圖解網絡：組建一個網絡需要哪些網絡設備和安全設備 - 網安

網絡的官方解釋是指計算機或類似計算機的網絡設備的集合，它們之間通過各種傳輸介質進行連接。

無論設備之間如何連接，網絡都是將來自于其中一臺網絡設備上的數據，通過傳輸介質傳輸到另外一臺網絡設備上。

作為網工，我們接觸到最多的反而不是網絡，而是網絡硬件。

你腦海里第一個浮現出的硬件是啥？

我們平時工作里常見的網絡硬件有很多，比如說什么網卡、中繼站、集線器、橋連接器、交換機、路由器等等。

但是，你在接觸它們時，想過這些問題嗎，比如：

為什么我們的網絡需要路由器、交換機或防火墻？

一個可用的網絡需要部署多少個網絡設備？

網絡硬件的發展有什么規律可循？

了解這些規律后，怎么能更好的提升工作效率？

通過這篇文章，告訴你網絡硬件是如何演變的，來解答你的上述困惑。

在發明網絡之前

如何連接PC？

在發明網絡之前，個人計算機之間是獨立工作的，沒有網卡、網線或協議棧，主要使用磁盤、CD和其他東西來傳輸數據。

后來，網線出現了。最小的網絡單元由網線、網卡和協議棧組成。

網線起著物理介質的作用，以傳輸比特流/電信號。網卡將轉換數據，例如，它將計算機存儲的數據轉換為網線的比特流/電信號。協議棧作為一種通信語言，可以在通信過程中實現數據分析、地址尋址和流控制。

網線不夠長怎么辦？

如果終端之間的距離太遠，一旦超過網線物理傳輸距離的上限，數據就會開始丟失。

中繼器是物理層的設備，可以中繼和放大信息以實現設備的遠距離傳輸。

中繼器端口不足怎么辦？

中繼器通常只有兩個接口，這意味著如果網絡中有三個以上的終端主機，則無法實現多個主機之間的直接數據通信。

集線器是一種多接口中繼器，也是一個物理層設備。它可以中繼和放大信息，從任何接口接收的數據都將被發送到所有其他接口。

如何有選擇性的發送數據？

有人把網橋比喻成一個“聰明”的中繼器。因為中繼器只是對所接收的信號進行放大，然后直接發送到另一個端口連接的電纜上，主要用于擴展網絡的物理連接范圍。

而網橋除了可以擴展網絡的物理連接范圍外，還可以對MAC 地址進行分區，隔離不同物理網段之間的碰撞（也就是隔離“沖突域”）。

速度不夠快怎么辦？

交換機可以記錄該終端主機的MAC地址，并生成一個MAC表。MAC表相當于一個“map”，交換機根據MAC表在主機之間轉發數據流。

交換機基于網橋進行擴展和升級。與網橋相比，具有以下優點：

接口數量更密集（每個主機位于一個獨立的沖突域中，帶寬利用率大大提高）
使用專用的ASIC硬件芯片進行高速轉發
VLAN隔離（不僅可以隔離沖突域，還可以通過VLAN隔離廣播域）

交換機是一種局域網設備，通常用于局域網，不能實現遠程廣域網通信。

那如果，距離還不夠的話，要怎么辦？

世界上第一臺路由器是由斯坦福大學的Leonard Bossack和Santi Lerner這對教師夫婦為斯坦福大學校園網絡(SUNet)和思科公司發明的。

路由器是一種基于IP尋址的網絡層設備，利用路由表來實現數據轉發。路由器主要用于連接不同的局域網以實現廣播域隔離，也可以用于遠程通信，如廣域網連接。

諸如IP協議之類的邏輯尋址機制是實現不同類型局域網連接的關鍵。不同局域網的主機只要具有邏輯地址（IP地址）和合理的邏輯地址規劃（網段規劃），它們就可以通信。

路由器的誕生是互聯網爆炸的主要原因，跨媒介、跨地域的網絡集成已成為現實。

接線太麻煩怎么辦？

無線AP可以被視為具有無線功能的交換機/路由器。隨著無線城市和移動辦公的發展趨勢，無線產品在網絡中所占的比例正在增加。

根據部署方式的不同，可以分為胖AP和瘦AP解決方案。

在胖AP方案中，無線AP具有獨立的操作系統，該操作系統可以獨立調試無線熱點的所有配置，類似于家用Tp-link產品。在瘦AP方案中，無線AP僅具有無線信號傳輸功能，所有命令調試都集中在后臺的AC

/無線控制器上。小型無線網絡（家庭、小型企業）可以使用胖AP解決，而大型無線網絡（無線城市、無線園區網絡）則需要使用瘦AP（AC +

AP）解決。

不夠安全怎么辦？

防火墻是一種用于限制網絡安全訪問的網絡安全產品，通常用于Internet的邊緣，以防止外部黑客的攻擊。

根據防火墻的技術特點，可以分為包過濾、應用代理和狀態檢測防火墻。根據產品形式，可以分為軟件防火墻和硬件防火墻。

防火墻可視為具有安全功能的路由器。早期的防火墻在路由器的基礎上增加了訪問控制功能，因此在路由器上可以看到許多防火墻的功能，例如路由協議、訪問控制列表、地址轉換技術等。

防火墻和路由器可以同時存在于網絡中。例如，防火墻可以放置在路由器之前或之后。在這種情況下，路由器側重于地址轉換和路由策略，而防火墻側重于安全隔離等。

在防火墻的基礎上，擴展出了Web防火墻、安全網關和入侵檢測/入侵防御等安全產品。

這時候，如果網絡擁塞怎么辦？

網絡中的流量控制設備主要分為上網行為管理、負載均衡器/應用交付、鏈路優化等。

行為管理產品主要關注細粒度的區分和流量控制。兩種負載平衡/應用程序交付側重于流量的負載平衡（根據流量特征、應用程序、地址等進行區分，然后分配到不同的鏈接和服務器）；

鏈接優化主要用于廣域網等低速鏈路的邊界，以使鏈路利用率最大化。

組成一個網絡需要多少種設備？

01 家庭SOHO網絡

這是一個典型的家庭網絡，它通過無線路由器提供WiFi熱點訪問，并提供路由器連接到外部網絡。

02 小型企業網絡

小型企業網絡使用二層架構、單核拓撲，需要路由器、交換機和服務器。

03 園區網

最常見的園區網架構，如大中型企業網絡/校園網絡，采用接入匯聚核三層架構和雙核組網。根據網絡需求，分為用戶區、內部服務區、外部服務區、管理區、Internet區等，它們通過核心交換機和防火墻連接并隔離。

互聯網使用多出口連接，通過路由器實現撥號和NAT，通過流量控制設備實現負載均衡/ 上網行為管理，通過防火墻實現安全隔離。

04 數據中心網絡

下圖是典型的大型第二層數據中心網絡/

IDC設計，主要分為租戶區（服務集群）、Internet區和安全管理區域。其中，租戶區采用設備虛擬化和鏈路虛擬化技術，提高設備處理能力和鏈路承載能力，并將負載均衡器放置在服務器區域中，以合理有效的方式將流量分配給固定服務器。

Internet出口區域使用路由器執行BGP和地址反轉，使用IPS / anti-DDoS設備進行大流量泛洪攻擊，使用流量控制執行出口負載，并使用防火墻進行安全隔離。安全管理區通過防火墻安全訪問，通過審計、日志、入侵檢測、網絡管理等產品對整個網絡進行管理。