交换机、路由器和防火墙的关系

https://promotion.aliyun.com/ntms/yunparter/invite.html?userCode=qqwovx6h

链接：https://zhuanlan.zhihu.com/p/31248452
链接：https://zhuanlan.zhihu.com/p/56460613

交换机、路由器、防火墙几乎是现代局域网络都要使用的网络设备，其中，交换机负责连接网络设备（如交换机、路由器、防火墙、无线AP等）和终端设备（如计算机、服务器、摄像头、网络打印机等）；路由器实现局域网与局域网的互联，局域网与Internet的互联；而防火墙作为一个安全网络设备，作用于内部网络与内部网络之间，或者内部网络与Internet之间。总的来说，交换机负责连接设备，路由器负责连接网络，防火墙负责网络访问限制。

交换机连接图：

交换机连接方式图

路由器连接图：

路由器第一种连接方式图

路由器第二种连接方式图

防火墙连接图：

第一种连接方式

防火墙第一种连接方式图

防火墙第二种连接方式图

下面通过分别对交换机、路由器、防火墙的图文描述，让大家对这三个网络设备有进一步的了解。

一.交换机概述

1.交换机的功能

交换机的功能是连接计算机、服务器、网络打印机、网络摄像头、IP电话等终端设备，并实现与其它交换机、无线接入点、路由器、网络防火墙等网络设备的互联，从而构建局域网络，实现所有设备之间的通信。

交换机连接功能图

2.交换机的工作原理

交换机位于OSI参考模型中的第二层（数据链路层），交换机的工作依赖于对MAC地址的识别（所有的网络设备都有一个唯一的MAC地址，通常是由厂商直接烧录进网卡中）。

当交换机从其某个端口收到一个数据包时，先读取包头中的源MAC地址（即发送该数据包的设备网卡的MAC地址），将该MAC地址和端口对应起来添加到交换机内存里的地址表中；然后再读取包头中的目的MAC地址，对照内存里的地址表看该MAC地址与哪个端口对应，如果地址表中有该MAC地址的对应端口，则将该数据包直接复制到对应的端口上，如果没有找到，则将该数据帧作为一个广播帧发送到所有的端口，对应的MAC地址设备会自动接受该帧数据，同时，交换机将接受该帧数据的端口与这个目的MAC地址对应起来放入内存中的地址表中。

二.路由器概述：

路由器的功能

路由器是一种智能选择数据传输路径的网络设备，其依赖的是数据中的IP地址，功能如下：

1.连接网络

路由器也称为网关，它将局域网络连接起来组成规模更大的广域网络，在连接异构网络时（异构网络就是指不同的网络类型，如ATM网络，FDDI网络，以太网络等），由于异构网络采用不同的数据封装方式，无法直接通信，而路由器能够将这些不同的封装数据进行“翻译”，从而实现异构网络的通信。此外，对于局域网而言，广域网无疑是一个异构网络。

异构网络连接图

2.隔离广播

由于交换机会将广播发送到整个网络中的每个端口，这会严重影响网络的传输效率，并且会大量占用计算机的CPU性能。路由器可以将这些广播隔离在局域网内，以达到分隔广播域的作用，从而提高每个局域网的传输效率。

路由器分隔广播域图

如上图所示，路由器将广播域分成四个部分，每个交换机连接一个小的局域网，四个小型局域网分别使用各自的广播域广播。另外，使用VLAN(虚拟网)技术也能实现分隔广播域的作用。

3.路由选择

在路由器内存中的路由表中列出了整个互联网络的各个节点，以及这些节点的路径和传输费用（路由表会根据网络的实际情况不断的动态更新它的路由表，从而保持有效的路由表），路由器会按照预先制定的策略，智能的选择到达目的路由器的路径。

路由选择图

如上路，如果不考虑传输费用的情况，路由器1到路由器4的传输，它会自动选择1-4的路径，而不是1-2-3-4的路径。

4.网络安全

作为整个局域网络与外界联络的唯一出口，路由器还担负着保护内部用户和数据的责任。

地址装换：局域网内的终端设备使用的是内部保留IP地址（一般情况这些IP地址的IP段有：192.168.0.0--192.168.255.255,10.0.0.0--10.255.255.255,172.16.0.0--172.16.255.255等），这些IP地址并不会被路由到Internet，当内部终端设备需要和外部网络通信时，路由器会将地址转换为合法的IP地址，实现对Internet的访问。

访问列表：网络工程师可以预先在路由器上设定各种访问策略，规定哪段时间，什么网络协议和哪种网络服务可以被允许进出局域网，从而提高了网络的传输效率和安全性。

路由器的工作原理

当同一网络中的计算机需要向同一网络中的另一台计算机发送数据时，只需将这一数据发送到这个网络，另一台计算机就能收到；当需要向其它网络的计算机发送数据时，将直接把数据发送到默认网关（即路由器的IP地址），由默认网关将数据通过最佳传输路径转发至目的计算机的默认网关，再由目的计算机的默认网关将数据发送给目的计算机。

默认网关图

路由器在发送数据包的时候会根据数据包中的目的IP地址查找路由表，如果路由表中有该IP的信息，路由器会选择最佳传输路径发送。如果路由表中没有该IP，路由器则会将数据传输到路由器的默认网关（路由器的默认网关为网络中的另一个路由器的IP），通过路由器的默认网关路由器将数据传输出去，如果始终无法找到目的IP终端，则该数据包会被网络丢弃。

路由器工作原理图

路由器的作用

路由器在不同的网络之间进行转换。除了最常用的以太网，还有许多其他不同的网络，如ATM和令牌环网。网络会以不同的方法封装数据，因此它们不能直接通信，而路由器可以从不同的网络“转换”这些数据包，以便不同网络之间能够更有效地传输数据。

路由器可以减少网络混乱。若没有路由器，广播将转发到每个设备的每个端口，并由每个设备处理。当广播数量太大时，整个网络都会比较混乱，这时候路由器将网络细分为两个或多个由其连接的较小的网络，并且不允许广播在子网之间传输。

三.防火墙概述

防火墙又称网络防火墙，是指设置在计算机网络之间的一道隔离装置，它可以隔离两个或者多个网络，限制网络互访，从而保护内部网络用户和数据的安全。

网络防火墙的功能

1.隔离网络

网络防火墙通常位于路由器与内部网络（即局域网）之间，对所有进出局域网的数据进行过滤和筛选，从而避免了来自外部网络的网络攻击，保护了内部网络。

防火墙隔离内部和外部网络图

同时，网络防火墙还可以隔离内部网络，将内部网络中的一些重要部门和普通用户隔离起来，从而避免来自网络内部的恶意攻击。

防火墙隔离内部重要网络

2.保障安全

网络防火墙能将所有的安全软件（如密码、加密、身份证、审计等）设置在防火墙上，进行集中有效的管理。

内部网络和外部网络的所有数据流都要进过防火墙，防火墙通过查看这些数据流的IP地址和端口判定数据流是否符合防火墙预先设定的安全策略，如果符合，让其通过；如果不符，则禁止通过。

网络防火墙可以将MAC地址与IP地址绑定起来，防止受控的网络内部用户通过修改IP地址来访问外网。

网络防火墙的工作原理

防火墙的种类大致可以分为两种，一种是包过滤型防火墙，一种是应用代理防火墙。

1.包过滤防火墙

包过滤防火墙工作于OSI参考模型的第四层（即网络传输层），通过检查每个数据包的IP地址，所采用的通信协议和端口号等判断是否允许放行。防火墙通过将数据包的内部状态信息和自己内存中设定的安全策略进行对照，如果该数据包符合安全策略中的某一条策略，那么允许数据通过；如果不符合任何安全策略，那么防火墙会执行默认的处理规则（一般情况下，默认的处理规则就是丢弃该数据包）。

2.应用代理防火墙

应用代理防火墙工作于OSI参考模型的第七层（即应用层），当客户机需要使用服务器上的数据时，首先将数据请求发送给代理服务器，由代理服务器根据这一请求向服务器请求数据。然后再由代理服务器将返回的数据转给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的攻击就难以进入到内部网络。

防火墙、路由器和交换机的连接

通常来说，路由器是局域网的第一步，而内部网络和路由器之间的防火墙用来过滤非法入，接下来需要连接的是交换机。需要注意的是，许多互联网提供商现在正在提供光纤服务（FiOS），因此您需要在防火墙之前使用调制解调器将数字信号转换成可通过以太网铜缆传输的电信号。所以典型的连接方式依次是Internet-调制解调器-路由器-防火墙-交换机，然后交换机再连接其他网络设备。

结语

不管是交换机，路由器还是防火墙，这些网络设备的功能实现都需要网络工程师预先对设备进行配置（比如VLAN虚拟网端口的划分，防火墙安全策略的配置，路由器默认网关的设定等），其实从某种层面来说，这些网络设备都是计算机，都有cpu和内存，都是通过cpu对机器语言的“翻译”来实现硬件功能的实现。