几乎每个网络都使用三种基本设备：交换机，网络路由器和网络防火墙。

它们可以集成到用于小型网络（例如家庭网络）的一台设备中，但是对于大型网络则不是这样。对于任何网络，三个设备都不能关闭。在这篇文章中，学习了解它们如何工作以及如何建立您的网络。

交换机：网络中的桥接设备

在局域网（LAN）中，网络交换机的功能类似于城市中的立交桥，桥接其他网络设备（如交换机，路由器，防火墙和无线访问点（WAP））并连接客户端设备（如计算机，服务器，Internet，协议（IP）摄像机和IP打印机）。它为网络上所有不同的设备提供了集中的连接功能。

交换机如何工作？

交换机通过保留在哪个交换机端口上可以看到哪些媒体访问控制（MAC）地址的表来切换数据帧。MAC地址是网络接口控制器（NIC）硬件中的烙印。每个网卡以及交换机和路由器的每个端口都有一个唯一的MAC地址。交换机从数据帧中学习源MAC地址和目标MAC地址，并将其保留在表中。它参考该表来确定将接收到的帧发送到哪里。如果收到表中没有的目标MAC地址，则会将帧泛洪到所有交换机端口，这称为广播。收到响应后，它将MAC地址放入表中，并且下次无需泛洪。

交换机从数据帧中学习MAC地址

‍

路由器：连接Internet

路由器（有时称为网关）是用于在不同网络之间路由数据包以及将网络与Internet连接的硬件设备。实际上，Internet由成千上万的路由器组成。

路由器如何工作？

路由器检查每个数据包的源IP地址和目标IP地址，在路由器的IP路由表中查找数据包的目的地，然后将数据包路由到另一台路由器或交换机。该过程一直进行到到达目标IP地址并作出响应为止。当有多种方法可以到达目标IP地址时，路由器可以明智地选择最经济的一种。当数据包的目的地未在路由表中列出时，该数据包将被发送到默认路由器（如果有）。如果数据包没有目的地，它将被丢弃。

路由器如何将数据包从源路由到目标

‍

通常，路由器由Internet服务提供商（ISP）提供。Internet提供商会为用户分配一个路由器IP地址，这是一个公共IP地址。当浏览Internet时，公共IP地址将被标识为外界，用户的私有IP地址受到保护。但是，台式机，笔记本电脑，iPad，电视媒体盒，网络复印机的专用IP地址完全不同。否则，路由器将无法识别哪个设备正在请求什么。

路由器做什么？

路由器解释不同的网络。除了最常用的以太网，还有许多其他不同的网络，例如ATM和令牌环。网络以不同的方法封装数据，因此它们无法直接通信。路由器可以“翻译”来自不同网络的这些数据包，以便彼此了解。

路由器可防止广播风暴。如果没有路由器，广播将到达每个设备的每个端口，并由每个设备进行处理。当广播量太大时，整个网络可能会出现混乱。路由器将网络细分为两个或更多个由其连接的较小网络，并且它不允许广播在子网之间流动。

广播风暴

‍

交换机与路由器

为什么要比较交换机和路由器？因为第3层交换机也能够进行路由。有人可能会问，只用L3交换机，不需要路由器可以吗。我们必须强调，每个设备都有其自己的功能，选择什么设备，取决于许多因素。一方面，例如，对于一个拥有10-100个用户的小型网络，L3交换机在成本或功能方面显得过高。适当的路由器可以在合理的价格内就做好这项工作。另一方面，我们可以根据需要在路由器上安装交换模块，使其像L3交换机一样工作。因此，使用哪种设备时应考虑其可扩展性，弹性，软件功能，硬件性能等。

防火墙：保护网络安全

在生活中，防火墙的作用实际上是用来挡住紧急情况下的火灾。而在网络中，网络防火墙是在Intranet / 

LAN和Internet之间建立屏障。用来保护内部/专用LAN免受外部攻击，并防止重要数据泄漏出去。没有防火墙功能的路由器会盲目地在两个单独的网络之间传递流量，但防火墙会监控流量并阻止未经授权的流量出站。

防火墙在Internet与Intranet / LAN之间建立了屏障

‍

除了将LAN与Internet分开之外，网络防火墙还可以用于将重要数据与LAN中的普通数据进行分段。这样也可以避免内部入侵。

内部防火墙将重要数据与其他数据分开

‍

网络防火墙如何工作？

一种常见的硬件防火墙类型允许用户定义阻止规则，例如通过IP地址，端口的传输控制协议（TCP）或用户数据报协议（UDP）。因此，禁止使用不需要的端口和IP地址。其他一些防火墙是软件应用程序和服务。这样的防火墙就像将两个网络互连的代理服务器。内部网络不直接与外部网络通信。这两种类型的组合通常更安全，更有效。

交换机，路由器和防火墙：它们如何连接？

通常，路由器是局域网中的第一类设备，内部网络和路由器之间是网络防火墙，因此可以过滤所有流入和流出的流量。然后是交换机。由于许多Internet提供商现在都在提供光纤服务（FiOS），因此在网络防火墙之前需要调制解调器将数字信号转换为可以通过以太网电缆传输的电信号。因此，典型的配置将是Internet调制解调器防火墙交换机。然后由交换机连接其他网络设备。

如何在网络中连接交换机，路由器和防火墙

‍

总结

在网络中，这三个组件都是必不可少的。小型网络可能只具有这三种设备的集成设备，而大型网络（如企业网络，数据中心和Internet服务提供商）则将具备这三种独立的设备，以保持复杂且高度安全的通信网络。

 以上就是交换机vs路由器vs防火墙的介绍。

VeCloud是一家面向企业提供云交换网络服务为核心业务的技术创新企业，在全球的数据中心节点30个，POP节点超过200个，服务的大客户超过300个，涉及金融、互联网、游戏、AI、教育、制造业、跨国企业等行业领域。http://www.vecloud.com

 

几乎每个网络都使用三种基本设备:交换机、网络路由器和网络防火墙。

他们可以集成到一个用于小型网络(如家庭网络)的设备中，但大型网络不是这样。对于任何网络，三个设备都不能关闭。在这篇文章中，学习如何工作和建立你的网络。

交换机:网络中的桥接设备。

LAN(LAN)中，网络交换机的功能与城市的立交桥相似，与其它网络设备(如交换机、路由器、防火墙和无线访问点(WAP)相连，并与客户端设备(如计算机、服务器、因特网、协议(IP)相机和IP打印机)相连。这为网上所有不同的设备提供了集中连接。

交换机怎么工作？

交换机通过保留在哪个交换机端口上，可以看到哪些媒体访问控制(MAC)地址的表格来切换数据帧。MAC地址是网络接口控制器(NIC)硬件的烙印。每个网卡、交换机和路由器的每个端口都有一个唯一的MAC地址。交换机从数据帧中学习来源MAC地址和目标MAC地址，并保留在表格中。它参考表格来确定接收到的帧发送到哪里。如果收到表格中没有的目标MAC地址，帧将泛洪到所有交换机端口，称为广播。收到响应后，将MAC地址放入表格，下次不需要泛洪。

交换机从数据帧中学习MAC地址。



路由：连接因特网。

路由器(有时称为网关)是一种硬件设备，用于连接不同网络之间的路由数据包和互联网。事实上，互联网由成千上万的路由器组成。

路由器怎么工作？

在路由器的IP路由表中，检查每个数据包的源IP地址和目标IP地址，找出该数据包的目的地，然后将该数据包路由到另一个路由器或交换机。这个过程一直进行到达目标IP地址并作出反应。在到达目标IP地址的方法很多的情况下，路由器可以明智地选择最经济的。在路由表中没有列出目的地时，该数据包将被发送到默认路由器(如果有)。如无目的地，则数据包将被丢弃。

如何将数据包从源路由到目标？



路由器通常由互联网服务提供商(ISP)提供。互联网提供商配一个路由器IP地址，这是一个公共IP地址。浏览互联网时，公共IP地址会被识别为外部，用户的私有IP地址会受到保护。但是，台式机、笔记本电脑、iPad、电视媒体盒、网络复印机的专用IP地址完全不同。否则，路由器将无法识别哪个设备在要求什么。

路由器做什么？

路由器解释不同的网络。除了最常用的以太网，还有很多其他不同的网络，比如ATM和令牌环。网络以不同的方式包装数据，所以不能直接通信。路由器可以翻译来自不同网络的数据包，以便相互理解。

路由可以以防止广播风暴。如果没有路由器，广播将到达每个设备的每个端口，并由每个设备处理。当广播量过大时，整个网络可能会混乱。路由器将网络细分为两个或更多由其连接的小网络，不允许在子网络之间流动。

广播风暴。



交换机和路由器。

为什么要比较交换机和路由器？因为第三层交换机也可以路由。有人可能会问，只用L3交换机不需要路由器可以吗？我们必须强调，每个设备都有自己的功能，选择什么设备取决于很多因素。一方面，对于一个有10-100个用户的小网络，L3交换机在成本或功能上太高。合适的路由器可以在合理的价格内做好这项工作。另一方面，我们可以根据需要在路由器上安装交换机模块，使其像L3交换机一样工作。因此，在使用哪种设备时，应考虑其可扩展性、弹性、软件功能、硬件性能等。

防火墙:保护网络安全。

在生活中，防火墙的作用实际上是为了阻止紧急情况下的火灾。在网络中，网络防火墙是互联网/

在LAN和因特网之间设置屏障。用于保护内部/专用LAN免受外部攻击，防止重要数据泄露。没有防火墙功能的路由器会盲目在两个独立的网络之间传输流量，但防火墙会监控流量，防止未经授权的流量出站。

防火墙在互联网和互联网之间建立了屏障。



网络防火墙除了把LAN和因特网分开外，还可以用来把重要数据和LAN中的普通数据分开。这还可以避免内部入侵。

内部防火墙将重要数据与其他数据分开。



网络防火墙怎么工作？

一种常见的硬件防火墙类型允许用户定义阻止规则，如通过知识产权地址、端口传输控制协议或用户数据报告协议(UDP)。因此，禁止使用不必要的端口和知识产权地址。其他防火墙是软件应用和服务。这种防火墙就像连接两个网络的代理服务器。内部网络不直接与外部网络通信。这两种组合通常更安全、更有效。

交换机、路由器和防火墙：如何连接？

通常路由器是局域网中的第一类设备，内部网络和路由器是网络防火墙，可以过滤所有流入流出的流量。然后是交换机。因为很多互联网提供商现在都在提供光纤服务(FiOS)，所以在网络防火墙之前需要调制解调器，将数字信号转换成可以通过以太网电缆传输的电信号。所以典型的配置会是互联网调制解调器防火墙交换机，然后用交换机连接其他网络设备。

如何在网络上连接交换机、路由器和防火墙？



总结。

这三络中，这三个组件是必不可少的。小网络可能只有这三种设备的集成设备，而大网络(如企业网络、数据中心和互联网服务提供商)将拥有这三种独立的设备，以保持复杂和高度安全的通信网络。

1、使真机成为一个路由器

[root@foundation0 ~]# systemctl stop libvirtd.service    关闭虚拟机服务【虚拟机服务与防火墙服务有冲突】

[root@foundation0 ~]# systemctl restart firewalld     重启防火墙

[root@foundation0 ~]# systemctl start libvirtd.service     打开虚拟机服务

[root@foundation0 ~]# firewall-cmd --add-masquerade    允许防火墙伪装ip

Warning: ALREADY_ENABLED

[root@foundation0 ~]# firewall-cmd --list-all    显示防火墙信息

public (default, active)

  interfaces: br0 enp0s25 wlp3s0

  sources:

  services: dhcpv6-client ssh

  ports:

  masquerade: yes    为yes之后，才允许防火墙伪装ip

  forward-ports:

  icmp-blocks:

  rich rules:



2、通过修改network文件，使用虚拟机上网

1）

nm-connection-editor    图形窗口设定ip（手动给虚拟机分配一个ip，与子网掩码）

添加一个连接



选择以太网



IPv4下点击添加



输入IP与子网掩码



 

2）

在虚拟机/etc/sysconfig/network文件中写入下面的内容（为了配置全局的网关）

NERWORKING=yes                            启动时激活联网

NOZEROCONF=yes                           它是一个动态配置协议，系统可以通过它来连接到网络。

GATEWAY=172.25.254.29                 ip地址为自己真机地址【设定全局网关】



3）

systemctl restart network       重启网络服务



4）

通过ip地址上网（此时只能通过ip上网，没有DNS服务器，自己也没有建立IP与网址之间的对应）



在这个文件下可以书写ip与域名的对应关系，就可以通过域名访问对因的ip

 

【route -n    查看网关】

如果无法上网，先检查虚拟机的网关，如果没有问题，就需要去检查真机的配置

3、通过修改network-scripts目录下的文件，使虚拟机上网



1）

cd /etc/sysconfig/network-scripts    转到此目录下进行设置



2）

rm -fr ifcfg-ens3    删除掉这个目录下的网卡配置文件



3）

touch ifcfg-ens3    重新建立这个文件



4）

vim ifcfg-ens3    对这个文件进行写入



写入以下内容

DEVICE=ens3                                       网卡名称

ONBOOT=yes                                       网络启动时是否激活网卡

BOOTPROTO=none/dhcp                   指定ip获取方式，手动获取/自动

IPADDR0=172.25.254.129                 指定ip

NETNASK0=255.255.255.0              子网掩码（只需要指定一个）

PREFIX0=24                                        子网掩码

GATEWAY0=172.25.254.29               网关

DNS1=114.114.114.114                    DNS1

DNS2=                                                  DNS2（最多指定两个）

网卡名称自己有什么些什么（通过ifconfig查看）





5）

systemctl restart network    刷新网络



6）

【route -n    查看网关】



【cat /etc/resolv.conf    查看DNS】



如果这两个都正常，说明虚拟机已经配置好了，还未连接网络需要查看真机

 

 

 4、可能出现的问题

1、

使用【ping 真机ip】如果失败说明虚拟机网卡可能有问题需要更换虚拟机网卡

1）删除旧的网卡



2）点击左下角Add Hardware添加新的网卡



3）点击右下角Finish此时就添加完成新的网卡了



2、内核未开启路由功能



停止网络记录并重启



此时就开启了内核路由功能

近期，发现eNSP 2.0需要关闭windows防火墙，才可以启动eNSP中的AR路由器，但是有的用户的工作环境决定了必须要开启windows防火墙，那是否就不能使用我们eNSP了呢？其实直接关闭windows防火墙是一种懒惰的方式，完全可以对windows防火墙进行设置后，无需关闭它，就可以启动eNSP中的AR设备了。我们一起来看看如何设置吧！
当您安装完eNSP，第一次启动eNSP时，windows防火墙会弹出是否允许该应用程序运行的确认框，如图：



Windows防火墙应该会弹出多个这样的确认框，对于其他应用程序，如eNSP_Client.exe,eNSP_Server.exe,eNSP_SimServer.exe我们可以只选择勾选“域网络”，而应用程序名称为”eNSP_VboxServer.exe”的弹出窗，我们需要将“公用网络，例如XXX”前面的勾上,然后单击“允许访问”，这样就可以了。
如果你在第一次运行eNSP时，稀里糊涂的没有勾选“公用网络，例如XXX”导致AR设备启动后，一直无法连接到设备的命令行，此时我们还可以对windows防火墙进行设置。首先到“控制面板-windows 防火墙”打开windows防火墙配置界面，如：



点击”允许程序或功能通过windows防火墙”，进入具体设置界面：



找到eNSP_VboxServer前面打了“√”的那项，然后将该项在“公用”那列下打上勾。

这样单击“确定”后，重新打开eNSP,就可以启动AR路由器了。
转载：https://forum.huawei.com/enterprise/zh/forum.php?mod=viewthread&tid=292869