)的NIC(网卡)挂接在哪个端口上,通过内部交换矩阵迅速将数据包传送到目的端口,目的MAC若不存在,广播到所有的端口,接收端口回应后交换机会“学习”新的MAC地址,并把它添加入内部MAC地址表中。使用交换机也可以把网络“分段”,通过对照IP地址表,交换机只允许必要的网络流量通过交换机。通过交换机的过滤和转发,可以有效的减少冲突域,但它不能划分网络层广播,即广播域。

             从广义上来看,交换机分为两种:广域网交换机和局域网交换机。广域网交换机主要应用于电信领域,提供通信用的基础平台。而局域网交换机则应用于局域网络,用于连接终端设备,如PC机及网络打印机等。从传输介质和传输速度上可分为以太网交换机、快速以太网交换机、千兆以太网交换机、FDDI交换机、ATM交换机和令牌环交换机等。从规模应用上又可分为企业级交换机、部门级交换机和工作组交换机等。各厂商划分的尺度并不是完全一致的,一般来讲,企业级交换机都是机架式,部门级交换机可以是机架式(插槽数较少),也可以是固定配置式,而工作组级交换机为固定配置式(功能较为简单)。另一方面,从应用的规模来看,作为骨干交换机时,支持500个信息点以上大型企业应用的交换机为企业级交换机,支持300个信息点以下中型企业的交换机为部门级交换机,而支持100个信息点以内的交换机为工作组级交换机。本文所介绍的交换机指的是局域网交换机。

            路由器

           路由器(Router),是连接因特网中各局域网、广域网的设备,它会根据信道的情况自动选择和设定路由,以最佳路径,按前后顺序发送信号。 路由器是互联网络的枢纽,"交通警察"。目前路由器已经广泛应用于各行各业,各种不同档次的产品已成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互联互通业务的主力军。路由和交换机之间的主要区别就是交换机发生在OSI参考模型第二层(数据链路层),而路由发生在第三层,即网络层。这一区别决定了路由和交换机在移动信息的过程中需使用不同的控制信息,所以说两者实现各自功能的方式是不同的。

           路由器(Router)又称网关设备(Gateway)是用于连接多个逻辑上分开的网络,所谓逻辑网络是代表一个单独的网络或者一个子网。当数据从一个子网传输到另一个子网时,可通过路由器的路由功能来完成。因此,路由器具有判断网络地址和选择IP路径的功能,它能在多网络互联环境中,建立灵活的连接,可用完全不同的数据分组和介质访问方法连接各种子网,路由器只接受源站或其他路由器的信息,属网络层的一种互联设备。

             从过滤网络流量的角度来看,路由器的作用与交换机和网桥非常相似。但是与工作在网络数据链路层,从物理上划分网段的交换机不同,路由器使用专门的软件协议从逻辑上对整个网络进行划分。例如,一台支持IP协议的路由器可以把网络划分成多个子网段,只有指向特殊IP地址的网络流量才可以通过路由器。对于每一个接收到的数据包,路由器都会重新计算其校验值,并写入新的物理地址。因此,使用路由器转发和过滤数据的速度往往要比只查看数据包物理地址的交换机慢。但是,对于那些结构复杂的网络,使用路由器可以提高网络的整体效率。路由器的另外一个明显优势就是可以自动过滤网络广播。总体上说,在网络中添加路由器的整个安装过程要比即插即用的交换机复杂很多。

           网关

           网关(Gateway)又称网间连接器、协议转换器。网关在网络层以上实现网络互连,是最复杂的网络互连设备,仅用于两个高层协议不同的网络互连。网关既可以用于广域网互连,也可以用于局域网互连。 网关是一种充当转换重任的计算机系统或设备。使用在不同的通信协议、数据格式或语言,甚至体系结构完全不同的两种系统之间,网关是一个翻译器。与网桥只是简单地传达信息不同,网关对收到的信息要重新打包,以适应目的系统的需求。同层--应用层。

           网关是互联网工作在OSI传输层上的设施。提供传输层到应用层全方位的服务,一般提供集中协议的服务。网关可以对数据重新分组,以便能在两个不同网络间进行通信。如NetWare与UNIX操作系统互操作,sNA(IBM)与TCP/IP(Internet)互连等就需要网关转换。

           常见的网关类型有局域网网关和Internet网关。局域网网关提供局域网之间数据传送的通道。如AppleTalk与TCP/IP或IPX与TCP/IP等协议转换的网关;Internet网关将非TCP/IP协议转换为TCP/IP协议式等。各种网络互联设备与OSI的对应关系如图所示。

           网关用于类型不同且差别较大的网络系统间的互连,或用于不同体系结构的网络或者局域网与主机系统的连接。在互连设备中,它最为复杂,一般只能进行一对一的转换,或是少数几种特定应用协议的转换。它的概念模型如图(a)概念模型所示。

     

     

            图(b)给出了网关的工作原理示意图。如果一个NetWare节点要与TCP/IP的主机通信,因为NetWare和TCP/IP协议是不同的,所以局域网中的NetWare节点不能直接访问。它们之间的通信必须由网关来完成。网关的作用是为NetWare产生的报文加上必要的控制信息,将它转换成TCP/IP主机支持的报文格式。当需要反方向通信时,网关同样要完成TCP/IP报文格式到NetWare报文格式的转换。

           网关按其功能可以分为三种类型:协议网关、应用网关和安全网关。

           ①协议网关

    协议网关通常在使用不同协议的网络间做协议转换工作,这是网关最常见的功能。协议转换必须在数据链路层以上的所有协议层都运行,而且要对节点上使用这些协议层的进程透明。协议转换必须考虑两个协议之间特定的相似性和差异性,所以协议网关的功能十分复杂。

          ②应用网关

           应用网关是在应用层连接两部分应用程序的网关,是在不同数据格式间翻译数据的系统。这类网关一般只适合于某种特定的应用系统的协议转换。

           ③安全网关

           安全网关就是防火墙。与网桥一样,网关可以是本地的,也可以是远程的。另外,一个网关还可以由两个半网关构成。目前,网关已成为网络上每个用户都能访问大型主机的通用工具。

           网关功能 

          ①具有协议转换能力。

          ②具有流量控制和拥塞控制的能力。

         ③具有在各网络之间可靠传送信息的能力。

         ④具有路由选择功能。

         ⑤具有将分组分段和组装的能力。

          网关用途 

          ①异构型局域网互联。

          ②局域网与WAN互联。

          ③WAN与WAN互联。

    有时候,我们会比较困惑于家庭中使用的路由器,一会被说成是交换机、一会又被说成是光猫,按照功能上说它不能简单地被定义为路由器(或者说光猫),因为光纤进入家庭用户的路由器集成了调制解调器--猫(计算机术语里面的中英文谐音是非常头痛的一件事情)、交换机、路由器、无线wiff等多种功能,而工作时的路由器也常常被说成是交换机,从以上网络设备的形成和功能上看,路由器是交换机的升级产品,即便是网关也可以说成是交换机,即所谓的三层交换机、四层交换机。。。。。。技术工艺的进步,也意味着各种不同需求被不断得到满足。

    附件一:各种网络协议一览表

    附件二:网络设备路由器配置

    网络设备和链路属于网络核心,是网络的主节点和骨干,服务器和客户机位于网络边缘。其中  较为核心网络设备为路由器,路由器制造比较出名的厂商有:思科、华为、H3C。国内华为设备用得比较多,分为AR系列,NE系列,S系列、CE系列:

    AR系列路由器:AR系列是华为推出的新一代网络产品,主要面向企业及分支机构。AR系列集成路由、交换、3G、语音和安全功能与一身,采用多核CPU和无阻塞交换架构,提高系统性能,以此来满足企业应用多元化的业务需求。其系列产品有A3200、AR2200、AR1200、AR120等。


    NE系列路由器:NE系列路由器是华为推出的面向运营商数据通信网络的高端路由器产品,其产品覆盖骨干网和城域网,也可以应用于大型企业骨干网。它采用分布式的体系结构和先进的快速转发技术,大大提高了数据的处理能力,支持热插拔模块,更易于扩展。其系列产品有NE5000E、NE40E-X3、NE40E-X8、NE40E-X16、NE20E-S4、NE20E-S8、NE20E-S16、ME60-X3、ME60-X8、ME60-X16。


    S系列交换机主要面向企业。其系列产品有:S6700-EI、S5700-SI、S5700-EI、S5700-LI、S5700X-LI、S5700X-LI-24S、S5710-HI、S3700-SI、S3700-EI、S3700-HI、S2700-SI、S2700-EI、S2750-EI、S2751-EI。


    CE系列交换机主要面向数据中心,其性能、功能都比S系列交换机强大,支持数据中心高级特性。其系列产品有:CE12816、CE12812、CE 12808、CE 12804、CE6850-48S4Q-EI、CE6850-48T4Q-EI、CE5850-48T4S2Q-HI、CE5850-48T4S2Q-EI、CE5810-24T4S-EL等。

     

    以下转自https://blog.csdn.net/ZYJY2020/article/details/111681244

    华为网络设备主要配置命令 

    路由器:
    dispaly version 显示系统软件版本及硬件信息
    system-view 切换到系统视图
    quit 返回
    interface +接口 进入接口视图
    ip address +IP +mask 配置IP和子网掩码
    return 返回用户视图
    <Ctrl+Z> 返回用户视图
    sysname R1 修改路由器名称为R1
    clock timezone BJ add 08:00:00 设置所在的时区为北京
    clock datetime 11:23:24 2019-4-9 修改系统日期和时间为2019年4月9日11点23分24秒
    header login information “hello” 设置登录时的标题文本为hello
    header shell information “Welcom” 设置设备登陆成功后的标题文本信息为“Welcome”
    display current-configuration 查看路由器当前配置
    dispaly interface +接口 查看路由器接口的状态信息
    save 保存当前配置
    display ip interface brief 查看接口与IP相关摘要信息
    display ip routing-table 查看路由表

    命令行帮助:
    获取该命令视图下所有的命令及其简单描述
    interface ? 列出interface全部关键字或参数及其简单描述
    rou? 列出以“rou”字符串开头的所有命令及其简单描述

    telnet远程登陆配置:
    user-interface vty 0 4 进入0~4前五个的VTY用户界面进行整体配置

    authentication-mode password 设置验证方式为密码
    user privilege level 3 设置用户登陆级别
    aaa 进入aaa视图
    local-user admin password cipher hello privilege level 3 在aaa视图下设置账号密码 和用户级别
    local-user admin service-type telnet 配置该用户接入类型为aaa
    q 退回到用户视图
    user-interface vty 0 4 进入到VTY用户视图
    authentication-mode aaa 设置验证方式aaa

    配置Stelnet:
    配置SSH server:rsa local-key-pair create 生成本地RSA主机密钥对

    display rsa local-key-pair public 查看本地密钥对中的公钥信息
    user-interface vty 0 4 进入VTY用户视图
    authentication-mode aaa 设置用户验证方式为aaa授权验证方式
    protocol inbound ssh 指定VTY用户只支持ssh
    q 返回到系统视图
    aaa 进入aaa视图
    local-user huawei1 password cipher huawei1 创建用户和设置用户密码
    local-user huawei1 service-type ssh 配置本地用户接入类型为ssh
    q 退回到用户视图
    ssh user huawei1 authentication-type password 新建ssh用户指定ssh用户认证方式为password
    aaa 进入aaa视图
    local-user huawei1 privilege level 3 设置huawei1用户级别为3 级别范围0~15
    stelnet server enable 开启ssh功能
    display ssh user-information huawei1 查看ssh用户配置信息不指定用户默认查看所有用户
    display ssh server status 查看ssh服务器全局配置信息

    配置SSH-client:
    ssh client first-time enable 开启首次认证功能不对ssh服务器的RSA公钥进行有效性验证

    stelnet 10.1.1.2 登陆R2
    sys 进入到R2的系统视图
    display ssh server session 查看ssh服务器端的当前会话连接信息

    配置SFTP Server与Client
    server:aaa 进入aaa视图
    local-user huawei2 password cipher huawei2 设置用户名和密码
    local-user huawei2 service-type ssh 配置本地用户的接入类型为ssh
    local-user huawei2 privilege level 3 设置用户级别为3
    local-user huawei2 ftp-directory flash: 指定FTP用户的可访问目录,如果不配置用户将无法登陆
    ssh user huawei2 authentication-type password 新建ssh用户指定用户认证方式为密码
    sftp server enable 开启sftp服务器功能
    display ssh server status 查看ssh服务器配置信息
    display ssh server session 查看ssh服务器端的当前会话连接信息
    client:sftp 10.1.1.2 登陆S2

    配置通过FTP进行文件操作
    ftp 10.0.2.1 连接远程ftp服务器
    ls 查看FTP服务器文件夹状态
    cd +文件夹名 进入文件夹
    dir 查看详细的文件属性
    get +文件名 下载文件到本地
    put +旧文件名 +新文件名 上传文件到FTP服务器
    配置路由器为ftp Server
    sys 进入系统视图
    aaa 进入aaa视图
    local-user ftp password cipher huawei 设置用户名ftp和密码huawei
    local-user ftp ftp-directory flash: 指定FTP用户的可访问目录,如果不配置用户将无法登陆
    local-user ftp service-type ftp 设置服务类型为ftp
    local-user ftp privilege level 15 设置用户优先级为15

    配置交换机双工模式
    interface +接口 进入到某一接口
    undo negotiation auto 命令关掉自协商功能
    duplex full 指定双工模式为全双工
    speed 10 配置接口速率为10Mbit/s

    arp static 10.1.2.3 5489-9827-0ECD 配置静态arp表
    arp-proxy enable 开启arp代理功能具体到接口

    划分vlan
    vlan 10 划分Vlan10
    vlan batch 30 40 同时创建vlan30和40
    dispaly vlan 查看vlan信息

    int e0/0/1 进入某一个接口
    port link-type access 配置接口类型为access
    port default vlan 10 配置接口加入相应的vlan

    int e0/0/1 进入某一个接口
    port link-type trunk 配置接口类型为trunk
    port trunk allow-pass vlan 10 20 允许vlan 10 20 的数据通过
    port trunk allow-pass vlan all 允许所有vlan通过

    int e0/0/1
    undo port default vlan 恢复接口默认vlan
    port link-type hybrid 修改接口类型为hybrid
    port hybrid untagged vlan 20 命令交换机在该接口转发VLAN 20的帧时,剥离掉相应的VLAN Tag 20,以Untagged的方式发送给PC
    port hybrid pvid vlan 20 设置hybrid接口的默认VLAN ID
    port hybrid tagged vlan 10 20 设置该链路仅接收带有VLAN Tag 10 和 20 的帧

    配置路由器子接口封装VLAN
    interface GigabitEthernet 0/0/1.1 路由器上创建子接口
    dot1q termination vid 10 配置子接口对一层tag报文的终结功能
    arp broadcast enable 开启子接口的arp广播功能

    三层交换机实现VLAN间路由
    vlan batch 10 20 创建VLAN 10 20

    int g0/0/1
    port link-type access 设置接口类型
    port default vlan 10 划分接口g0/0/1到vlan 10
    interface Vlanif 10 创建Vlanif接口设置其对应接口ID为10
    ip address 192.168.1.254 24 设置其Vlanif 接口ip地址

    STP配置和选路规则
    stp enable 在交换机上启用STP
    stp mode stp
    dis stp 查看stp配置
    dis stp brief 查看接口摘要信息
    stp priority 4096 修改交换机优先级为4096
    stp root primary 设置交换机为主根交换机
    stp root secondary 命令配置备份交换机
    display stp interface Ethernet 0/0/2 查看e0/0/2接口的开销值
    int e0/0/2
    stp cost 2000 配置接口e0/0/2的带价值为2000
    stp timer forward-delay 3000 修改STP的Forward Delay时间为3000cs也就是30s
    stp bridge-diameter 3 命令设置网络的直径为3

    stp mode rstp 启用RSTP使用RSTP可以缩短收敛时间

    int e0/0/1
    stp edged-port enable 配置接口e0/0/1为边缘端口不参与生成树的计算

    配置MSTP多实例
    stp region-configuration 进入MST域视图
    region-name huawei 配置MST域名为huawei
    revision-level 1 配置MSTP的修订级别为1
    instance 1 vlan 10 指定VLAN 10映射到MSTI 1
    active region-configuration 激活MST域配置
    display stp region-configuration 查看交换机上当前生效的MST域配置信息

    dis stp instance 0 brief 查看实例0中的生成树状态和统计的摘要信息
    stp instance 2 priority 0 配置交换机成位实例2中的根交换机

    GVRP基础配置
    int G0/0/1
    port link-type trunk 配置接口类型为trunk
    port trunk allow-pass vlan all 允许所有VLAN通过

    int e0/0/1
    port link-type access 配置接口类型为access
    port default vlan 10 将接口e0/0/1划入VLAN 10

    grvp 交换机上开启GVRP功能

    int g0/0/1
    gvrp 在接口g0/0/1开启gGVRP功能

    还需在某个交换机的右侧接口手动配置VLAN实现双向注册GVRP

    配置Eth-Trunk 1聚合链路
    interface Eth-Trunk 1 创建Eth-Trunk 1 接口
    mode manual load-balance 指定为手工负载分担模式

    int g0/0/1 进入接口
    eth-trunk 1 将接口g0/0/1加入到Eth-Trunk 1接口
    display eth-trunk 1 查看Eth-Trunk 1接口状态

    int g0/0/1 进入接口
    undo eth-trunk 删除聚合链路接口下的g0/0/1
    mode lacp-static 将工作模式改为静态LACP
    然后将所有接口加入到聚合链路Eth-trunk 1
    lacp priority 100 修改交换机优先级为一百 (值越低优先级越高)
    interface Eth-Trunk 1
    max active-linknumber 2 设置活动接口的上限阈值
    接下来修改聚合链路中接口g0/0/1和g0/0/2的优先级

    配置浮动静态路由实现路由备份(网络冗余)
    ip route-static 192.168.20.0 24 10.0.12.2 preference 100 设置备份路由并将优先级设置为100
    display ip routing-table protocol static 查看静态路由的路由信息

    RIP路由协议配置
    rip 创建开启协议进程
    network + ip 对指定网段接口使能RIP功能IP地址是与路由器直连的网段
    debugging rip 1 查看RIP定期更新情况
    terminal debugging
    terminal monitor 在屏幕上显示debug信息
    undo debugging rip 1undo debug all 命令关闭debug调试功能
    在上面的配置基础上配置RIP2
    rip 进入子视图模式
    version 2 配置版本
    或者直接配置
    rip 1
    version 2
    network + ip

    rip简单认证
    rip authentication-mode simple huawei 在需要的路由器上配置密码要相同

    配置RIPv2 MD5 密文验证
    rip authentication-mode md5 usual huawei 方式使用MD5密文验证,使用通用报文格式,两端报文格式必须一致
    dis default-parameter rip 查看RIP配置信息

    配置RIPv2自动汇总路由(默认关闭)
    方法1:
    rip 1
    version 2
    summary always
    方法2:
    int + 接口
    undo rip split-horizon 关闭水平分割功能

    配置RIPv2手动汇总
    (需停止RIPv2自动汇总功能)

    int +接口
    rip summary-address 3.3.0.0 255.255.252.0 手动汇总ip+掩码

    配置RIP版本兼容

    rip version 2 broadcast 命令路由器以广播的形式发送RIPv2报文
    rip version 2 multicast 命令路由器以组播的形式发送RIPv2报文

    配置RIP定时器,优先级
    int + 接口
    undo rip output 让路由器停止发送RIP路由更新
    display rip 1 database 检查RIP发布数据库中的所有路由激活
    rip
    timers rip 20 120 60 设置更新报文时间为20s,超时计时器为120s,垃圾收集计时器为60s
    preference 90 修改RIP协议优先级为90

    配置抑制接口
    (只接受RIP更新报文,不发送更新报文)
    rip 1
    silent-interface GigabitEthernet 0/0/0 设置要抑制的接口
    配置RIP单播更新(由于配置了抑制接口,接口无法以广播或者组播的方式发送RIP更新报文)
    rip 1
    peer 172.16.1.100 IP地址为邻居路由器的IP地址
    另一种方法(删除上面的配置)
    undo rip output 禁止这个接口发送RIP报文
    undo rip input 禁止这个接口接收RIP报文

    RIP与不连续子网(解决不连续子网问题)
    方法1给接口配置第二个IP地址,应该取配置网段的子网,适合小型网络
    ip address 10.0.23.2 sub
    方法2使用RIPv2,关闭自动汇总
    rip
    version 2
    undo summary

    undo rip split-horizon 关闭水平分割功能(进入接口)
    rip split-horizon 开启水平分割功能
    rip poison-reverse 开启毒性逆转功能

    增加度量值(进入接口)
    rip metricin 2 增加度量值2端口出去的跳数
    rip metricout 2 增加度量值2端口进来的跳数

    Rip路由引入(需保证被引入的路由条目已经存在于当前设备中)
    rip
    import-route direct 直连路由,一般是本地接口的地址
    rip
    import-route static 静态路由,是引入的你在设备上配置的静态路由。

    OSPF单区域配置
    ospf 1 进入ospf视图1代表进程号
    area 0 创建区域并进入OSPF区域视图,输入要创建的区域ID,骨干区域即区域0
    network +IP +匹配码
    display ospf interface 命令查看OSPF接口通告是否正确、
    display ospf peer 查看OSPF邻居状态
    display ip routing-table protocol ospf 查看OSPF路由表

    配置OSPF区域明文认证
    ospf 1
    area 1
    authentication-mode simple plain huawei plain是口令以明文方式显示
    authentication-mode md5 1 huawei 配置区域密文认证

    配置链路认证
    int g0/0/1
    ospf authentication-mode md5 1 huawei 在一条链路中的两个接口配置要相同

    配置抑制接口
    ospf 1
    silent-interface GigabitEthernet 0/0/1 禁止接口g0/0/1接收和发送ospf报文
    技巧对多个接口配置接口抑制
    ospf 1
    silent-interface all 抑制所有接口
    un
    display ip routing-table 10.0.1.1 查看10.0.1.1所在网段的路由条目

    基于接口修改
    int g0/0/0
    ospf network-type p2mp 修改ospf的网络类型为多到多点
    ospf network-type broadcast 修改ospf的网络类型为广播
    ospf dr-priority 100 修改g0/0/0接口的DR优先级为100
    reset ospf process 重启ospf进程
    ospf cost 1000 修改ospf的开销值为1000
    ospf timer hello 20 修改HELLO计时器为20s
    ospf timer dead 80 修改dead计时器为80s

    ospf 1
    preference 110 修改ospf优先级为110 值越大优先级越低

    路由引入:
    ospf 1
    import-route rip 1 在ospf进程中引入rip
    default-route-advertise always 在ospf进程中引入默认路由

    rip
    import-route ospf 1 在rip进程中引入ospf
    import-route ospf cost 3 ospf 引入rip时配置开销值
    default-route originate 在RIP进程中发布默认路由

    vrrp(虚拟路由器冗余协议)基本配置

    int g0/0/0
    vrrp vrid 1 virtual-ip 172.16.1.254 创建VRRP备份组,备份组号为1,配置虚拟IP为172.16.1.254
    vrrp vrid 1 priority 120 修改优先级为120
    display vrrp 查看vrrp信息
    display vrrp brief
    display vrrp interface g0/0/0 查看VRRP的工作状态

    配置VRRP多备份组
    int g0/0/0
    vrrp vrid 1 virtual-ip 172.16.1.254 创建VRRP备份组,备份组号为1,配置虚拟IP为172.16.1.254
    vrrp vrid 1 priority 120 修改优先级为120
    vrrp vrid 2 virtual-ip 172.16.1.253 创建VRRP备份组,备份组号为2,配置虚拟IP为172.16.1.253

    int g0/0/0
    vrrp vrid 1 virtual-ip 172.16.1.254 创建VRRP备份组,备份组号为1,配置虚拟IP为172.16.1.254
    vrrp vrid 2 virtual-ip 172.16.1.253 创建VRRP备份组,备份组号为2,配置虚拟IP为172.16.1.253
    vrrp vrid 2 priority 120 修改优先级为120

    vrrp vrid 2 preempt-mode disable 开启非抢占方式

    配置VRRP的跟踪接口及认证
    int g0/0/1
    vrrp vrid 1 track interface GigabitEthernet 0/0/0 reduced 50 监视上行接口G0/0/0,当此接口断掉时,裁减优先级50,使优先级为70
    vrrp vrid 1 authentication-mode md5 huawei 认证配置

    配置基本的访问控制表
    acl 2000 创建一个编号型ACL,基本ACL的范围是2000~29999
    rule 5 permit source 1.1.1.1 0 指定规则ID为5,允许数据源地址为1.1.1.1的报文通过,反掩码全为0,即精确匹配
    rule 10 deny source any 指定ID为10,拒绝任意源地址的数据包通过

    display acl all 查看设备上所有的访问控制列表

    配置前缀列表
    ip ip-prefix 1 index 10 deny 11.1.1.0 25 greater-equal 25 less-equal 25 ip-prefix-name:指定地址前缀列表名称,唯一标识一个IPv4地址前缀列表。deny:拒绝。greater-equal:指定掩码长度可以匹配范围的下限(也即最小长度)。less-equal:指定掩码长度匹配范围的上限
    ip ip-prefix 1 index 20 permit 0.0.0.0 0 less-equal 32
    rip
    filter-policy ip-prefix 1 import 将前缀列表配置在过滤策略下

    修改链路类型
    link-protocol hdlc 修改链路类型为高级数据链路控制

    ppp的pap认证
    int Serial 4/0/0
    ppp authentication-mode pap domain huawei 采用pap方式认证,认证采用域名为huawei
    aaa 进入aaa视图
    authentication-scheme huawei_1 创建认证方案为huawei_1
    authentication-mode local 配置认证模式为本地认证
    domain huaweiyu 创建域huaweiyu并进入视图
    authentication-scheme huawei_1 配置域的认证方案为huawei_1
    q 退回到aaa视图
    local-user R1@huaweiyu password cipher Huawei 配置存储在本地,为对端认证方所使用的用户名为R1@huaweiyu,密码为Huawei
    local-user R1@huaweiyu service-type ppp

    ppp的PAP认证配置
    int Serial 4/0/0
    undo ppp authentication-mode 删除以前的pap配置
    去到另一端
    undo ppp pap local-user 删除ppp本地用户
    回到配置路由器
    int Serial 4/0/0
    authentication-mode CHAP 配置ppp认证模式为CHAP
    aaa 进入aaa视图
    loacal-user R1 password cipher huawei 用户设置为R1,密码设置为huawei
    loacal-user R1 service-type ppp 设置服务类型为ppp
    去到另外一端配置用户名和密码
    int Serial 4/0/0
    ppp chap user R1
    ppp chap password cipher huawei

    帧中继配置
    int Serial 1/0/0
    link-protocol fr 修改链路协议
    fr inarp 开启逆向地址解析功能
    fr map 10.1.1.1 201 配置一条静态地址映射
    dis fr pvc-info 查看PVC的建立情况

    配置基于接口地址池DHCP
    (动态主机配置协议)
    [R1]dhcp enable 路由器上开启DHCP
    [R1]int g0/0/0
    [R1-GigabitEthernet0/0/0]dhcp select interface 开启接口DHCP功能
    [R1-GigabitEthernet0/0/0]int g0/0/1
    [R1-GigabitEthernet0/0/1]dhcp select interface
    [R1-GigabitEthernet0/0/0]dhcp server lease day 2 配置DHCP服务器接口地址池中IP地址的租用有效期限为两天
    [R1-GigabitEthernet0/0/0]dhcp server excluded-ip-address 192.168.1.1 192.168.1.10 设置不参与分配自动分配的IP地址范围
    [R1-GigabitEthernet0/0/1]dhcp server dns-list 8.8.8.8 配置该接口地址池下的DNS服务器为PC分配DNS服务器地址
    [R1]display ip pool 查看DHCP地址池中的地址分配情况

    配置基于全局地址池的DHCP
    [R1]dhcp enable
    [R1]ip pool huawei1 创建一个全局地址池
    [R1-ip-pool-huawei1]network 192.168.1.0 命令配置全局地址池huawei1可动态分配的网段范围为192.168.1.0,默认使用24为掩码。
    [R1-ip-pool-huawei1]lease day 2 配置DHCP全局地址池下的地址租期为2天
    [R1-ip-pool-huawei1]gateway-list 192.168.1.254 配置dhcp客户端的出口网关地址
    [R1-ip-pool-huawei1]excluded-ip-address 192.168.1.250 192.168.1.253 禁止分配这个范围的地址
    [R1-ip-pool-huawei1]dns-list 8.8.8.8 配置DNS服务地址
    [R1]int g0/0/0
    [R1-GigabitEthernet0/0/0]dhcp select global 开启DHCP功能采用全局地址池为客户端分配地址

    配置DHCP中继
    方法一直接指定DHCP服务器
    [R1]dhcp enable 路由器开启DHCP功能
    [R1]interface g0/0/1
    [R1-GigabitEthernet0/0/1]dhcp select relay 开启DHCP中继功能
    [R1-GigabitEthernet0/0/1]dhcp relay server-ip 100.1.1.1 指定DHCP服务器
    方法二全局配置DHCP中继:
    [R1]dhcp server group dhcp-group 创建DHCP服务器组dhcp-group
    [R1-dhcp-server-group-dhcp-group]dhcp-server 100.1.1.1 配置DHCP服务器

    [R1-dhcp-server-group-dhcp-group]int g0/0/1
    [R1-GigabitEthernet0/0/1]dhcp select relay 开启DHCP中继功能
    [R1-GigabitEthernet0/0/1]dhcp relay server-select dhcp-group 将接口加入到DHCP服务器组dhcp-group

    ipv6基础配置
    [R1]ipv6 全局开启开启IPv6
    [R1]interface g0/0/0
    [R1-GigabitEthernet0/0/0]ipv6 enable 在接口下开启IPv6功能
    [R1-GigabitEthernet0/0/0]ipv6 address auto link-local 接口上配置自动生成的链路本地地址
    用EUI-64方式配置IPv6地址
    [R1]int g 0/0/0
    [R1]ipv6 address 2001:3:FD:: 64 eui-64

    net地址转换
    静态
    [R1]int g0/0/0
    [R1-GigabitEthernet0/0/0]nat static global 202.169.10.5 inside 172.16.1.1 静态地址转换
    [R1]display nat static 查看Nat静态配置信息

    NAT Outbound
    [R1]nat address-group 1 202.169.10.50 202.169.10.60 配置NAT地址池
    [R1]ACL 2001 创建ACL 2001
    [R1-acl-basic-2001]rule 5 permit source 172.17.1.0 0.0.0.255 设置规则
    [R1]int g0/0/0
    [R1-GigabitEthernet0/0/0]nat outbound 2001 address-group 1 no-pat 将ACL 2001 与地址池结合只允许ACL中规定地址段的IP可以进行地址转换
    [R1]dis nat outbound 查看nat outbound 信息

    配置NAT Easy — IP
    [R1]interface g0/0/0
    [R1-GigabitEthernet0/0/0]undo nat outbound 2001 address-group 1 no-pat 删除之前的配置
    [R1-GigabitEthernet0/0/0]nat outbound 2001 配置Easy-IP特性,直接使用接口IP地址作为NAT转换后的地址

    配置nat server
    [R1-GigabitEthernet0/0/0]interface g0/0/0
    [R1-GigabitEthernet0/0/0]nat server protocol tcp global 202.169.10.6 ftp inside 172.16.1.3 ftp 定义内部服务器的映射表,指定服务器通信类型为tcp,配置服务器使用公网IP地址为202.169.10.6,服务器内网地址为172.16.1.3,指定端口号为21用关键字ftp代替
    [R1]nat alg ftp enable 开启ftp功能

    展开全文
  • 字符设备、块设备、网络设备

    千次阅读 2017-08-25 10:48:33
    字符设备、块设备、网络设备设备模型设备驱动的代码量占内核程序的50%设备模型的意义: 为了降低设备多样性带来的Linux驱动开发的复杂度,以及设备热拔插处理、电源管理等,Linux内核提出了设备模型(也称作Driver ...

    字符设备、块设备、网络设备

    这里写图片描述

    设备模型

    设备驱动的代码量占内核程序的50%

    设备模型的意义:
    为了降低设备多样性带来的Linux驱动开发的复杂度,以及设备热拔插处理、电源管理等,Linux内核提出了设备模型(也称作Driver Model)的概念。设备模型将硬件设备归纳、分类,然后抽象出一套标准的数据结构和接口。驱动的开发,就简化为对内核所规定的数据结构的填充和实现。

    因为硬件设备多种多样,使得设备驱动程序繁多,设备模型将硬件设备分类,抽象出一套标准的数据结构和接口。

    一、字符设备

    1.特点

    一个字节一个字节读写的设备,
    读取数据需要按照先后数据(顺序读取
    常见的字符设备有鼠标、键盘、串口、控制台和LED设备
    每个字符设备在/dev目录下对应一个设备文件,linux用户程序通过设备文件(或称设备节点)来使用驱动程序操作字符设备。

    2.上层应用如何调用底层驱动?

    1.应用层的程序open(“/dev/xxx”,mode,flags)打开设备文件,进入内核中,即虚拟文件系统中。
    2.VFS层的设备文件有对应的struct inode,其中包含该设备对应的设备号,设备类型,返回的设备的结构体。
    3.在驱动层中,根据设备类型和设备号就可以找到对应的设备驱动的结构体,用i_cdev保存。该结构体中有很重要的一个操作函数接口file_operations。
    4.在打开设备文件时,会分配一个struct file,将操作函数接口的地址保存在该结构体中。
    5.VFS层 向应用层返回一个fd,fd是和struct file相对应,这样,应用层可以通过fd调用操作函数,即通过驱动层调用硬件设备了。

    这里写图片描述
    这里写图片描述

    二、块设备

    1.特点

    数据以固定长度进行传输,比如512K
    从设备的任意位置(可跳)读取,但实际上,块设备会读一定长度的内容,而只返回用户要求访问的内容,所以随机访问实际上还是读了全部内容。
    块设备包括硬盘、磁盘、U盘和SD卡
    每个块设备在/dev目录下对应一个设备文件,linux用户程序通过设备文件(或称设备节点)来使用驱动程序操作块设备。
    块设备可以容纳文件系统,比如磁盘

    三、网络设备

    1.特点

    面向报文而不是面向流的,因此将网络接口映射到文件系统的节点比较困难
    内核调用一套和数据包相关的函数,而不是read,write。
    网络接口没有像字符设备和块设备一样的设备号,只有唯一的名字,如eth0,eth1
    主要通过socket操作,打开通常用命令行,

    2.关系

    网络协议接口层:网络层,IP
    网络设备接口层:将协议和各种网络驱动连接在一起,这一层提供一组通用函数供底层网络设备驱动使用。
    网络驱动接口层:数据链路层,提供对物理层访问的设备驱动程序,这可以是各种介质,例如串口链路或以太网设备。包括LLC和MAC层
    物理层:PHY层
    这里写图片描述

    展开全文
  • 计算机网络——网络硬件和网络设备及其工作原理

    万次阅读 多人点赞 2018-10-09 01:26:36
    计算机网络——网络硬件和网络设备及其工作原理 常见的网络硬件有网卡、中继站、集线器、桥连接器、交换机、路由器。 一. 网卡: 网卡是工作在链路层的网络组件,是局域网中连接计算机和传输介质的接口,不仅能实现...

    计算机网络——网络硬件和网络设备及其工作原理

    常见的网络硬件有网卡、中继站、集线器、桥连接器、交换机、路由器。

    一. 网卡:

    网卡是工作在链路层的网络组件,是局域网中连接计算机和传输介质的接口,不仅能实现与局域网传输介质之间的物理连接和电信号匹配,还涉及帧的发送与接收、帧的封装与拆封、介质访问控制、数据的编码与解码以及数据缓存的功能等。

    简介

    计算机与外界局域网的连接是通过主机箱内插入一块网络接口板(或者是在笔记本电脑中插入一块PCMCIA卡)。网络接口板又称为通信适配器或网络适配器(network adapter)或网络接口卡NIC(Network Interface Card),但是更多的人愿意使用更为简单的名称“网卡”。

    功能详解

    网卡上面装有处理器和存储器(包括RAM和ROM)。网卡和局域网之间的通信是通过电缆或双绞线以串行传输方式进行的。而网卡和计算机之间的通信则是通过计算机主板上的I/O总线以并行传输方式进行。因此,网卡的一个重要功能就是要进行串行/并行转换。由于网络上的数据率和计算机总线上的数据率并不相同,因此在网卡中必须装有对数据进行缓存的存储芯片。

    在安装网卡时必须将管理网卡的设备驱动程序安装在计算机的操作系统中。这个驱动程序以后就会告诉网卡,应当从存储器的什么位置上将局域网传送过来的数据块存储下来。网卡还要能够实现以太网协议。

    网卡并不是独立的自治单元,因为网卡本身不带电源而是必须使用所插入的计算机的电源,并受该计算机的控制。因此网卡可看成为一个半自治的单元。当网卡收到一个有差错的帧时,它就将这个帧丢弃而不必通知它所插入的计算机。当网卡收到一个正确的帧时,它就使用中断来通知该计算机并交付给协议栈中的网络层。当计算机要发送一个IP数据包时,它就由协议栈向下交给网卡组装成帧后发送到局域网。

    随着集成度的不断提高,网卡上的芯片的个数不断的减少,虽然各个厂家生产的网卡种类繁多,但其功能大同小异。

    主要功能:

    1. 数据的封装与解封: 发送时将上一层交下来的数据加上首部和尾部,成为以太网的帧。接收时将以太网的帧剥去首部和尾部,然后送交上一层。
    2. 链路管理: 主要是CSMA/CD(Carrier Sense Multiple Access with Collision Detection ,带冲突检测的载波监听多路访问)协议的实现。
    3. 编码与译码 : 即曼彻斯特编码与译码。

    二. 中继站:

    中继器又叫“放大器”,起放大信号的左右,解决线路太长,而引起的信号衰减问题。缺点:放大通信信号的同时会放大噪声。它处于OSI七层模型的物理层设备,无法读懂和修改OSI的上层数据,无法完成更多的选路和优化转发的特性,只有放大信号和延长线路的作用,端口少,不是一种密集型端口的网络设备,现在已被淘汰
    在这里插入图片描述

    三. 集线器:(hub)

    集线器又叫Hub,是一种用于“星形”网络组织的中心设备。它具备中继器的特点,端口比中继器更密集,因此又把集线器叫做端口更多的中继器。集线器是一种半双工(同一时间只能接收或发送数据,不能同时既接受又发送数据)、冲突型设备, 共享带宽,放大信号的同时放大噪声,不隔离广播,不能成环,不安全,一般不建议使用。集线器工作原理如下所示。A端口给D端口发送数据时,从集线器1号端口进入的数据,会发给2,3,4三个端口,然后2,3端口发现不是发给自己的数据,所以丢弃,只有4端口的D计算机发现目标地址是自己的地址,所以就接受,发送数据以广播的形式,因此这样是一种不安全的通讯设备,容易被别人监听到数据报。同时,当A发数据的时候,B是不能发送数据的,就会发生冲突。
    在这里插入图片描述

    四. 桥连接器:

    网桥(bridge)处于OSI模型的数据链路层(链路层设备不隔离广播),作用是减少集线器因共享和半双工特性引发的网络冲突问题。网桥的性能比集线器更好,因为网桥能够基于MAC地址进行数据链路层选路,能够基于学习构造MAC地址表,对MAC地址进行控制与过滤,所以网桥可以基于MAC地址进行选路,比集线器性能更好,将冲突域划分的更小,转发行能比集线器更高。但同样是不能隔离广播,所以不能让网桥形成闭合的环路。
    网桥MAC地址自学习:在网桥的接口上记录数据报文的源MAC地址,来完成整个MAC地址表的构建。
    在这里插入图片描述

    开始,网桥的MAC地址表是空的,第一次发生数据的时候不知道目的地址在哪,同样会发广播,但此时的广播不是发送数据的广播,而是一个ARP(地址解析协议)的请求广播,这个广播不带要发送的数据(即使被监听到也是不能得到主机间通信的数据),是一个轻量的广播,可以忽略不计,这次广播的目的在于建立MAC地址表,记录源MAC地址对应的网桥端口。例如这样一次广播过程:A要给D发送数据,A先ARP广播D,A作为源主机,网桥记录了A 的MAC地址,B和C收到后不做反应,然后D收到广播后单播方式回应ARP,D回应的时候对于网桥就是源主机,就会记录D主机的MAC地址,这样就完成了一次记录。请求当MAC表构建后,网桥不在进行广播,而是利用MAC表进行快速选路并转发,所以就算网桥上装有数据分析仪也不能监听到数据,监听到的广播也是不带主机间通信的数据,而集线器每次都以广播的形式发送数据(直接将数据广播出去),所以不安全。(网桥广播和集线器广播有很大区别)
    网桥不能成环的原因:①网桥不隔离广播,所以广播不能在网桥环路中发散,从而形成广播风暴,将整个网络的正常通信资源占据。②由于网桥不能隔离广播,所以会导致MAC地址自学习错误。
    在这里插入图片描述
    对②进行解析:当主机B给主机A发送数据时,网桥B的2端口会记录主机B的MAC地址,而在网桥环路中,网桥不隔离广播,对于ARP的请求广播,网桥B又相当于一根线,所以广播会穿过网桥B到的网桥A,即主机B发送的数据会直接到网桥A的1端口,因此网桥A的1端口也会记录主机B的MAC地址,但是网桥A的1端口连接主机A,应该记录主机A的MAC地址,所以就产生了错误。但实际情况中,网桥是物理成环的,以提供冗余的路径,这又违背了网桥不能成环的原则,所以后面会讲到一种生成树协议STP来解决这个问题。

    五. 交换机:

    交换机(Switch)意为“开关”是一种用于电(光)信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的电信号通路。最常见的交换机是以太网交换机。其他常见的还有电话语音交换机、光纤交换机等。

    定义

    交换(switching)是按照通信两端传输信息的需要,用人工或设备自动完成的方法,把要传输的信息送到符合要求的相应路由上的技术的统称。交换机根据工作位置的不同,可以分为广域网交换机和局域网交换机。广域的交换机(switch)就是一种在通信系统中完成信息交换功能的设备,它应用在数据链路层。交换机有多个端口,每个端口都具有桥接功能,可以连接一个局域网或一台高性能服务器或工作站。实际上,交换机有时被称为多端口网桥。

    在计算机网络系统中,交换概念的提出改进了共享工作模式。而HUB集线器就是一种物理层共享设备,HUB本身不能识别MAC 地址和IP地址,当同一局域网内的A主机给B主机传输数据时,数据包在以HUB为架构的网络上是以广播方式传输的,由每一台终端通过验证数据报头的MAC地址来确定是否接收。也就是说,在这种工作方式下,同一时刻网络上只能传输一组数据帧的通讯,如果发生碰撞还得重试。这种方式就是共享网络带宽。通俗的说,普通交换机是不带管理功能的,一根进线,其他接口接到电脑上就可以了。

    在今天,交换机以更多的却是以应用需求为导向,在选择方案和产品时用户还非常关心如何有效保证投资收益。在用户提出需求后,由系统集成商或厂商来为其需求来提供相应的服务,然后再去选择相应的技术。这点是在网络方面表现尤其明显,广大用户,不论是重点行业用户还是一般的企业用户,在应用IT技术方面更加明智,也更加稳健。此外,宽带的广泛应用、大容量视频文件的不断涌现等等都对网络传输的中枢–交换机的性能提出了新的要求。

    交换机原理

    原理
    思科模拟器中的交换机
    思科模拟器中的交换机
    交换机工作于OSI参考模型的第二层,即数据链路层。交换机内部的CPU会在每个端口成功连接时,通过将MAC地址和端口对应,形成一张MAC表。在今后的通讯中,发往该MAC地址的数据包将仅送往其对应的端口,而不是所有的端口。因此,交换机可用于划分数据链路层广播,即冲突域;但它不能划分网络层广播,即广播域。

    交换机拥有一条很高带宽的背部总线和内部交换矩阵。交换机的所有的端口都挂接在这条背部总线上,控制电路收到数据包以后,处理端口会查找内存中的地址对照表以确定目的MAC(网卡的硬件地址)的NIC(网卡)挂接在哪个端口上,通过内部交换矩阵迅速将数据包传送到目的端口,目的MAC若不存在,广播到所有的端口,接收端口回应后交换机会“学习”新的MAC地址,并把它添加入内部MAC地址表中。使用交换机也可以把网络“分段”,通过对照IP地址表,交换机只允许必要的网络流量通过交换机。通过交换机的过滤和转发,可以有效的减少冲突域,但它不能划分网络层广播,即广播域。

    端口

    交换机在同一时刻可进行多个端口对之间的数据传输。每一端口都可视为独立的物理网段(注:非IP网段),连接在其上的网络设备独自享有全部的带宽,无须同其他设备竞争使用。当节点A向节点D发送数据时,节点B可同时向节点C发送数据,而且这两个传输都享有网络的全部带宽,都有着自己的虚拟连接。假使这里使用的是10Mbps的以太网交换机,那么该交换机这时的总流通量就等于2×10Mbps=20Mbps,而使用10Mbps的共享式HUB时,一个HUB的总流通量也不会超出10Mbps。总之,交换机是一种基于MAC地址识别,能完成封装转发数据帧功能的网络设备。交换机可以“学习”MAC地址,并把其存放在内部地址表中,通过在数据帧的始发者和目标接收者之间建立临时的交换路径,使数据帧直接由源地址到达目的地址。

    传输

    交换机的传输模式有全双工,半双工,全双工/半双工自适应。

    交换机的全双工是指交换机在发送数据的同时也能够接收数据,两者同步进行,这好像我们平时打电话一样,说话的同时也能够听到对方的声音。交换机都支持全双工。全双工的好处在于迟延小,速度快。

    提到全双工,就不能不提与之密切对应的另一个概念,那就是“半双工”,所谓半双工就是指一个时间段内只有一个动作发生,举个简单例子,一条窄窄的马路,同时只能有一辆车通过,当有两辆车对开,这种情况下就只能一辆先过,等到头儿后另一辆再开,这个例子就形象的说明了半双工的原理。早期的对讲机、以及早期集线器等设备都是实行半双工的产品。随着技术的不断进步,半双工会逐渐退出历史舞台。

    六. 路由器:

    在这里插入图片描述

    路由器(Router),是连接因特网中各局域网、广域网的设备,它会根据信道的情况自动选择和设定路由,以最佳路径,按前后顺序发送信号。 路由器是互联网络的枢纽,“交通警察”。目前路由器已经广泛应用于各行各业,各种不同档次的产品已成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互联互通业务的主力军。路由和交换机之间的主要区别就是交换机发生在OSI参考模型第二层(数据链路层),而路由发生在第三层,即网络层。这一区别决定了路由和交换机在移动信息的过程中需使用不同的控制信息,所以说两者实现各自功能的方式是不同的。
    路由器(Router)又称网关设备(Gateway)是用于连接多个逻辑上分开的网络,所谓逻辑网络是代表一个单独的网络或者一个子网。当数据从一个子网传输到另一个子网时,可通过路由器的路由功能来完成。因此,路由器具有判断网络地址和选择IP路径的功能,它能在多网络互联环境中,建立灵活的连接,可用完全不同的数据分组和介质访问方法连接各种子网,路由器只接受源站或其他路由器的信息,属网络层的一种互联设备。

    路由器原理

    传输介质

    路由器分本地路由器和远程路由器,本地路由器是用来连接网络传输介质的,如光纤、同轴电缆、双绞线;远程路由器是用来连接远程传输介质,并要求相应的设备,如电话线要配调制解调器,无线要通过无线接收机、发射机。

    路由器是互联网的主要结点设备。路由器通过路由决定数据的转发。转发策略称为路由选择(routing),这也是路由器名称的由来(router,转发者)。作为不同网络之间互相连接的枢纽,路由器系统构成了基于TCP/IP 的国际互联网络Internet 的主体脉络,也可以说,路由器构成了Internet的骨架。它的处理速度是网络通信的主要瓶颈之一,它的可靠性则直接影响着网络互连的质量。因此,在园区网、地区网、乃至整个Internet研究领域中,路由器技术始终处于核心地位,其发展历程和方向,成为整个Internet研究的一个缩影。在当前我国网络基础建设和信息建设方兴未艾之际,探讨路由器在互连网络中的作用、地位及其发展方向,对于国内的网络技术研究、网络建设,以及明确网络市场上对于路由器和网络互连的各种似是而非的概念,都有重要的意义。
    出现了交换路由器产品,从本质上来说它不是什么新技术,而是为了提高通信能力,把交换机的原理组合到路由器中,使数据传输能力更快、更好。

    结构

    • 电源接口(POWER):接口连接电源。 usb
    • 复位键(RESET):此按键可以还原路由器的出厂设置。
    • 猫(MODEM)或者是交换机与路由器连接口(WAN):此接口用一条网线与家用宽带调制解调器(或者与交换机)进行连接。
    • 电脑与路由器连接口(LAN1~4):此接口用一条网线把电脑与路由器进行连接。

    需注意的是:WAN口与LAN口一定不能接反。

    家用无线路由器和有线路由器的IP地址根据品牌不同,主要有192.168.1.1和192.168.0.1两种。

    启动过程

    路由器里也有软件在运行,典型的例如H3C公司的Comware和思科公司的IOS,可以等同的认为它就是路由器的操作系统,像PC上使用的Windows系统一样。路由器的操作系统完成路由表的生成和维护。
    同样的,作为路由器来讲,也有一个类似于我们PC系统中BIOS一样作用的部分,叫做MiniIOS。MiniIOS可以使我们在路由器的FLASH中不存在IOS时,先引导起来,进入恢复模式,来使用TFTP或X-MODEM等方式去给FLASH中导入IOS文件。所以,路由器的启动过程应该是这样的:
    路由器在加电后首先会进行POST。Power On Self Test (上电自检,对硬件进行检测的过程)。
    POST完成后,首先读取ROM里的BootStrap程序进行初步引导。
    初步引导完成后,尝试定位并读取完整的IOS镜像文件。在这里,路由器将会首先在FLASH中查找IOS文件,如果找到了IOS文件的话,那么读取IOS文件,引导路由器。
    如果在FLASH中没有找到IOS文件的话,那么路由器将会进入BOOT模式,在BOOT模式下可以使用TFTP上的IOS文件。或者使用TFTP/X-MODEM来给路由器的FLASH中传一个IOS文件(一般我们把这个过程叫做灌IOS)。传输完毕后重新启动路由器,路由器就可以正常启动到CLI模式。
    当路由器初始化完成IOS文件后,就会开始在NVRAM中查找STARTUP-CONFIG文件,STARTUP-CONFIG叫做启动配置文件。该文件里保存了我们对路由器所做的所有的配置和修改。当路由器找到了这个文件后,路由器就会加载该文件里的所有配置,并且根据配置来学习、生成、维护路由表,并将所有的配置加载到RAM(路由器的内存)里后,进入用户模式,最终完成启动过程。
    如果在NVRAM里没有STARTUP-CONFIG文件,则路由器会进入询问配置模式,也就是俗称的问答配置模式,在该模式下所有关于路由器的配置都可以以问答的形式进行配置。不过一般情况下我们基本上是不用这样的模式的。我们一般都会进入CLI [1] (Comman Line Interface)命令行模式后对路由器进行配置。

    工作原理示例

    (1)工作站A将工作站B的地址12.0.0.5连同数据信息以数据包的形式发送给路由器1。
    (2)路由器1收到工作站A的数据包后,先从包头中取出地址12.0.0.5,并根据路径表计算出发往工作站B的最佳路径:R1->R2->R5->B;并将数据包发往路由器2。
    (3)路由器2重复路由器1的工作,并将数据包转发给路由器5。
    (4)路由器5同样取出目的地址,发现12.0.0.5就在该路由器所连接的网段上,于是将该数据包直接交给工作站B。
    (5)工作站B收到工作站A的数据包,一次通信过程宣告结束。

    路由器的作用及功能

    1、连通不同的网络

    从过滤网络流量的角度来看,路由器的作用与交换机和网桥非常相似。但是与工作在网络物理层,从物理上划分网段的交换机不同,路由器使用专门的软件协议从逻辑上对整个网络进行划分。例如,一台支持IP协议的路由器可以把网络划分成多个子网段,只有指向特殊IP地址的网络流量才可以通过路由器。对于每一个接收到的数据包,路由器都会重新计算其校验值,并写入新的物理地址。因此,使用路由器转发和过滤数据的速度往往要比只查看数据包物理地址的交换机慢。但是,对于那些结构复杂的网络,使用路由器可以提高网络的整体效率。路由器的另外一个明显优势就是可以自动过滤网络广播。总体上说,在网络中添加路由器的整个安装过程要比即插即用的交换机复杂很多。

    2、信息传输

    有的路由器仅支持单一协议,但大部分路由器可以支持多种协议的传输,即多协议路由器。由于每一种协议都有自己的规则,要在一个路由器中完成多种协议的算法,势必会降低路由器的性能。路由器的主要工作就是为经过路由器的每个数据帧寻找一条最佳传输路径,并将该数据有效地传送到目的站点。由此可见,选择最佳路径的策略即路由算法是路由器的关键所在。为了完成这项工作,在路由器中保存着各种传输路径的相关数据--路径表(Routing Table),供路由选择时使用。路径表中保存着子网的标志信息、网上路由器的个数和下一个路由器的名字等内容。路径表可以是由系统管理员固定设置好的。

    • 静态路由表:由系统管理员事先设置好固定的路径表称之为静态(static)路径表。
    • 动态路由表:动态(Dynamic)路径表是路由器根据网络系统的运行情况而自动调整的路径表。

    路由器是一种多端口设备,它可以连接不同传输速率并运行于各种环境的局域网和广域网,也可以采用不同的协议。路由器属于O S I 模型的第三层–网络层。指导从一个网段到另一个网段的数据传输,也能指导从一种网络向另一种网络的数据传输。

    • 第一,网络互连:路由器支持各种局域网和广域网接口,主要用于互连局域网和广域网,实现不同网络互相通信;
    • 第二,数据处理:提供包括分组过滤、分组转发、优先级、复用、加密、压缩和防火墙等功能;
    • 第三,网络管理:路由器提供包括路由器配置管理、性能管理、容错管理和流量控制等功能。

    所谓“路由”,是指把数据从一个地方传送到另一个地方的行为和动作,而路由器,正是执行这种行为动作的机器,它的英文名称为Router,是一种连接多个网络或网段的网络设备,它能将不同网络或网段之间的数据信息进行“翻译”,以使它们能够相互“读懂”对方的数据,从而构成一个更大的网络。
      
      为了完成“路由”的工作,在路由器中保存着各种传输路径的相关数据--路由表(Routing Table),供路由选择时使用。路由表中保存着子网的标志信息、网上路由器的个数和下一个路由器的名字等内容。路由表可以是由系统管理员固定设置好的,也可以由系统动态修改,可以由路由器自动调整,也可以由主机控制。在路由器中涉及到两个有关地址的名字概念,那就是:静态路由表和动态路由表。由系统管理员事先设置好固定的路由表称之为静态(static)路由表,一般是在系统安装时就根据网络的配置情况预先设定的,它不会随未来网络结构的改变而改变。动态(Dynamic)路由表是路由器根据网络系统的运行情况而自动调整的路由表。路由器根据路由选择协议(Routing Protocol)提供的功能,自动学习和记忆网络运行情况,在需要时自动计算数据传输的最佳路径。

    参考文章:

    1、网络硬件设备工作原理:https://blog.csdn.net/u010757264/article/details/50748336

    展开全文
  • 网络安全等级保护网络设备、安全设备知识点汇总 本文主要内容: 防火墙、防毒墙、入侵防御、统一安全威胁网关UTM IPSEC VPN、网闸、SSL VPN、WAF 网络安全审计、数据库安全审计、日志审计、运维安全...

    导读:之前推荐过一篇等级保护安全设备配置方案,那么,这些安全设备都是什么样的设备呢?有什么功能?如何部署?给大家推荐这篇安全设备知识点汇总。

     

    网络安全等级保护网络设备、安全设备知识点汇总

    本文主要内容:

    • 防火墙、防毒墙、入侵防御、统一安全威胁网关UTM

    • IPSEC VPN、网闸、SSL VPN、WAF

    • 网络安全审计、数据库安全审计、日志审计、运维安全审计(堡垒机)

    • 入侵检测(IDS)、上网行为管理、负载均衡

    • 漏洞扫描、异常流量清洗、VPN

     

    1防火墙( Firewall)

     

    定义:相信大家都知道防火墙是干什么用的,我觉得需要特别提醒一下,防火墙抵御的是外部的攻击,并不能对内部的病毒 ( 如ARP病毒 ) 或攻击有什么太大作用。

     

    功能:防火墙的功能主要是两个网络之间做边界防护,企业中更多使用的是企业内网与互联网的NAT、包过滤规则、端口映射等功能。生产网与办公网中做逻辑隔离使用,主要功能是包过滤规则的使用。

     

    部署方式:网关模式、透明模式:

    网关模式是现在用的最多的模式,可以替代路由器并提供更多的功能,适用于各种类型企业透明部署是在不改变现有网络结构的情况下,将防火墙以透明网桥的模式串联到企业的网络中间,通过包过滤规则进行访问控制,做安全域的划分。 

    至于什么时候使用网关模式或者使用透明模式,需要根据自身需要决定,没有绝对的部署方式。需不需要将服务器部署在 DMZ区,取决于服务器的数量、重要性。

    总之怎么部署都是用户自己的选择!

    高可用性:为了保证网络可靠性,现在设备都支持主 - 主、主- 备,等各种部署。

     

    2防毒墙

     

    定义:相对于防毒墙来说,一般都具有防火墙的功能,防御的对象更具有针对性,那就是病毒。

     

    功能:同防火墙,并增加病毒特征库,对数据进行与病毒特征库进行比对,进行查杀病毒。

     

    部署方式:同防火墙,大多数时候使用透明模式部署在防火墙或路由器后或部署在服务器之前,进行病毒防范与查杀。

     

    3入侵防御 (IPS)

     

    定义:相对于防火墙来说,一般都具有防火墙的功能,防御的对象更具有针对性, 那就是攻击。

    防火墙是通过对五元组进行控制,达到包过滤的效果,而入侵防御 IPS,则是将数据包进行检测 (深度包检测 DPI)对蠕虫、病毒、木马、拒绝服务等攻击进行查杀。

     

    功能:同防火墙,并增加 IPS 特征库,对攻击行为进行防御。

     

    部署方式:同防毒墙。

    特别说明一下:防火墙允许符合规则的数据包进行传输,对数据包中是否有病毒代码或攻击代码并不进行检查,而防毒墙和入侵防御则通过更深的对数据包的检查弥补了这一点。

     

    4统一威胁安全网关 (UTM)

     

    定义:简单的理解,把威胁都统一了,其实就是把上面三个设备整合到一起了。

     

    功能:同时具备防火墙、防毒墙、入侵防护三个设备的功能。

     

    部署方式:因为可以代替防火墙功能,所以部署方式同防火墙

    现在大多数厂商,防病毒和入侵防护已经作为防火墙的模块来用,在不考虑硬件性能以及费用的情况下,开启了防病毒模块和入侵防护模块的防火墙,和UTM其实是一样的。至于为什么网络中同时会出现 UTM和防火墙、防病毒、入侵检测同时出现。

    第一,实际需要,在服务器区前部署防毒墙, 防护外网病毒的同时,也可以检测和防护内网用户对服务器的攻击。

    第二,花钱,大家都懂的。

    总之还是那句话,设备部署还是看用户。

     

    5IPSEC VPN

     

    把 IPSECVPN放到网络安全防护里,其实是因为大多数情况下, IPSEC VPN的使用都是通过上述设备来做的,而且通过加密隧道访问网络,本身也是对网络的一种安全防护。

     

    定义:采用 IPSec 协议来实现远程接入的一种 VPN技术,至于什么是 IPSEC 什么是 VPN,小伙伴们请自行百度吧。

     

    功能:通过使用 IPSECVPN使客户端或一个网络与另外一个网络连接起来,多数用在分支机构与总部连接。

     

    部署方式:网关模式、旁路模式

    鉴于网关类设备基本都具备 IPSECVPN功能,所以很多情况下都是直接在网关设备上启用 IPSEC VPN功能,也有个别情况新购买IPSEC VPN设备,在对现有网络没有影响的情况下进行旁路部署,部署后需要对IPSECVPN设备放通安全规则,做端口映射等等。

    也可以使用 windows server 部署 VPN,需要的同学也请自行百度,相比硬件设备,自己部署没有什么花费,但 IPSECVPN受操作系统影响,相比硬件设备稳定性会差一些。

     

    以上设备常见厂家( 不排名啊不排名 )

    JuniperCheck Point Fortinet (飞塔)思科 天融信 山石网科 启明星辰 深信服 绿盟网御星云 网御神州 华赛 梭子鱼 迪普H3C

     

    6网闸

     

    定义:全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接, 并能够在网络间进行安全适度的应用数据交换的网络安全设备。

     

    功能:主要是在两个网络之间做隔离并需要数据交换,网闸是具有中国特色的产品。

     

    部署方式:两套网络之间

    防火一般在两套网络之间做逻辑隔离,而网闸符合相关要求,可以做物理隔离,阻断网络中 tcp 等协议,使用私有协议进行数据交换,一般企业用的比较少,在对网络要求稍微高一些的单位会用到网闸。

     

    7SSL VPN

    定义:采用 SSL协议的一种 VPN技术,相比 IPSEC VPN使用起来要更加方便,毕竟 SSL VPN使用浏览器即可使用。

     

    功能:随着移动办公的快速发展,SSL VPN的使用也越来越多,除了移动办公使用,通过浏览器登录SSLVPN连接到其他网络也十分方便, IPSEC VPN更倾向网络接入,而 SSL VPN更倾向对应用发布。

     

    部署:SSL VPN的部署一般采用旁路部署方式,在不改变用户网络的状况下实现移动办公等功能。

     

    8WAF (Web Application Firewall) web 应用防护系统

     

    定义:名称就可以看出,WAF的防护方面是 web应用,说白了防护的对象是网站及 B/S 结构的各类系统。

     

    功能:针对 HTTP/HTTPS协议进行分析,对 SQL注入攻击、XSS攻击 Web攻击进行防护,并具备基于 URL 的访问控制; HTTP协议合规;Web敏感信息防护;文件上传下载控制;Web 表单关键字过滤。网页挂马防护,Webshell 防护以及 web应用交付等功能。

     

    部署:通常部署在 web应用服务器前进行防护IPS也能检测出部分web攻击,但没有WAF针对性强,所以根据防护对象不同选用不同设备,效果更好。

     

    9网络安全审计

     

    定义:审计网络方面的相关内容。

     

    功能:针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。

    满足用户对互联网行为审计备案及安全保护措施的要求,提供完整的上网记录,便于信息追踪、系统安全管理和风险防范。

     

    部署:采用旁路部署模式,通过在核心交换机上设置镜像口,将镜像数据发送到审计设备。

     

    10数据库安全审计

     

    定义:数据库安全审计系统主要用于监视并记录对数据库服务器的各类操作行为。

     

    功能:审计对数据库的各类操作,精确到每一条 SQL命令,并有强大的报表功能。

     

    部署:采用旁路部署模式,通过在核心交换机上设置镜像口,将镜像数据发送到审计设备。

     

    11日志审计

     

    定义:集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息,经过规范化、过滤、归并和告警分析等处理后,以统一格式的日志形式进行集中存储和管理,结合丰富的日志统计汇总及关联分析功能,实现对信息系统日志的全面审计。

     

    功能:通过对网络设备、安全设备、主机和应用系统日志进行全面的标准化处理,及时发现各种安全威胁、异常行为事件,为管理人员提供全局的视角,确保客户业务的不间断运营安全部署:旁路模式部署。通常由设备发送日志到审计设备,或在服务器中安装代理,由代理发送日志到审计设备。

     

    12运维安全审计 ( 堡垒机 )

     

    定义:在一个特定的网络环境下, 为了保障网络和数据不受来自内部合法用户的不合规操作带来的系统损坏和数据泄露,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、记录、分析、处理的一种技术手段。

     

    功能:主要是针对运维人员维护过程的全面跟踪、 控制、记录、回放,以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放。

     

    部署:旁路模式部署。使用防火墙对服务器访问权限进行限制,只能通过堡垒机对网络设备/服务器/数据库等系统操作。

    可以看出审计产品最终的目的都是审计,只不过是审计的内容不同而已,根据不同需求选择不同的审计产品,一旦出现攻击、非法操作、违规操作、误操作等行为,对事后处理提供有利证据。

     

    13    入侵检测( IDS)

     

    定义:对入侵攻击行为进行检测

     

    功能:通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析, 从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象

     

    部署:采用旁路部署模式,通过在核心交换机上设置镜像口,将镜像数据发送到入侵检测设备。

    入侵检测虽然是入侵攻击行为检测, 但监控的同时也对攻击和异常数据进行了审计,所以把入侵检测系统也放到了审计里一起介绍。

    入侵检测系统是等保三级中必配设备。

     

    14上网行为管理

     

    定义:顾名思义,就是对上网行为进行管理

     

    功能:对上网用户进行流量管理、上网行为日志进行审计、对应用软件或站点进行阻止或流量限制、关键字过滤等

     

    部署:网关部署、透明部署、旁路部署

    网关部署:中小型企业网络较为简单,可使用上网行为管理作为网关,代替路由器或防火墙并同时具备上网行为管理功能

    透明部署:大多数情况下,企业会选择透明部署模式,将设备部署在网关与核心交换之间,对上网数据进行管理

    旁路部署:仅需要上网行为管理审计功能时,也可选择旁路部署模式,在核心交换机上配置镜像口将数据发送给上网行为管理

    个人觉得上网行为管理应该属于网络优化类产品,流控功能是最重要的功能,随着技术的发展,微信认证、防便携式 wifi 等功能不断完善使之成为了网络管理员的最爱 ~

     

    15负载均衡

     

    定义:将网络或应用多个工作分摊进行并同时完成,一般分为链路负载和应用负载 ( 服务器负载 )

     

    功能:确保用户的业务应用能够快速、安全、可靠地交付给内部员工和外部服务群,扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性

     

    部署:旁路模式、网关模式、代理模式

    旁路模式:通常使用负载均衡进行应用负载时,旁路部署在相关应用服务器交换机上,进行应用负载

    网关模式:通常使用链路负载时,使用网关模式部署

    随着各种业务的增加,负载均衡的使用也变得广泛, web应用负载,数据库负载都是比较常见的服务器负载。鉴于国内运营商比较恶心,互联互通问题较为严重,使用链路负载的用户也比越来越多。

     

    16漏洞扫描

     

    定义:漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测(渗透攻击)行为。

     

    功能:根据自身漏洞库对目标进行脆弱性检测,并生产相关报告,提供漏洞修复意见等。一般企业使用漏洞扫描较少,主要是大型网络及等、分保检测机构使用较多。

     

    部署:旁路部署, 通常旁路部署在核心交换机上, 与检测目标网络可达即可。

     

    17异常流量清洗

     

    定义:看名字吧

     

    功能:对异常流量的牵引、 DDoS流量清洗、 P2P带宽控制、流量回注,也是现有针对 DDOS攻击防护的主要设备

     

    部署:旁路部署

     

    18VPN

     

    定义:VPN ( Virtual Private Network )虚拟专用网络 ,简单的讲就是因为一些特定的需求, 在网络与网络之间,或终端与网络之间建立虚拟的专用网络,通过加密隧道进行数据传输 ( 当然也有不加密的 ) ,因其部署方便且具有一定的安全保障,被广泛运用到各个网络环境中。

     

    VPN分类

    常见的VPN有L2TP VPN 、PPTP VPN、IPSEC、VPN、SSL、VPN以及 MPLS VPN。

    MPLS VPN运营商使用较多,使用场景多为总部与分支机构之间。其他VPN因部署方便,成本较低成为现在使用最为广泛的VPN。

    L2TP VPN与 PPTP VPN因使用的隧道协议都属于二层协议,所以也称为二层 VPN。IPSEC VPN则采用IPSec 协议,属于三层VPN。

    SSLVPN是以 HTTPS协议为基础 VPN技术,使用维护简单安全,成为 VPN技术中的佼佼者

     

    VPN部署与实现方式及应用场景介绍

    1、部署模式主要采用网关模式和旁路模式部署两种,使用专业VPN硬件设备建立VPN时多为旁路部署模式, 对现有网络不需要改动, 即使 VPN设备出现问题也不会影响现有网络。使用防火墙 / 路由器自带VPN功能建立 VPN时, 随其硬件部署模式部署。

    2、实现方式主要有以下几种 :

    (1) 通过使用专业 VPN软件来建立VPN

    优点 : 投入较少,部署比较灵活

    缺点 : 稳定性受服务器硬件、操作系统等因素影响

    (2) 通过使用服务器自行架设 VPN服务器建立 VPN,windows 服务器为主

    优点 : 投入较少,部署比较灵活, windows 系统自带

    缺点 : 稳定性受服务器硬件、操作系统等因素影响,需自行配置

    (3) 通过使用防火墙 / 路由器设备自带 VPN功能建立 VPN。

    优点 : 投入较少,稳定性好

    缺点 : 因使用现有设备自带 VPN模块,对 VPN访问量较大的需求不建议使用,以免出现设备性能不足影响防火墙 / 路由器使用。作为现有设备的自带模块,无法满足用户特殊要求。部署方式相对固定

    (4) 通过使用专业的 VPN硬件设备建立 VPN。

    优点 : 产品成熟适用于各种 VPN场景应用,功能强大,性能稳定。

    缺点 : 比较花钱 ~~~~~硬件设备需要花钱, 用户授权需要花钱, 反正啥都需要花钱

    3、让更多人纠结的应该是在何场景下选择哪种方式来建立VPN,根据本人工作经验为大家介绍一些常见的 VPN应用场景。

    场景一 总部与分支机构互联

    大型企业总部与分支结构通常使用 MPLS VPN进行互联,相对于大型企业中小型企业则选择使用投入较低的 IPSECVPN进行互联。

    例如 : 某大型超配 ( 超市配送 ) 企业,总部与自营大型超市之间使用MPLS VPN进行数据传输,总部与自营小型超市则使用 IPSEC VPN进行数据传输。根据各超市数据传输需要选择不同的 vpn 技术相结合使用,节约投入成本的同时最大限度的满足与总部的数据传输。

    场景二 移动办公

    网管远程维护设备、 员工访问内网资源、 老总出差电子签批等移动办公已成为企业信息化建设的重要组成部分,同时也为VPN市场带来了巨大商机。 SSL VPN因其使用维护方便成为了移动办公的不二之选,打开浏览器即可使用。在没有 SSLVPN条件下,网管进行设备远程维护则通常使用 L2TP VPN或 PPTP VPN。

    场景三 远程应用发布

    SSLVPN中的功能,主要针对需要安装客户端的 C/S服务访问需求,手机和平板因屏幕大小、鼠标、键盘使用等因素体验感欠佳。特定场景下 PC访问效果较好。

    例如 : 某公司财务部门对使用的财务软件做远程应用发布,其他用户无需安装财务软件客户端也可以方便使用。

    场景四 手机APP与 VPN结合

    随着手机的普及,大家都希望通过手机能解决很多工作中的问题,手机 APP解决了远程应用发布中存在的一些使用问题, 但考虑到安全方面的问题,用户希望通过手机 APP与 VPN技术相结合,方便使用的同时也降低了安全风险。

    例如 : 某集团 OA手机 APP,直接通过互联网地址映射访问存在一定安全隐患,配合 VPN技术使用,先将手机与集团建立 VPN隧道,再通过APP访问集团内部 OA APP服务器。

    最后做一个的总结 : 究竟使用哪一种 VPN技术来满足用户的需求,还是要根据用户业务需求来考虑,所以希望大家要对相关业务有一个初步的了解, 对症下药。 还有一些如 VPDN、DMVPN等内容没有。

    (来源:SPOTO思博网络)

    展开全文
  • 常见的几种网络设备

    万次阅读 2018-03-30 18:12:57
    使计算连网的网络设备。 二、中继器(RP Repeater) 工作在物理层上的连接设备,OSI模型的物理层设备。 适用于完全相同的两类网络的互连,主要功能是通过对数据信号的重新发送或者转发,来扩大网络传输的距离...
  • Nagios 监控网络设备

    千次阅读 2016-10-22 17:19:23
    概述本文描述如何通过 Nagios 监控网络设备(例如交换机、路由器等)。监控网络设备的前提是网络设备需要有一个 IP 地址,否则 Nagios 是无法进行监控的。Nagios 可以通过 ping 监控网络设备的连通性(例如丢包和...
  • [网络基础]网络设备简单介绍(网络基础知识)

    千次阅读 多人点赞 2017-11-22 11:30:32
    中继器(repeater)是位于第一层(物理层)的网络设备。 随着经过的线缆越来越长,信号会变得越来越弱。中继器的目的是在比特级别对网络信号进行再生和重定时。从而使得他们能够在网络上传输更长的距离 中继器仅仅...
  • macOS:从网络设备名称获取设备名

    千次阅读 2018-01-23 13:04:59
    先从ifconfig命令说起,这个命令后面可以跟上一个叫做interface的参数,就可以查看该interface所代表的网络设备的网络情况,比如:ifconfig en0; ifconfig en1一般来说,从这里很难看出这个en0和en1那个是无线网卡、...
  • 常用网络设备与拓扑

    千次阅读 2018-04-26 15:23:14
    现在的网络设备生产厂商为 Cisco(思科) -----元老 华为 ------价格便宜,现在比较稳定   常用的网络设备: 交换路由设备:路由器 Cisco 2911路由器 ----企业主流用的 交互机: Cisco 3560交换机 ----企业...
  • Linux网络设备驱动架构

    千次阅读 2018-02-01 23:10:09
    Linux网络设备驱动程序体系结构分为四层:网络协议接口层、网络设备接口层、提供实际功能的设备驱动层以及网络设备与媒介层。 (1)网络协议接口层向网络层协议提供统一的数据包收发接口,不论上层协议是ARP还是...
  • 计算机网络——4.入门思科网络设备

    千次阅读 2016-03-01 17:38:29
    本文主要讲解思科的网络通讯设备,包括:如何构建思科网络设备的配置平台、理解思科网络设备的相关配置模式等,通过本章的学习可以具备思科网络设备配置能力,为后续的核心技术学习做好准备。
  • 在Linux操作系统下有3类主要的设备文件类型:块设备、字符设备和网络设备。这种分类方法可以将控制输入/输出设备的驱动程序与其他操作系统软件分离开来。字符设备是指存取时没有缓存的设备。典型的字符设备包括鼠标...
  • 网络设备的默认密码

    千次阅读 2019-09-04 09:12:12
    遇到网络设备,基本像交换机、路由器、安全设备之类的,可以尝试一下默认密码 网上找到的,但忘了是哪个大佬发的了。 天融信防火墙,不需要证书 登录地址:https://192.168.1.254 用户名:superman 密码:talent 技术...
  • Linux 上的基础网络设备详解

    千次阅读 2017-11-26 13:08:00
    和磁盘设备类似,Linux 用户想要使用网络功能,不能通过直接操作硬件完成,而需要直接或间接的操作一个 Linux 为我们抽象出来的设备,既通用的 Linux 网络设备来完成。一个常见的情况是,系统里装有一个硬件网
  • 本课程是linux驱动开发的第11个课程,主要内容是linux的网络驱动的介绍,首先讲述了网络设备驱动接口和之前讲的2种的不同,然后以一个虚拟网卡驱动源码学习了网卡驱动的框架,后分析了一个实际网卡DM9000的驱动细节...
  • Linux设备驱动之网络设备驱动

    千次阅读 2011-04-14 22:03:00
    网络设备驱动程序的主要功能是:(1)模块加载或内核启动相关的初始化处理(2)清除模块时的处理(3)网络设备的检索和探测(4)网络设备的初始化和注册(5)打开或关闭网络设备(6)发送网络数据(7)接收网络数据(8)中断处理(在
  • CentOS7 网络设置与控制网络设备名称

    千次阅读 2016-12-04 22:53:58
    安装完CentOS 7后,若安装时没有设置网络,...本文除了介绍如何手动设置网络外,也介绍如何更改网络设备名称。 在安装套件时,如果选择了”Minimal Install”,ifconfig/netstat等常用网络工具不会被安装,用”nmcl
  • 下列网络设备中,能够抑制网络风暴的是( ) Ⅰ.中继器 Ⅱ.集线器 Ⅲ.网桥 Ⅳ.路由器 A.仅Ⅰ和Ⅱ B.仅Ⅲ C.仅Ⅲ和Ⅳ D.仅Ⅳ 正确答案 C 答案解析 [解析] 考查网络设备与网络风暴。 广播域是指网段上所有设备的...
  • centos7下网络设备名称修改方法

    千次阅读 2016-10-15 19:36:27
    网络设备的名称从eth0开始排序,使用vmware创建网络的时候,网络设备的名称缺省的被设定为了eno16777736,使用ip addr或者ifconfig确认的时候,我们看到的是eno16777736而不是eth0,本来这不是什么事,但是使用诸如...
  • 常用网络设备

    千次阅读 2018-07-26 13:58:46
    对所接收的信号进行放大,然后直接发送到另一个端口连接的电缆上,主要用于扩展网络的物理连接范围 集线器:hub 集线器(HUB)属于数据通信系统中的基础设备,它和双绞线等传输介质一样,是一种不需任何软件支持或...
  • Linux网络设备分析

    千次阅读 2011-12-02 16:31:40
    Linux网络设备分析 潘纲 9811536 浙江大学计算机系 pg@ccnt.zju.edu.cn [摘要] 在本文中,首先概括了网络设备总体特征和工作原理,接着在分析了一个 重要的数据结构device后,重点剖析了网络设备的整个初始...
  • 描述:华为网络设备交换机路由器查看日志命令方法 命令: display logbuffer
  • 使用ELK收集网络设备日志的案例

    千次阅读 2019-11-11 10:21:12
    随着机房内的服务器和网络设备增加,日志管理和查询就成了让系统管理员头疼的事。 系统管理员遇到的常见问题如下: 1、日常维护过程中不可能登录到每一台服务器和设备上去查看日志; 2、网络设备上的存储空间有限,...
  • 描述:华为网络设备交换机路由器查看路由表情况命令方法 命令: display ip routing-table
  • 网络设备流量及性能监控的实现

    千次阅读 2017-10-13 13:52:00
    流量和性能监控一般旨在通过网络协议得到网络设备的流量信息,并将流量负载以图形或表格方式显示给用户,以非常直观的形式显示网络设备负载。在网络发展的今天,网络监控还可以以网络应用层协议方式进行更精细化的...
  • Linux-虚拟网络设备-LinuxBridge

    万次阅读 2017-09-04 18:56:27
    基本概念 bridge是一个虚拟网络设备,具有网络设备的特性(可以配置IP、MAC地址等);而且bridge还是一个虚拟交换机,和物理交换机设备功能类似。网桥是一种在链路层实现中继,对帧进行转发的技术,根据MAC分区块,...
  •  Linux内核对网络驱动程序使用统一的接口,并且对于网络设备采用面向对象的思想设计。  Linux内核采用分层结构处理网络数据包。分层结构与网络协议的结构匹配,既能简化数据包处理流程,又便于扩展和维护。 ...
  • Tags: Linux, 计算机网络, 驱动...而我们要为网络设备编写驱动则不然了,用户空间程序是通过标准套接口(sockets)系统调用来使用网络功能的,用户空间程序与网络设备之间夹着一层TCP/IP协议栈程序。也就是说,当我们
  • Python可以在不同的网络层上与网络设备进行交互。 首先,Python可以通过套接字编程和socket模块操纵底层网络,从而为Python所在的操作系统和网络设备之间搭建一个低层次的网络接口。此外,Python模块还可以通过...
  • 网络设备之间的相互通信

    千次阅读 2018-08-01 14:09:06
    计算机与网络设备要相互通信,双方就必须基于相同的方法。比如,如何探测到通信目标、由哪一边先发起通信、使用哪种语言进行通信、怎样结束通信等规则都需要事先确定。不同的硬件、操作系统之间的通信,所有的这一切...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 140,688
精华内容 56,275
关键字:

网络设备