常见的网络设备

引入

园区网络安全部署场景

1、路由器: 跨网段通信设备
2、交换机: 同网段或跨网段通信设备。
3、AntiDDoS DDoS 防御系统,通常旁挂部署于网络出口处, 位于防火墙上游,用于减轻防火墙报文处理负担。
4、NGFW :下一代防火墙,可部署在网络出口处进行初步防护,或者保护数据中心不被攻击。
5、vNGFW :软件 NGFW ,部署在 VM Virtual Machine )中, 与硬件防火墙功能相似。
6、NIP :华为下一代入侵防御系统,专业的入侵检测设备 / 入侵防御设备,可部署在数据中心保护数据中心不被入侵。
7、Agile-Controller :基于用户和应用的网络资源自动化控制系统,通常部署于 DMZ 服务区,用于准入控制。

1.1 网络基础设备

1.1.1 交换机

1、随着企业网络的发展, 越来越多的用户需要接入到网络 ,交换机提供的大量的接入端口能够很好地满足这种需求。同时, 交换机也彻底解决了 困扰早期 以太网的冲突问题 ,极大地提升了以太网的性能,同时也提高了以太网的安全性。
2、交换机工作在数据链路层,对数据帧进行操作。在收到数据帧后,交换机会根据数据帧的头部信息对数据帧进行转发。
3、接下来我们以小型交换网络为例,讲解交换机的基本工作原理。
交换机的转发行为
1、 交换机中有一个MAC地址表 ,里面 存放了MAC地址与交换机端口的映射关系 MAC 地址表也称为 CAM Content Addressable Memory )表。
2、如图所示,交换机对帧的转发操作行为一共有三种:
泛洪( Flooding ),转发( Forwarding ),丢弃( Discarding )。
泛洪:交换机把从某一端口进来的 帧通过所有其它的端口转发出去 (注意,“所有其它的端口”是指除了这个帧进入交换机的那个端口以外的所有端口)。
转发:交换机把从某一端口进来的帧通过另一个端口转发出去(注意,“另一个端口”不能是这个帧进入交换机的那个端口)。
丢弃:交换机把从某一端口进来的帧直接丢弃。
3、交换机的基本工作原理可以概括地描述如下:
4、如果进入交换机的是一个单播帧,则交换机会去 MAC 地址表中查找这个帧的目的 MAC 地址。
如果 查不到这个MAC地址 ,则 交换机执行泛洪 操作。
如果 查到了这个MAC地址 ,则比较这个 MAC 地址在 MAC 地址表中对应的端口是不是这个帧进入交换机的那个端口。如果不是,则交换机执行转发操作。如果是,则交换机执行丢弃操作。
5、如果进入交换机的是一个 广播帧 ,则交换机不会去查 MAC 地址表,而是 直接执行泛洪 操作。
6、如果进入交换机的是一个组播帧,则交换机的处理行为比较复杂,超出了这里的学习范围,所以略去不讲。另外,交换机还具有学习能力。当一个帧进入交换机后,交换机会检查这个帧的源 MAC 地址,并将该源 MAC 地址与这个帧进入交换机的那个端口进行映射,然后将这个映射关系存放进 MAC 地址表。
交换机的初始状态
初始状态下 交换机并不知道所连接主机的MAC地址,所以MAC地址表为空。 本例中, SWA 为初始状态,在收到主机 A 发送的数据帧之前, MAC 地址表中没有任何表项。
学习MAC地址
主机A发送数据给主机C时 ,一般会首先发送 ARP 请求来获取主机 C MAC 地址,此 ARP 请求帧中的目的 MAC 地址是广播地址,源 MAC 地址是自己的 MAC 地址。 SWA 收到该帧后,会将源 MAC 地址和接收端口的映射关系添加到 MAC 地址表中。缺省情况下, X7 系列交换机学习到的 MAC 地址表项的老化时间为 300 秒。如果在老化时间内再次收到主机 A 发送的数据帧, SWA 中保存的主机 A MAC 地址和 G0/0/1 的映射的老化时间会被刷新。此后,如果交换机收到目标 MAC 地址为 00-01-02-03-04-AA 的数据帧时,都将通过 G0/0/1 端口转发。
转发数据帧
当数据帧的目的MAC 地址不在 MAC 表中,或者目的 MAC 地址为广播地址时,交换机会泛洪该帧。
本例中主机A 发送的数据帧的目的 MAC 地址为广播地址,所以交换机会将此数据帧通过 G0/0/2 G0/0/3 端口广播到主机 B 和主机 C
目标主机回复
主机B 和主机 C 接收到此数据帧后,都会查看该 ARP 数据帧。但是主机 B 不会回复该帧,主机 C 会处理该帧并发送 ARP 回应,此回复数据帧的目的 MAC 地址为主机 A MAC 地址,源 MAC 地址为主机 C MAC 地址。 SWA 收到回复数据帧时,会将该帧的源 MAC 地址和接口的映射关系添加到 MAC 地址表中。如果此映射关系在 MAC 地址表已经存在,则会被刷新。然后 SWA 查询 MAC 地址表,根据帧的目的 MAC 地址找到对应的转发端口后,从 G0/0/1 转发此数据帧。
1.1.2 路由器
功能:在不同网络之间转发数据包
路由器是网络层设备 ,其主 要功能是实现报文在不同网络之间的转发 。如图所示,位于不同网络(即不同链路)上的HostA HostB 之间相互通信。与 HostA 在同一网络(即同一链路)上的路由器接口接收到 HostA 发出的数据帧,路由器的链路层分析帧头确定为发给自己的帧之后,发送给网络层处理,网络层根据网络层报文头以决定目的地址所在网段,然后通过查表从相应的接口转发给下一跳,直到到达报文的目的地 HostA  
路由选路
路由器负责为数据包选择一条最优路径,并进行转发。
1、 路由器收到数据包后,会根据数据包中的目的IP地址选择一条最优的路径,并将数据包转发到下一个路由器,路径上最后的路由器负责将数据包送交目的主机。 数据包在网络上的传输就好像是体育运动中的接力赛一样,每一个路由器负责将数据包按照最优的路径向下一跳路由器进行转发,通过多个路由器一站一站的接力,最终将数据包通过最优路径转发到目的地。当然有时候由于实施了一些特别的路由策略,数据包通过的路径可能并不一定是最佳的。
2、路由器能够决定数据 报文的转发路径。如果有多条路径可以到达目的地, 路由器会通过进行计算来决定最佳下一跳。计算的原则会随实际使用的路由协议不同而不同。
防火墙
防火墙主要 用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。
1、“防火墙”一词起源于建筑领域,用来隔离火灾,阻止火势从一个区域蔓延到另一个区域。引入到通信领域,防火墙这一具体设备通常用于两个网络之间有针对性的、逻辑意义上的隔离。当然,这种隔离是高明的,隔离的是“火”的蔓延,而又保证“人”的穿墙而过。这里的“火”是指网络中的各种攻击,而“人”是指正常的通信报文。
2、用通信语言来定义, 防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为 。因其隔离、防守的属性,灵活应用于网络边界、子网隔离等位置,具体如企业网络出口、大型网络内部子网隔离、数据中心边界等等。
防火墙与路由器、交换机对比
路由器与交换机 的本质是 转发 防火墙 的本质是 控制
1、防火墙与路由器、交换机是有区别的。 路由器用来连接不同的网络,通过路由协议保证互联互通,确保将报文转发到目的地;交换机则通常用来组建局域网,作为局域网通信的重要枢纽,通过二层/三层交换快速转发报文;而防火墙主要部署在网络边界,对进出网络的访问行为进行控制,安全防护是其核心特性。路由器与交换机的本质是转发,防火墙的本质是控制。
2、现阶段中低端路由器与防火墙有合一趋势,主要也是因为二者互相功能兼具,变成all in one 的目标,华为也发布了一系列中低端设备。
防火墙安全区域
1、Zone 的作用
(1) 安全策略都基于安全区域实施
(2)在同一安全区域内部发生的数据流动是不存在安全风险的,不需要实施任何安全策略;
(3)只有当不同安全区域之间发生数据流动时,才会触发设备的安全检查,并实施相应的安全策略;
(4)在防火墙中,同一个接口所连网络的所有网络设备一定位于同一安全区域中,而一个安全区域可以包含多个接口所连的网络。
2、缺省安全区域
 (1)非受信区域 Untrust
 (2)非军事化区域DMZ
(3) 受信区域 Trust
(4) 本地区域 Local
防火墙安全区域与接口的关系
1、在防火墙中是以接口为单位来进行分类,即同一个接口所连网络的所有网络设备一定位于同一安全区域中,而一个安全区域可以包含多个接口所连的网络。这里的接口既可以是物理接口,也可以是逻辑接口。所以可以通过子接口或者VLAN IF 等逻辑接口实现将同一物理接口所连的不同网段的用户划入不同安全区域的功能。
2、思考:若不同接口均属于同一个安全区域的场景下,域间安全转发策略是否会生效?
1.1.3 设备初始介绍
VRP
VRP: Versatile Routing Platform ,通用路由平台。
网络操作系统
支撑多种设备的软件平台
提供TCP/IP 路由服务

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/29693.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

CENTOS7.9下服务器双网卡bond模式6配置示例

​1.bond口的特点 bond口通过将多个网口进行聚合,多个网口聚合后一方面实现了大带宽传输,另外多网口聚合后也同时具有冗余特性,当其中一个网口down掉后,其他网口会继续转发流量,不会导致流量中断。 2.使用条件 当环境…

CAD二次开发(10)-单行文字的添加+图形修改

1. 单行文字的添加 第一步&#xff1a; 首先在CAD中新增中文样式 输入ST命令&#xff1a; 第二步&#xff1a;代码开发 /// <summary>/// 添加文本信息/// </summary>[CommandMethod("AddText")]public void AddText(){var doc Application.DocumentM…

全氟己酮自动灭火材料表现亮眼!手把手教你自动灭火毯的使用方法

灭火毯的使用方法是什么&#xff1f;很多朋友在购买灭火毯之前&#xff0c;都比较关心这个问题。在这里&#xff0c;我们可以把灭火毯分为两种。一种是传统灭火毯&#xff0c;还有一种是近年来兴起的高科技产品—全氟己酮自动灭火毯。这两种灭火毯的使用方法大有不同&#xff0…

[算法刷题—二分法]寻找插入位置

题目展示: 本道题本身并不是很难,主要是学习和分析二分查找插入位置的方法。 首先大体上分为两种情况: 一.target在待查找的数组之中,返回对应值的下标索引。 二.target不在待查找的数组之中&#xff0c;需要返回target插入位置的索引(原数组有序) 第一种情况不难&#xff…

WordPress 站点 Wp-Login.Php 登录页面,防止被机器扫描爆破终极方法

最近好像不少的 WordPress 站点又迎来了一波疯狂的 wp-login.php 登录页面暴力破解,明月使用的 Dragon 主题也迅速的做出了安全防范响应,第一时间就增强了代码上的安全防御能力。明月代运维的几个站点也在这方面加强了防范措施,基本上实现了永久解决这一顽疾的目标,今天明月…

基于minhook的Windows HOOK

MinHook是一个基于微软Detours技术的可移植Hook库&#xff0c;它允许开发者在运行时更改函数定义&#xff0c;而无需修改原始函数代码。以下是关于MinHook的详细介绍&#xff1a; 基本概念 定义&#xff1a;MinHook使用内存污染和跳转技术来实现Hook&#xff0c;使得开发者能…

视频汇聚安防综合管理平台EasyCVR支持GA/T 1400视图库标准及设备接入配置

一、概述 视频汇聚安防综合管理平台EasyCVR视频监控系统已经与公安部GA/T 1400视图库标准协议实现了对接&#xff0c;即《公安视频图像信息应用系统》。 安防监控系统EasyCVR支持采用GA/T 1400进行对接&#xff0c;可实现人脸数据使用的标准化、合规化。其采用统一接口对接雪…

分布式技术导论 — 探索分析从起源到现今的巅峰之旅(流式处理到微批处理)

探索分析从起源到现今的巅峰之旅 流式计算回顾流式服务结合分布式特性 流式计算组成部分监控数据处理进度流式分析案例流转数据的衍生存储确认器采取高效策略确认器异常应对策略工作节点故障的处理&#xff08;精确一次处理&#xff09;确认器故障的处理&#xff08;恰好一次处…

【PPT教程】一键重置幻灯片背景的方法,新建幻灯片带默认背景

目的是替换18届的研电赛ppt背景为19届 这里写目录标题 1.设计->设置背景格式2.图片或纹理填充->插入3.选择需要替换为背景的照片4.点击下方的应用到全部 1.设计->设置背景格式 2.图片或纹理填充->插入 3.选择需要替换为背景的照片 4.点击下方的应用到全部 此时全部…

Google推出开源代码大模型CodeGemma:AI编程新纪元,代码自动完成和生成技术再升级

论文标题: CodeGemma: Open Code Models Based on Gemma机构: Google LLC论文链接: https://arxiv.org/pdf/2406.11409.pdf CodeGemma模型概述 CodeGemma是基于Google DeepMind的Gemma模型系列&#xff08;Gemma Team et al., 2024&#xff09;开发的一系列开放代码模型。这些…

Flutter - Material3适配

demo 地址: https://github.com/iotjin/jh_flutter_demo 代码不定时更新&#xff0c;请前往github查看最新代码 Flutter - Material3适配 对比图具体实现一些组件的变化 代码实现Material2的ThemeDataMaterial3的ThemeData Material3适配官方文档 flutter SDK升级到3.16.0之后 …

AI在线免费视频工具2:视频配声音

1、视频配声音 https://deepmind.google/discover/blog/generating-audio-for-video/ https://www.videotosoundeffects.com/ &#xff08;免费在线使用&#xff09;

企业内网是如何禁用U盘的?电脑禁用U盘有哪些方法?

在当今企业环境中&#xff0c;数据安全和信息保护至关重要。 为了防止数据泄露和恶意软件传播&#xff0c;很多企业选择在内网中禁用U盘&#xff0c;以控制数据的物理传输。 小编这就来给大家总结一份详细指南&#xff01;&#xff01; 关于企业内网如何禁用U盘的指南&#x…

mysql分析常用锁

这里写自定义目录标题 1.未提交事物&#xff0c;阻塞DDL&#xff0c;继而阻塞所有同表的后续操作,查看未提交事务的进程2.存着正在进行的线程数据。3.根据processlist表中的id杀掉未释放的线程4.查看正在使用的表5.mysql为什么state会有waiting for handler commit6.什么情况导…

【Spring Cloud应用框架】

&#x1f3a5;博主&#xff1a;程序员不想YY啊 &#x1f4ab;CSDN优质创作者&#xff0c;CSDN实力新星&#xff0c;CSDN博客专家 &#x1f917;点赞&#x1f388;收藏⭐再看&#x1f4ab;养成习惯 ✨希望本文对您有所裨益&#xff0c;如有不足之处&#xff0c;欢迎在评论区提出…

异步爬虫:aiohttp 异步请求库使用:

使用requests 请求库虽然可以完成爬虫业务&#xff0c;但是对于异步任务来说&#xff0c;它是做不到的&#xff0c; 这时候我们需要借助 aiohttp 异步请求库来完成异步爬虫的编写&#xff1a; 话不多说&#xff0c;直接看示例&#xff1a; 注意&#xff1a;楼主使用的python版…

还在为找不到工作发愁?来看看嵌入式行业

嵌入式系统的就业方向非常广泛&#xff0c;涵盖了许多不同的行业和领域。以下是一些常见的嵌入式系统就业方向&#xff1a; 消费电子产品&#xff1a;这包括智能手机、平板电脑、智能电视、智能家居设备等。嵌入式系统工程师可以参与设计、开发和测试这些产品的硬件和软件。 汽…

超简洁的待办事项自托管便签todo

什么是todo todo 是一个自托管的 todo web 应用程序&#xff0c;可让您以简单且最少的方式跟踪您的 todo。 搭建 使用Docker命令行方式进行搭建 docker run -d -p 8000:8000 -v todo_db:/usr/local/go/src/todo/todo.db prologic/todo Docker-compose.yml version: 3 ​ se…

工程项目全生命周期管理系统企智汇一站式解决方案!

在当今竞争激烈的工程行业&#xff0c;实现工程项目的全生命周期管理已成为企业提升效率、降低成本、确保质量并赢得市场竞争的关键。企智汇的工程项目管理系统解决方案致力于助力工程企业实现全面、精细化的项目全生命周期管理&#xff0c;确保从项目启动到竣工交付的每一个环…

微信小程序 - 出于性能原因,对长行跳过令牌化。长行的长度可通过 “editor.maxTokenizationLineLength” 进行配置

问题描述 出于性能原因&#xff0c;对长行跳过令牌化。长行的长度可通过 “editor.maxTokenizationLineLength” 进行配置。 解决方案 设置 - 编辑器设置 - 更多编辑器设置... 搜索&#xff1a;maxtoken&#xff0c;原来是 20000&#xff0c;我改成了 200000 即可~