亚洲视频二区_亚洲欧洲日本天天堂在线观看_日韩一区二区在线观看_中文字幕不卡一区

2020年1月25日，一篇《紫光集團(tuán)攜旗下新華三捐贈(zèng)火神山醫(yī)院網(wǎng)絡(luò)及安全設(shè)備，助力武漢抗擊疫情》的文章轉(zhuǎn)遍了朋友圈，紫光集團(tuán)和新華三集團(tuán)的社會(huì)責(zé)任感感動(dòng)了每一位網(wǎng)絡(luò)工程師和社會(huì)大眾。

文章提及紫光集團(tuán)攜手旗下新華三，向武漢市衛(wèi)生健康委員會(huì)捐助火神山醫(yī)院所需的網(wǎng)絡(luò)通信與信息安全產(chǎn)品設(shè)備，包含了核心交換機(jī)、匯聚及接入交換機(jī)、無線網(wǎng)絡(luò)（無線控制、無線匯聚、無線接入）、安全防護(hù) （路由器、防火墻、行為管理、堡壘機(jī)、日志審計(jì)、數(shù)據(jù)庫審計(jì)、準(zhǔn)入認(rèn)證設(shè)備）等諸多種類，設(shè)備總值超過千萬，并會(huì)負(fù)責(zé)相關(guān)設(shè)備的部署、安裝、調(diào)試等實(shí)施工作。

我作為一名網(wǎng)絡(luò)工程師，每次被親朋好友問起是做什么工作的，都是答一句，搞網(wǎng)絡(luò)的；隔行如隔山，一旦有人追問起來，向其他行業(yè)的人解釋工作內(nèi)容或者行業(yè)內(nèi)容讓人格外頭大。

那什么是網(wǎng)絡(luò)呢？

我現(xiàn)在是這么跟朋友解釋的：通俗來講，現(xiàn)在你窩在家里，家庭上網(wǎng)都會(huì)用到路由器。設(shè)置家庭路由器的時(shí)候繞不開一個(gè)WAN口的IP地址設(shè)置，或者是PPPoE撥號(hào)或者是動(dòng)態(tài)DHCP自動(dòng)獲取。

這里引入了IP地址的概念，是網(wǎng)絡(luò)中互聯(lián)互通的一個(gè)必要基礎(chǔ)。一個(gè)最簡(jiǎn)單的網(wǎng)絡(luò)可由兩臺(tái)電腦配置上相同網(wǎng)段的IP地址，再加上一根網(wǎng)線來組成。比如配置192.168.1.1和192.168.1.2這兩個(gè)IP地址，能實(shí)現(xiàn)互相訪問。兩臺(tái)電腦使用一根網(wǎng)線就能互通，三臺(tái)電腦就不行了，這時(shí)候就有了HUB，相當(dāng)于是把多根網(wǎng)線集中在一起，配上相同網(wǎng)段的地址就能互相訪問了，此時(shí)他們共享一個(gè)沖突域，此時(shí)數(shù)據(jù)傳輸不再穩(wěn)定，可能會(huì)出現(xiàn)信號(hào)沖突現(xiàn)象。

前面又引入了地址段的概念，一般的IP地址，或者稱為IPv4地址，是由4個(gè)點(diǎn)分十進(jìn)制數(shù)字組成的，類似于A.B.C.D（192.168.1.1），實(shí)際上是由二進(jìn)制轉(zhuǎn)換而來，每個(gè)數(shù)字取值范圍是0-255，對(duì)應(yīng)二進(jìn)制的8位，二進(jìn)制形式類似AAAAAAAA.BBBBBBBB.CCCCCCCC.DDDDDDDD，每位取值0或者1，網(wǎng)段就是掩碼，不通長(zhǎng)度的掩碼有不同數(shù)量的主機(jī)地址。主機(jī)地址的數(shù)量N和掩碼位數(shù)m的關(guān)系是：N=2^(32-m)-2。計(jì)算的時(shí)候會(huì)發(fā)現(xiàn)一個(gè)問題，就是m=32時(shí)，N=-1；m=31時(shí)，N=0。這兩個(gè)一般是表示主機(jī)地址，不能算做網(wǎng)段。當(dāng)掩碼位數(shù)不大于30時(shí)，才能稱為網(wǎng)段。比如在電腦上配置192.168.1.2時(shí)，掩碼會(huì)自動(dòng)補(bǔ)全出255.255.255.0，這就是24位掩碼，用前面公式算一下，這個(gè)網(wǎng)段最多有254個(gè)主機(jī)。

隨著掩碼位數(shù)的縮短，我們可以發(fā)現(xiàn)主機(jī)數(shù)量越來越大，如果掩碼為0，則最多容納4294967294個(gè)主機(jī)，將近43億個(gè)，也就是傳說中的IPv4地址池上限。當(dāng)然，實(shí)際使用時(shí)，因?yàn)榇嬖诘刂繁Ａ粢约熬W(wǎng)段劃分，實(shí)際能使用的地址遠(yuǎn)小于這個(gè)數(shù)量，并且前段時(shí)間才發(fā)了通告，全球IPv4地址已經(jīng)分配完（嗯，我有幸還租到了幾個(gè)）。

理論上講，所有的主機(jī)是可以全部在一個(gè)網(wǎng)段進(jìn)行互訪的，但是實(shí)際上如果使用HUB來實(shí)現(xiàn)，設(shè)備將不堪重負(fù)，嚴(yán)重的信號(hào)沖突也將導(dǎo)致通信無法完成。所以就出現(xiàn)了高級(jí)一點(diǎn)的設(shè)備，交換機(jī)。

交換機(jī)比HUB高級(jí)，因?yàn)樗阅芨鼜?qiáng)，有專用硬件；如果可管理，那就更高級(jí)了。但是普通的二層交換機(jī)，性能仍然比較有限，一般幾十個(gè)主機(jī)就是他的上限了，怎么辦呢？按照前面說的，劃分網(wǎng)段，分完網(wǎng)斷之后，不同網(wǎng)段之間互訪就要找自己的網(wǎng)關(guān)，比如192.168.1.2-192.168.1.254找192.168.1.1，192.168.2.2-192.168.2.254找192.168.2.1等等，在通過網(wǎng)關(guān)進(jìn)行通信，能實(shí)現(xiàn)這種功能的交換機(jī)一般就是三層交換機(jī)了。

細(xì)心的小伙伴可能會(huì)發(fā)現(xiàn)家用路由器還有一個(gè)LAN設(shè)置和DHCP設(shè)置，用來配置下發(fā)上網(wǎng)設(shè)備的主機(jī)地址，一般是192.168.1.1或者192.168.0.1網(wǎng)段，還有個(gè)網(wǎng)關(guān)地址，不過一般只能配置一個(gè)網(wǎng)段。LAN設(shè)置相當(dāng)于一個(gè)二層交換機(jī)或者弱三層交換機(jī)。

如果交換機(jī)性能足夠高、數(shù)量足夠大，就能夠解決所有主機(jī)之間的互訪問題，但是無法解決IP地址不夠用的問題，所以就需要做IP地址轉(zhuǎn)換，網(wǎng)絡(luò)上叫做NAT（network address translation），將保留的內(nèi)網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址。這也就是為什么幾乎家家的電腦或者手機(jī)地址都是192.168.1.1網(wǎng)段或者是192.168.0.1網(wǎng)段卻能自如上網(wǎng)，沒有沖突，但是卻不能互訪的原因。那什么設(shè)備能實(shí)現(xiàn)NAT這個(gè)功能呢？就是路由器，NAT也是路由器和交換機(jī)最主要的區(qū)別之一。而家用路由器是具備這個(gè)功能的，可以理解為是一款具備無線功能的路由交換一體機(jī)。而無線，就是使用標(biāo)準(zhǔn)協(xié)議，使終端之間使用天線就能完成用網(wǎng)線完成的工作，大大提升了網(wǎng)絡(luò)使用的便捷性。

廣義的交換機(jī)就是一種在通信系統(tǒng)中完成信息交換功能的設(shè)備。交換機(jī)(英文：Switch，意為"開關(guān)")是一種用于電信號(hào)轉(zhuǎn)發(fā)的網(wǎng)絡(luò)設(shè)備。它可以為接入交換機(jī)的任意兩個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)提供獨(dú)享的電信號(hào)通路。最常見的交換機(jī)是以太網(wǎng)交換機(jī)。其他常見的還有電話語音交換機(jī)、光纖交換機(jī)等。

路由器（Router），是連接因特網(wǎng)中各局域網(wǎng)、廣域網(wǎng)的設(shè)備，它會(huì)根據(jù)信道的情況自動(dòng)選擇和設(shè)定路由，以最佳路徑，按前后順序發(fā)送信號(hào)。 路由器是互聯(lián)網(wǎng)絡(luò)的樞紐，"交通警察"。路由和交換機(jī)之間的主要區(qū)別就是交換機(jī)發(fā)生在OSI參考模型第二層（數(shù)據(jù)鏈路層），而路由發(fā)生在第三層，即網(wǎng)絡(luò)層。這一區(qū)別決定了路由和交換機(jī)在移動(dòng)信息的過程中需使用不同的控制信息，所以說兩者實(shí)現(xiàn)各自功能的方式是不同的。

前面提到了OSI（Open System Interconnection的縮寫，意為開放式系統(tǒng)互聯(lián)）七層模型，OSI是一個(gè)開放性的通信系統(tǒng)互連參考模型，他是一個(gè)定義得非常好的協(xié)議規(guī)范。OSI模型有7層結(jié)構(gòu)，每層都可以有幾個(gè)子層。OSI的7層從上到下分別是 7 應(yīng)用層 6 表示層 5 會(huì)話層 4 傳輸層 3 網(wǎng)絡(luò)層 2 數(shù)據(jù)鏈路層 1 物理層 ；其中高層（即7、6、5、4層）定義了應(yīng)用程序的功能，下面3層（即3、2、1層）主要面向通過網(wǎng)絡(luò)的端到端的數(shù)據(jù)流。結(jié)合之前提到的TCP/IP四層模型，對(duì)應(yīng)關(guān)系如下圖所示：

對(duì)應(yīng)的就不詳細(xì)展開了，各層面大概能對(duì)應(yīng)的網(wǎng)絡(luò)設(shè)備如下圖所示：

交換機(jī)和路由器前面已經(jīng)說過了，再上層的防火墻比路由器多了主要是基于報(bào)文流、會(huì)話和安全域等的隔離和檢測(cè)機(jī)制，通過訪問控制，能實(shí)現(xiàn)傳輸層的攻擊防范。而基于一些會(huì)話特征，能識(shí)別出特定的攻擊行為、或者說可以對(duì)攻擊行為做出防范動(dòng)作的，就是入侵檢測(cè)或者入侵防范（IDS/IPS）。再上層，基于流量特征或者流量?jī)?nèi)容特征，即可實(shí)現(xiàn)負(fù)載均衡，主要用于CDN網(wǎng)絡(luò)等大流量場(chǎng)景，所以負(fù)載均衡設(shè)備有時(shí)候也稱為應(yīng)用交付設(shè)備ADE。而最上層，基本完全基于數(shù)據(jù)內(nèi)容進(jìn)行識(shí)別的就是APM，通過抓取分析報(bào)文，可以看出這是打游戲的流量還是看視頻的流量，在流量未加密的情況下，甚至可以看到你玩的是什么游戲、追的是什么劇。

以上大概就是對(duì)網(wǎng)絡(luò)概念的一些解釋。之前的文章中也有一些分析，如《WireShark抓包報(bào)文結(jié)構(gòu)分析》、《通過三種工具看一次HTTP報(bào)文交互過程》和《從報(bào)文交互看Telnet協(xié)議的安全系數(shù)》就有相關(guān)報(bào)文數(shù)據(jù)傳輸交互的分析，歡迎大家批評(píng)指正！