计算机网络设备

3.1.2　计算机网络设备

计算机网络设备又叫网络互联设备。网络互联是一项集成技术，它通过互联设备把具有不同协议体系结构的网络连接起来，以适应更大范围联网的需要。网络互联设备种类很多，下面主要介绍集线器、调制解调器、中继器、网桥、网卡、路由器、交换机等。

网络互联设备的设置都是有特定目的的，它们是保证互联运行的基础。按照ISO/OSI模型可将互联划分成四个层次，即物理层、数据链路层、网络层和高层，与之相对应的互联设备分别是：集线器、中继器、网桥、路由器和网卡等。

1）集线器

集线器（Wiring HUB）又称集中器（Concentrator）。在计算机网络中，使用集线器的目的，是把分散的网络线路集中在一起，即将各个独立的网络分段线路集中在一个设备中。

集线器工作在OSI的第一层，即物理层，是网络连线的汇集连接点，是局域网中的重要部件之一。集线器是用来扩展以太网范围的设备，让更多端站点能像在一个网段中相互通信。集线器不对经过的流量做处理或查看，其用途仅仅是延伸物理介质。其基本原理是使用广播技术，也就是HUB从任一个端口收到一个信息包后，就将此信息包广播发送到其他所有端口。

根据IEEE802委员会通过的以太网10Base-T标准，集线器的主要功能为：每个双绞线接口只与一个工作站（网卡）相连，信号点对点传输；当某一端口接收到信号时，集线器将其整形再生后发往其他所有端口；集线器本身可自动检测信号碰撞，每当碰撞发生时，立即发出阻塞信号，并通知其他端口；某一端口的传输线或工作站发生故障时，集线器将自动隔离该端口，而不影响其他端口的正常工作。

2）中继器

中继器（Repeater）是为了解决网络电缆太长，传输信号因衰减而导致误码率上升等问题而专门设置的设备。可见在两段电缆之间所加的中继器是专门用来对计算机信号进行放大和重发的，故又称为重发器。

中继器在总线以太网中的使用比较普遍，如IEEE802.3规定以太网中两个用户之间的电缆最长不得超过500m，如果电缆中使用中继器则最远距离可达1 500m。环形令牌网中的信号，由工作站节点来加以增强，可以不设中继器。

最简单的中继器是一个端口输入，一个端口输出。当今，中继器常和集线器、网桥集成在一起。

3）调制解调器

调制解调器（Modem）是取Modulator-Demodulator两个英文单词的缩写合并生成的。

调制解调器是计算机远程通信的一种数据传输设备。把计算机输出的原始数字信号变换为适应模拟信道传输的信号的过程称作调制，实现调制的设备叫调制器。把已调信号恢复成数字信号的过程称作解调，相应的设备叫解调器。调制解调器是调制器与解调器的总称。在网络系统中，它的一端和计算机的RS-232接口相连，两者之间使用串行数字通信；另一端与公共电话网PSTN连接。调制解调器之间使用受调载波信号进行通信。

同轴电缆式调制解调器Cable Modem在有线电视网中有广泛的应用。Cable Modem基于能双向传输的有线电视（CATV）网，可以实现高速数据访问，最高可以达到10Mbit/s的下行速率和3Mbit/s的上行速率。它安装简单、使用方便，用户只需在计算机上安装一块10Base-T以太网卡，再用网线与有线电视网连接即可。无需拨号，可以一直在线且具有下载速度快、抗干扰能力强、费用低廉等优点。

4）网卡

网卡（Network Interface Card，NIC），又称网络卡或网络接口卡。为了将智能设备如服务器、工作站，连接到网络中，需要在网络通信介质和智能设备之间用网络接口设备进行物理连接，局域网中多用网卡完成这一功能。网卡插在计算机扩展总线槽内，通过总线与计算机连接，网卡上的电路提供通信协议的产生与检测，用以支持对应的网络类型。为了提高网络的吞吐性能，网卡上均带有数据库分组缓存芯片。对于无盘工作站，网卡还能提供一个远程启动EPROM。

网卡的基本功能包括：基本数据转换（例如并行到串行或串行到并行）、信息包的装配和拆装、网络存取控制、数据缓存、网络信号生成等。网卡一方面要和计算机的RAM交换数据；另一方面必须以网络物理数据路径或介质速度、格式传送或接受数据。在网络中数据是串行按位传送的。

5）网桥

网桥（Bridge）是一种用于连接两个网络的器件，以使它们像一个网络一样工作。如将实际上分离的局域网连接成一个逻辑上统一的局域网。一个局域网上的用户可以透明地通过网桥访问另一个网络上的资源，好像访问是在同一个局域网中进行。网桥在网际互联上是一种具有“智能”的设备，而中继器、集线器虽然也起到互联网络作用，但它们并不具备智能。

网桥根据收到的信息分组的源地址和目的地址来确定并形成传输路径，同时修改路径表，按照定期更新的路径表在毫秒级的时间内，完成查表和更新表项的工作。

6）路由器

路由器（Router）是一个超智能的网桥，网桥只知道网络两边计算机的地址，而路由器不仅知道所有计算机的地址，还知道网上别的网桥和路由器，并能选择最有效的路径来传递网络信息。它能监听整个网络，了解网络各个部分的状态，如果它发现某个部分很忙，就选择一条较空闲的路径来传送信息，这是路由器最为突出的特点。

路由器的工作原理是，在网络中收到任何一个数据包（包括广播包）时，都先将该数据包第二层（数据链路层）的信息去掉（称为“拆包”），并查看第三层信息（IP地址）。然后，再根据自己存储的路由表确定数据包的路由，其后检查安全访问表，如果能够通过，则进行第二层信息的封装（又称“打包”），最后将该数据包转发。此时，如果在路由表中不能查到对应地址的网络地址，则路由器将向源地址的站点返回一个信息，然后将这个数据包丢弃。

路由器是广域网中的典型连接设备，它通过使用不同的路由协议来控制网络中数据包，并利用访问控制列表来提高网络的安全性。

路由器有两个典型的功能，即数据通道功能和控制功能。数据通道功能包括转发决定、背板转发以及输出链路调度等，一般由特定的硬件来完成；控制功能包括与相邻路由器之间的路由信息交换、系统配置、系统管理等，一般用软件来实现。其具体功能是：将大型网络拆分为较小的网络，以提高网络的带宽。在网络之间充当网络安全层，具备包过滤功能的路由器还可作为硬件防火墙使用，为局域网提供安全隔离。由于广播消息不会通过路由器，因此路由器可以防止网络风暴。实现不同网络协议的连接。选择最优的路由。路由器可以识别到达目标网络的多条路径，并按照某种策略从中选择最优的路径。

7）网关

网关（Gateway）是在复杂网络中充当不同协议“翻译者”任务的互联设备，又名“协议转换器”（Protocol Converter）。智能建筑的系统集成利用“网关”作为互联设备，把使用不同协议的各个子系统，集成到一个计算机平台上。因此，网关设备在智能化系统集成上获得了广泛的应用。

网关是在不同协议的网络之间执行信息交换的设备。它能把信息从这个网络格式翻译成另一个网络格式，把类型差别很大的网络连在一起，实现不同网络间4～7层协议的互联。

网关与路由器、网桥相比具有更大的作用。它可以改变报文的格式，使之与接收端的应用程序相一致。网关不仅连接分离的网络，还必须确保一个网络传输的数据格式与另一个网络的数据格式相兼容。路由器将写入信息包或信息帧的寻址信息直接发送，并不改变这些报文的格式。

网关设备一般使用微型计算机或文件服务器，可用于不同协议局域网的互联，也可用于广域网。

如果采用一个独立的服务器或计算机作为网关设备，可使网络管理更为简便。监视单个网关的通信可以代替监视网络上几十台设备的通信，这时，网关就相当于主机的一个单独的外设，替代了簇控器。

在广域网环境中，网关可以均衡通信负载，为失效连接寻求最经济的路径。同时，网关还自动进行协议的翻译，并为每一个加入到网络中的新连接完成互联。

然而，只要接入网关，其翻译必然要占用一定的网络资源，减慢通信速率，使网络性能下降。为了解决这些问题，加速开发“智能网关”是目前网关发展的必然趋势和重点所在。

8）交换机

交换机（Switcher）是信息网络中的核心设备，它作用于OSI模型的第二层，即数据链路层。它可以在传统的LAN中消除竞争和冲突。在交换机中数据帧通过一个无碰撞的交换矩阵到达目的口。常用的交换机有美国的3COM、Bay、Intel、Cisco，中国台湾的Accton、D-link，内地的联想、实达、华为等。

交换机的作用与集线器不同，它并不把数据帧发往所有的端口，而只向目的口发送。交换机检查每一个收到的数据帧，并且对该数据帧进行相应的动作处理。在交换机内存中保存着一个物理地址表（MAC地址和交换机端口的对照表），它只允许必要的网络流量通过端口。例如，当交换机接收到一个数据帧之后，它会根据自身保存的MAC地址表检验数据帧内包含的发送方地址和接收方地址。如果接收方地址位于发送方地址的物理网段，那么该数据帧就会被交换机丢弃，而不会传送到其他物理网段，从而减少冲突域；如果接收方地址与发送方地址属于不同的物理网段，那么交换机就会根据内存中的地址表找到对应的端口，将该数据帧从该端口转发到目标物理网段；如果不知目的地址，则采用广播方式向所有的连接端口转发，并把目标主机的MAC地址记录到自己的物理地址表中（这称为自学习功能）。通过交换机的过滤和转发功能，可减少误帧和错帧的出现。

交换机可根据其在网络中的地位分类。可分为：中心交换机、骨干交换机和工作组交换机。中心交换机是局域网络的枢纽，通常位于网络通信机房，使用千兆位三层交换机；骨干交换机位于各建筑物内，向上通过高速链路，通常是光缆，连接至中心交换机。向下根据距离和传输速率的不同要求，通过光缆或双绞线连接至工作组交换机。在网络中起承上启下的作用，通常使用千兆位交换机；工作组交换机向上连接至骨干交换机，向下直接连接计算机，为计算机提供网络接入端口，通常使用带千兆Uplink端口的快速以太网交换机。

从传输介质和传输速度上可分为以太网交换机、快速以太网交换机、千兆以太网交换机、FDDI交换机、ATM交换机和令牌环交换机等。

从规模应用上可分为企业级交换机、部门级交换机和工作组交换机等。

在网络中交换机有两方面的重要功能：第一，交换机可以将原有的网络划分为多个段，能够扩展网络有效传输距离，并支持更多的网络节点；第二，可以有效隔离网络流量，减少网络中的冲突，缓解网络拥挤状态。但是，在使用交换机处理数据包的时候，不可避免地会带来延迟时间，所以，在不必要的情况下盲目使用交换机可能会在实际上降低整个网络的性能。为了在物理上增加端口的数量还可对交换机进行级联和堆叠。级联和堆叠可以提高端口密度，满足高速传输的要求，同时便于管理，如一个堆叠的若干台交换机可视为一台交换机，只需赋予其一个IP地址，即通过该IP地址对所有交换机进行管理。

目前交换机还具备了一些新的功能，如对VLAN（虚拟局域网）的支持、对链路汇聚的支持，甚至有的还具有防火墙功能。

9）防火墙

防火墙（Fire Wall）是保证网络安全的重要器件，人们常称之为“具有安全意义上的路由器”。随着防火墙技术的发展，有防火墙作用的已远不止屏蔽路由器一种，还有带有滤波器作用的网关、具有防火墙作用的代理服务器等。

Internet在全世界的快速发展，已经成为信息技术的一种标志。据统计，20世纪末全世界已有超过100万个计算机网络和超过10亿的用户加入了Internet，并且还在以每年300%的速度递增。据不完全统计，我国Internet用户已超过200万。由此可见网络在知识经济中发挥着越来越大的作用。然而，Internet也有其脆弱性，社会上的那些不法之徒利用Internet的弱点和漏洞，肆无忌惮地进行攻击。1988年11月小Robert T.Morris放出的Internet蠕虫感染了数千台主机。人们常常把这些作恶多端的人称为黑客。黑客通过猜测程序对截获的用户账号和口令进行破译，以便进入系统作进一步的操作。他们利用破译程序对初步破译的系统密码进行进一步破译，以获取具有较高权限的账号，再利用网络和系统本身存在的薄弱环节和安全漏洞实施电子引诱，如安放特洛伊木马，以进一步盗取有用信息，或通过系统应用程序的漏洞，如CGI程序，获得用户口令，侵入系统等。目前，几乎每20秒全球就有一起黑客事件发生，仅美国每年因黑客入侵所造成的经济损失就超过75亿美元。我国政府对网络安全十分重视，已开始研制专门针对黑客入侵的、具有自主版权的网络安全产品，如中科院高能物理研究所与福建省海峡科技信息中心联合研制的“网威”入侵防范软件等。公安部已要求各级党政机关、银行证券、电力电信、铁路民航等部门的网络系统原则上不得使用国外安全产品，以确保重要部门的保密性和安全性。

目前，“防火墙”已作为隔离网络的一个屏障，用来保证内部网的安全。它有以下几种类型：

（1）屏蔽路由器

屏蔽路由器是一个多端口的具有防火墙功能的路由器，它对每一个收到的IP包依据一组规则进行检查判断是否转发。屏蔽路由器从包头取得信息，例如协议号、收发报文的IP地址和端口号，连接标志以及其他一些IP选项，对IP包进行过滤。

屏蔽路由器的优点是简单、低成本。缺点是正确建立包过滤规则比较困难，有时无法对用户身份进行认证。目前，许多开发商正在着手解决这些问题，并提供远程身份认证拨入用户服务（Redius）。

（2）代理服务器

在防火墙系统中，代理服务器能够代替网络用户完成特定的TCP/IP功能。一个代理服务器本质上是一个应用层的网关，一个为特定网络应用而连接两个网络的网关。

代理服务器的优点是具有用户级的身份认证、日志记录和账号管理功能。其缺点是要想提供全面的安全保证，就要对每一项服务都建立对应的应用层网关。这严重地限制了新的应用。一个名为Socks的包罗万象的代理服务器已经问世，它主要由一个运行在防火墙系统上的代理服务器软件包和一个链接到网络应用程序的库函数包组成，这样的结构有利于新应用的挂接。

屏蔽路由器和代理服务器通常组合在一起构成混合系统，其中屏蔽路由器主要用来防止IP欺骗攻击。目前最广泛采用的配置是Dual-homed防火墙，被屏蔽主机型防火墙以及被屏蔽子网型防火墙。

（3）滤波型防火墙

有的防火墙主要由滤波器（Filter）和网关组成。滤波器的作用是阻止某些类型的通信传输，而网关的作用是提供中继服务，以补偿滤波器的效应。滤波可分为分组滤波、应用级滤波、线路滤波三种类型。一般情况下，滤波器只设置在本网络和外界之间，但对一些大的网络，还需要设置内部滤波器。典型的配置是使用两个滤波器，外部滤波器防卫来自网关外部的攻击，内部滤波器对一系列中间网关进行防卫。有时还需要一些安全域以和一般用户域隔离，例如将管理域和用户域隔离，即对不同级别的安全域设置不同数量的防火墙。