网络硬件干货知识

andyyah晓波

于 2025-06-22 11:52:58 发布

阅读量805

点赞数 7

CC 4.0 BY-SA版权

文章标签：网络智能路由器

本文链接：https://blog.youkuaiyun.com/andyyah/article/details/148825511

网络硬件干货知识
📡 网络硬件通用基础知识
网络的构成要素
网络构成要素的定义
网络的构成要素是指构建计算机网络所需的基本组件，包括硬件、软件、协议等。

主要构成要素包括：
硬件设备：如交换机、路由器、防火墙等。
软件：操作系统、网络管理软件等。
协议：通信协议如TCP/IP等。
OSI参考模型复习
OSI模型（开放系统互联模型）是网络通信的标准模型，分为七层：
物理层
数据链路层
网络层
传输层
会话层
表示层
应用层
LAN和以太网
LAN的标准
**局域网（LAN）**是覆盖小区域的网络，通常用于连接少量设备。
以太网的定义
以太网是一种广泛使用的局域网技术，主要用于连接计算机和网络设备。

以太网标准的数据处理
数据处理的种类
以太网上的数据：以太网使用帧的方式传输数据。
不同标准的以太网：
10BASE-T：速度为10 Mbps，使用双绞线。
100BASE-TX：速度为100 Mbps，使用双绞线。
1000BASE-T：速度为1 Gbps，使用双绞线。
1000BASE-SX/LX：适用于光纤连接，分别为短距离和长距离。
网络设备的构成要素
通用服务器与专用设备
通用服务器：可运行多种应用程序的硬件。
专用设备：为特定功能而设计的设备，如路由器和防火墙。
分门别类的网络设备
设备类型描述
交换机连接多个设备并转发数据包
路由器连接不同网络并路由数据包
防火墙保护网络安全，过滤数据流
硬件组成部分
CPU：执行计算机指令的核心部件。
存储设备：存储数据的设备，如硬盘驱动器（HDD）和固态硬盘（SSD）。
存储器：用于临时存储数据的组件。
接口：连接不同设备的端口。
线缆与周边设备
双绞线缆
双绞线：常用于局域网连接，具有抗干扰能力。
光纤
光纤是用于高速数据传输的介质，具有更大的带宽和传输距离。

彻底理解L2交换机
中继器和网桥的不同点
中继器：用于扩展网络，放大信号。
网桥：用于连接两个局域网，过滤和转发数据。
交换机的优点
提高网络的效率和性能，减少数据冲突。
通过以上内容，读者可以对网络硬件的基本构成有更深入的理解，为后续的学习奠定基础。

📡 交换机的基本概念与分类

交换机数据帧的传输方式
交换机在网络中负责数据帧的接收与转发。数据帧的传输方式主要有以下几种：

单播：数据帧从一个源设备发送到一个目标设备。
广播：数据帧从一个源设备发送到网络中的所有设备。
组播：数据帧从一个源设备发送到一组目标设备。
2. 自适应交换
自适应交换是一种交换技术，可以根据网络条件动态调整数据传输的方式，以提高效率和减少延迟。

全双工和半双工
全双工：设备可以同时进行数据的发送和接收。
半双工：设备在同一时间只能进行数据的发送或接收。
交换机的处理能力
交换机的处理能力通常用以下指标来衡量：

带宽：交换机处理数据的能力，通常以每秒多少比特（bps）来表示。
延迟：数据在交换机中传输所需的时间。
5. 交换机的分类
5.1 按照功能分类
普通交换机：用于基本的数据转发。
智能交换机：具备一定的网络管理功能。
5.2 按照设备外形分类
分类描述
桌面型交换机适合小型网络或办公室使用
机架型交换机适合数据中心等大型网络
5.3 根据用途分类
企业交换机：为企业内部网络设计。
运营商交换机：用于电信运营商的网络基础设施。
6. 交换机性能指标的端口种类与数量
6.1 快速以太网（10/100）端口
快速以太网端口支持10/100 Mbps的数据传输速率，适合常规网络应用。

6.2 千兆以太网端口（10/100/1000）端口
千兆以太网端口支持更高的数据传输速率（最高可达1 Gbps），适用于对带宽需求较高的应用。

6.3 光纤专用端口（SFP/SFP+）
光纤端口用于连接光纤网络，提供长距离传输能力。

6.4 PoE端口
PoE（以太网供电）端口可以通过网络线缆为连接的设备供电，如摄像头和无线接入点。

6.5 上行链路端口数
上行链路端口用于连接其他网络设备，通常数量较少。

6.6 下行链路端口数
下行链路端口用于连接终端设备，通常数量较多。

6.7 交换机堆叠
交换机堆叠技术允许将多个交换机连接在一起，形成一个逻辑单元，以提高网络的灵活性和扩展性。

交换机搭载的其他功能
7.1 MAC地址数
交换机能够学习和存储的MAC地址数量影响其转发效率和性能。

7.2 巨型帧
巨型帧支持更大的数据包传输，适合高带宽需求的环境。

7.3 生成树功能
生成树协议（STP）用于防止网络中的环路，确保数据有效传输。

7.4 链路聚合
链路聚合技术可将多个物理链路聚合为一条逻辑链路，以提高带宽。

7.5 VLAN
**VLAN（虚拟局域网）**功能可以将一个物理网络划分为多个逻辑网络，提高网络的安全性和管理性。

7.6 端口镜像
端口镜像功能允许监控和分析网络流量，便于故障排查和性能评估。

7.7 QoS优先级队列
质量服务（QoS）技术通过优先处理重要流量，确保实时应用的性能。

7.8 MAC地址过滤
通过MAC地址过滤，可以控制哪些设备可以访问网络，增强网络安全性。

7.9 基于端口的认证
基于端口的认证机制确保只有经过认证的设备才能访问网络。

7.10 网络管理
交换机的网络管理功能允许管理员监控和配置设备，以优化网络性能。

交换机架构
8.1 网络控制器（LAN控制器）
网络控制器负责管理和控制局域网中的交换机。

8.2 PHY模块
物理层（PHY）模块负责数据的物理传输。

8.3 MAC模块
介质接入控制（MAC）模块负责数据的帧处理和地址管理。

8.4 AUI与MII
**AUI（附件用户接口）和MII（媒体独立接口）**是用于连接物理层与数据链路层的接口标准。

🖥️ 路由器的架构
路由器的构成要素
“路由器是连接不同网络的设备，主要功能是转发数据包。”

主要构成部分
构成要素描述
处理器路由器的“大脑”，负责数据处理和转发
内存存储路由表和临时数据
接口连接不同网络的端口
电源提供设备运行所需的电力
启动路由器的流程
上电自检：检查硬件是否正常工作。
加载操作系统：从存储中加载路由器操作系统。
初始化设置：根据配置文件进行初始化。
启动服务：启用必要的网络服务和协议。
路由器的一般架构
“路由器通常采用模块化设计，以提高灵活性和可扩展性。”

典型架构示例
模块功能
输入模块接收数据包并进行初步处理
转发模块根据路由表决定数据包的转发路径
输出模块将数据包发送至目标网络
路由器的内部冗余
冗余设计的重要性
“冗余设计提高了路由器的可靠性和可用性。”

双电源系统：确保在一电源故障时，另一个电源仍能供电。
热插拔模块：允许在不关闭设备的情况下更换模块。
🛠️ 设置操作系统时使用的命令和模式
初始化
“初始化是配置路由器操作系统的第一步。”

初始化步骤
访问命令行接口 (CLI)：通过控制台连接到路由器。
输入初始化命令：如 setup 开始初始配置。
通过CLI设置
常用命令
命令功能
configure terminal 进入全局配置模式
interface 进入接口配置模式
ip address 配置接口的IP地址
保存设置的方法
“确保配置的持久性，避免重启后丢失。”

保存命令
write memory：将当前配置保存到NVRAM。
copy running-config startup-config：将运行配置复制到启动配置。
恢复出厂设置的重置方法
“恢复出厂设置用于清除所有配置，恢复设备到初始状态。”

重置步骤
断电重启：断开路由器电源。
按住重置按钮：在通电的情况下按住重置按钮。
等待指示灯变化：指示灯变化后释放按钮，完成重置。
📡 理解L3交换机的性能与功能
何为L3交换机
“L3交换机是一种结合了路由器和交换机功能的网络设备。”

L3交换机与路由器的不同
特点 L3交换机路由器
数据转发硬件转发，速度快软件转发，速度相对较慢
功能处理VLAN间的路由多种协议支持，适用于广域网连接
L3交换机的分类
根据形状和用途分类
分类描述
固定型适用于小型网络，功能单一
模块型适用于大型企业网络，功能可扩展
根据性能分类
分类描述
高性能支持高速数据转发和处理
低性能适用于小型网络，处理能力有限
L3交换机搭载的特殊功能
VLAN
“虚拟局域网（VLAN）用于逻辑分隔网络，提高安全性和管理性。”

VLAN环境中的数据流向
同VLAN内：数据包在交换机内部直接转发。
跨VLAN：数据包通过L3交换机进行路由。
VLAN之间的路由选择
“L3交换机通过路由选择实现不同VLAN间的数据通信。”

静态路由：手动配置路由条目。
动态路由：通过路由协议自动学习路由信息。
📡 无线局域网 (Wireless LAN) 和网络硬件基础

无线LAN通信速率与覆盖范围
1.1 无线LAN的最大通信速率
最大通信速率是指无线局域网在理想条件下所能达到的最高数据传输速率。这个速率受多种因素影响，包括设备的硬件能力、无线信号的强度和环境的干扰等。
1.2 覆盖范围
覆盖范围是无线LAN设备在有效信号强度下所能覆盖的地理区域。通常受限于设备的发射功率、环境障碍物（如墙壁、家具等）以及其他无线信号的干扰。
1.3 干扰
干扰主要来源于其他无线设备、电子设备或物理障碍物，会影响无线信号的质量和稳定性。常见的干扰源包括微波炉、蓝牙设备等。
1.4 无线LAN信道
无线LAN使用不同的信道进行数据传输，信道的选择直接影响到网络的通信质量。避免在相同信道上有多个设备同时工作，可以减少干扰。
1.5 接入点的最大通信范围
接入点（Access Point, AP）的最大通信范围是指该设备在理想条件下能够提供的信号覆盖距离。实际使用中，由于环境因素，覆盖范围可能会有所减少。
网络硬件设备的选购要点
2.1 选择产品的类别
在选择网络硬件时，需根据实际应用需求选择合适的设备类型，如交换机、路由器、无线接入点等。
2.2 基于功能需求汇总备选设备型号
功能需求是选购设备的重要依据，需综合考虑设备的性能、支持的协议及扩展性等。
2.3 网络硬件的采购流程
网络硬件的采购流程一般包括需求分析、市场调研、产品评估及最终采购。
2.4 RFI与RFP
RFI（Request for Information，信息请求）和RFP（Request for Proposal，提案请求）是采购过程中常用的文档，用于收集供应商的信息及报价。
2.5 RFQ
RFQ（Request for Quotation，报价请求）是向供应商请求具体报价的文档，通常在确认需求后发出。
2.6 根据性能选择产品的型号
在选择硬件时，需要关注其性能参数，包括延迟、带宽、处理能力等，以确保满足网络要求。
2.7 收集同网络延迟相关的信息
网络延迟对用户体验有重要影响，需通过实际测试或供应商提供的数据进行评估。
2.8 网络设备产品性能的测量方法
常用的测量方法包括通过网络测试工具进行带宽和延迟测试，以获取设备性能的真实数据。
2.9 交换机与路由器性能的考量
交换机性能主要考虑其转发能力、端口数量及支持的网络协议。
路由器性能则关注其路由处理能力、并发连接数及安全特性。
2.10 防火墙性能的考量
防火墙的性能包括其处理流量的能力、支持的安全协议及防护策略的灵活性。
2.11 无线LAN性能的考量
在选购无线LAN设备时，应关注其支持的无线标准（如802.11ac、802.11ax等）、最大连接数及信号覆盖能力。
确认网络设备的互操作性
互操作性是指不同制造商设备之间的兼容性，确保设备能够在同一网络中正常工作。
高可用性的考量方法
选择高可用性的网络设备，可以确保在部分设备故障时，网络仍然能够正常运行，减少服务中断的风险。
价格相关的考量方法
5.1 端口单价
端口的成本在整体网络预算中占有重要比重，需评估每个端口的性价比。
5.2 比特单价
比特单价是衡量网络传输成本的重要指标，通常与带宽和使用量相关。
5.3 学习成本与支持的费用
学习成本是指用户在使用新设备时所需的培训和学习时间，支持费用则包括后期的维护和技术支持。
达到采购条件
6.1 绿色采购
关注环境保护，选择符合绿色采购标准的设备。
6.2 符合RoHS要求
RoHS（Restriction of Hazardous Substances，限制使用某些有害物质指令）规定了电子产品中有害物质的使用限制。
6.3 加密出口管理相关
需遵循相关法律法规，确保采购的网络设备符合出口管理要求。
售后支持相关的基础知识
7.1 网络硬件的维护
定期对网络硬件进行检查和维护，以确保其正常运行。
7.2 厂商保修
了解厂商提供的保修政策，以便在设备出现问题时及时获得支持。
📡 TCP/IP 层模型
TCP/IP 分层模型概述
TCP/IP 分层模型是1970年由美国国防高级研究计划局（DARPA）设计的网络分层模型，定义在RFC1122中。该模型也被称为TCP/IP模型或互联网模型，具有多个层次，每一层负责不同的网络功能。

OSI 参考模型与 TCP/IP 分层模型的对应
OSI 各层名称 TCP/IP 各层名称
物理层数据链路层（网络接口层）
数据链路层网络层
网络层传输层
传输层传输层
会话层应用层
表示层应用层
注：TCP/IP 分层模型的数据链路层同OSI参考模型的物理层地位相当，但并没有对硬件及物理数据传输等进行标准化定义。

TCP/IP 分层模型与网络硬件的对应
分层地址对应的网络硬件
数据链路层（网络接口层） MAC 地址 L2 交换机、无线LAN 接入点
网络层 IP 地址路由器、L3 交换机
传输层端口号（TCP 端口、UDP 端口） L4 交换机、防火墙
应用层根据应用程序的不同而不同 L7 交换机、防火墙、代理
🌐 LAN 和以太网
LAN 的标准
DIX 标准
以太网（CSMA/CD）是由施乐公司（Xerox）帕罗奥多研究中心的罗伯特·梅特卡夫（Robert Metcalfe）博士所设计的功能为原型，由IEEE于1973年发布。DIX以太网标准的命名取自三家公司的首字母，最初的传输速率为10Mbit/s。

IEEE 802.3
IEEE 802.3是1980年制定的国际标准，1983年以DIX以太网第2版为原型，制定了10BASE5标准。该标准的帧格式使用了表示数据域长度的字段。

以太网的标准
以太网的传输速率和标准随着时间的推移不断演进：

以太网类型传输速率传输媒介备注
10BASE5 10Mbit/s 粗同轴线缆使用CSMA/CD
10BASE2 10Mbit/s 细同轴线缆 1988年增加
10BASE-T 10Mbit/s 双绞线 1990年制定
10BASE-F 10Mbit/s 光缆 1993年制定
快速以太网
1995年，传输速率达到100Mbit/s的快速以太网（Fast Ethernet）完成了标准化进程，主要标准包括100BASE-TX。

快速以太网类型传输速率传输媒介备注
100BASE-T 100Mbit/s UTP 1995年制定
100BASE-TX 100Mbit/s UTP（2对5类）最常用的快速以太网标准
千兆以太网
千兆以太网标准于1998年制定，主要标准包括1000BASE-SX和1000BASE-T。

千兆以太网类型传输速率传输媒介备注
1000BASE-SX 1Gbit/s MMF（850nm）使用光纤
1000BASE-T 1Gbit/s UTP（4对超5类）支持自适应10/100/1000BASE-T
万兆以太网
万兆以太网标准于2002年制定，最大传输速率为10Gbit/s。

万兆以太网类型传输速率传输媒介备注
10GBASE-SR 10Gbit/s MMF 850nm波长
10GBASE-LR 10Gbit/s SMF 1310nm波长
40G/100G 以太网
2010年，40Gbit/s和100Gbit/s的以太网标准化工作完成，支持全双工通信。

40G/100G 以太网类型传输速率传输媒介备注
40GBASE-SR4 40Gbit/s MMF 100m
100GBASE-SR10 100Gbit/s MMF 100m
📡 以太网标准的数据处理
01.03　以太网上的数据
以太网上传输的数据在数据链路层以 MAC 帧（以太网帧格式）的形式存在，最终会被转换为传输媒介 UTP 线缆上的电气信号。电气信号转换的过程中会根据不同的标准采用不同的编码方式。

表1-28　使用UTP 的LAN 标准数据式样
标准区编码线性编码传送UTP 对数
10BASE-T 曼彻斯特 20 1
100BASE-TX 4B5B MLT-3 1
100BASE-T 4D-PAM5 PAM5 4
注1：Mbaud 是
KaTeX can only parse string typed expression
10
6
baud（波特）。1 个 baud 表示一秒内信号的变化次数。当 1 个脉冲传输 1 bit 信号时，1 baud=1 bit/s；当 1 个脉冲传输 2 bit 信号时，1 baud=2 bit/s。

另外，以太网采用小端（little endian，亦称为 Canonical）顺序方式来传输比特流，即对于1 个字节（8bit）的数据，会从最低位（LSB，Least Significant Bit）开始传送。

表1-29　小端与大端的比较
标准比特顺序
以太网小端
FDDI、令牌环大端
TCP/IP 协议中包括首部在内均使用大端顺序即从最高位（MSB，Most Significant Bit）开始传送数据。

01.03.02　10BASE-T
在 10BASE-T 中使用曼彻斯特编码（曼彻斯特码）的方式让转换的电气信号在双绞线上传输。通过 Preamble 字段得到 20MHz 的时钟频率与 10Mbit/s 的 NRZB 数据进行逻辑异或运算，得到在 20MHz 下采用 -V、0、+V 三个电平数值发送信号。

该运算过程如图1-5 所示，“0”表示“10”，“1”表示“01”。通过曼彻斯特编码后，直流信号部分将不复存在，从而抑制了信号衰减带来的干扰。

在10BASE-T中，使用4对双绞线中的1对（1号与2号）信号线作为10Mbit/s 信号的发送源，1对（3号与6号）信号线用于10Mbit/s 信号的接收，剩余两组空闲不用。

01.03.03　100BASE-TX
在 100BASE-TX 标准中不再使用曼彻斯特编码，而是使用了一种叫做 MLT-3（Multi-Level Transition）的编码方式。该编码方式使用 -V、0、+V 三个数值，当下一个数据为 0 时，保持信号电平不变；当下一个数据为 1 时，信号电平跳转。

为避免接收方无法检测出每一个时钟频率，标准中采取了将 4bit 数据转换为 5bit 的方法。

表1-30　4B5B 转换表
名称 4bit 5bit 说明
0 0000 11110 十六进制的“0”
1 0001 01001 十六进制的“1”
2 0010 10100 十六进制的“2”
3 0011 10101 十六进制的“3”
4 0100 01010 十六进制的“4”
5 0101 01011 十六进制的“5”
6 0110 01110 十六进制的“6”
7 0111 01111 十六进制的“7”
8 1000 10010 十六进制的“8”
9 1001 10011 十六进制的“9”
A 1010 10110 十六进制的“A”
B 1011 10111 十六进制的“B”
C 1100 11010 十六进制的“C”
D 1101 11011 十六进制的“D”
E 1110 11100 十六进制的“E”
F 1111 11101 十六进制的“F”
为了实现 100BASE-TX 自适应功能，连接设备会发送名为 Fast Link Pulse 的脉冲信号，通过该脉冲信号检测双方的通信速率和各自支持的通信模式，并根据该信息自动选择合适的运行模式。

01.03.04　1000BASE-T/1000BASE-TX
在 1000BASE-T 中使用了 8B1Q4（8 binary to 1 quinary 4，将8 个 2 值数据转换成 5 值 4 组数据）的编码方式与 4D-PAM5（4-dimensional，5-level Pulse Amplitude Modulation，将从 8B1Q4 数据编码接收到的 4 维五进制符号用五个电压级别传送出去）的调制方式传输数据。

在 1000BASE-T 中，1 对信号线能够以 250Mbit/s 的速率同时发送和接收信号，并且可以 4 对信号线同时进行全双工通信。

01.03.05　1000BASE-SX/LX
1000BASE-SX 与 1000BASE-LX 采用了 8B10B 的编码方式。8B10B 编码方式将发送数据按每组 8bit 进行分割，并将每组 8bit 的数据重新转换成 10bit 进行传输。

这样不仅可以发送额外数据信息，而且无论是什么样的数据，最多也只会出现 5 个连续的“0”或者“1”。

01.04　网络设备的构成要素
01.04.01　通用服务器与专用设备
网络硬件大致分为通用服务器和专用设备两大类。

表1-31　网络硬件的种类
类型描述
通用服务器运行 Windows、Windows Server、Linux、Unix 等操作系统的服务器
专用设备用于特定目的的操作系统、软件、硬件组成的设备
表1-32　比较通用服务器与专用设备
专用设备的优点通用服务器的缺点
价格便宜性价比低
性能高需要习惯其设置及管理
设置简单，版本升级容易操作系统不同，系统漏洞较多
便于使用和管理无法自定义
安全漏洞较少修复安全漏洞的方法根据厂商的不同而不同
表1-33　网络设备的分类
网络设备种类参考章节
路由器第3章
L2 交换机第2章
高层路由器第4章
无线LAN 的 AP、无线LAN 控制器第6章
网络安全设备第5章
防火墙第5章
负载均衡器第4章
服务器设备 Web 服务器、文件服务器、DHCP、DNS 服务器设备
01.04.03　CPU
CPU（Central Processing Unit，中央处理器）是构成 PC 等计算机的主要部件，通过读取内存中的程序来控制软件的执行，并对数据进行运算。

01.04.04　存储设备
存储设备分为主存储器和辅助存储器。主存储器分为可读写的 RAM 和只读的 ROM。

🖥️ 网络硬件基础知识
NVRAM（非易失性随机存储器）
NVRAM 是一种存储器，具有非易失性，即使在断电的情况下也不会丢失数据。

主要用途
保存设置文件
存储闪存中的操作系统及设置文件
Boot（引导程序）
Boot 是指计算机在接通电源后进入可操作状态之前自动执行的一系列处理程序，这些处理程序统称为 Boot（引导）代码。

Power On Self Test（自检）
Power On Self Test（缩写为 POST）是电源接通后，计算机进行自我诊断的过程。

检查 ROM 内的 Boot Code
检查闪存中的操作系统
检查外围接口及 ASIC 访问
当 POST 执行失败时，硬件的 LED 灯会闪烁并给出错误提示，说明部件或数据可能损坏，需要更换新的硬件。

RAM 的种类
名称说明
DRAM 动态随机存储器，通过电容中是否有电荷来表示二进制的 0 和 1，需要定期刷新以保持数据。
SDRAM 同步动态随机存储器，使用外部总线接口，在一定周期内同步时钟信号来运行的改进版 DRAM。
SRAM 静态随机存储器，能够无需刷新操作就保存数据，速度快但价格昂贵。
闪存的种类
名称说明
Flash EEPROM 无需电源保存数据的非易失性存储器，能够以数据块为单位删除或更改数据。
Compact Flash Card 由 SanDisk 公司开发的存储卡，使用 Flash EEPROM 存储芯片，兼容部分 PC Card 标准。
USB 存储器将 USB 接头直接封装在存储产品上的存储器，支持 USB Mass Storage Class 标准。
HDD/SSD（硬盘和固态硬盘）
硬盘（HDD，硬盘驱动器）通过驱动多块涂满磁性介质的盘片进行数据的读写。

硬盘特点
接口分为 ATA 系列和 SCSI 系列
主流尺寸为 3.5 英寸、2.5 英寸和 1.8 英寸
SSD 特点
随机访问时数据读取速度快
省电、发热量小，抗外部冲击力强
体积轻便、运行噪声小，单位容量价格高
硬件芯片
ASIC（专用集成电路）
ASIC（Application Specific Integrated Circuit）是用于特定目的的 IC 芯片，能够高速处理以太网帧格式等。

FPGA（现场可编程门阵列）
FPGA（Field Programmable Gate Array）具有可编程性，使用 HDL（硬件描述语言）进行描述。

网络处理器
网络处理器（NPU）结合 CPU 和分组处理硬件，能够进行编程以适应网络相关处理。

接口
控制端口
控制端口用于网络硬件的初始设置、管理和调试，常见接口包括 DB-9（RS-232）和 RJ-45。

控制线缆
线缆类型说明
RJ-45/DB-9（母头）线缆连接个人计算机的 RS-232 接口和网络硬件
USB 串口转接口用于没有 DB-9 接口的计算机进行控制连接
数据端口
以太网接口用于传输用户数据流量，常见的接口类型包括板载端口和接口模块。

信号转换器
名称说明
GBIC 千兆以太网专用信号转换器，支持热插拔。
SFP 小型可插拔信号转换器，体积小，集成度高，适用于千兆以太网。
XENPAK 万兆以太网信号转换器，支持热插拔。
XFP 用于万兆以太网的转换器，适配多种标准。
SFP+ 适用于万兆以太网的信号转换器，具有体积小、集成度高等优点。
💡 网络设备的构成要素
LED 指示灯
“LED 指示灯用于显示设备的状态信息，帮助用户判断设备的运行情况。”

LED 指示灯的种类
指示灯类型说明
电源LED 电源接通时指示灯亮，电源断开时指示灯熄灭
系统LED 系统运行正常时指示灯显示绿色，当有错误发生时变为红色
LINK/ACT LED（接口LED）用来表示接口是否连通，是否有数据在该接口处传输
示例设备
以思科公司的Catalyst 3750为例，设备上会有以下指示灯：

MODE
RPS
STAT
DUPLX
SPEED
MAST
STACK
SYST
操作系统（内核）
一般网络设备中安装和使用的操作系统都是采用类似Unix的厂商独自研发的实时操作系统内核，或者是基于开源的FreeBSD和Linux定制的系统。

常见的网络设备操作系统
厂商/产品名称操作系统名称
Cisco 路由器 IOS（Internetwork Operating System）
Cisco Catalyst 交换机 CatOS（Catalyst 操作系统）
Cisco Nexus 交换机 NX-OS
Juniper 路由器、交换机、防火墙（SRX） JUN 操作系统（Juniper 操作系统）
Juniper 防火墙（SSG） ScreenOS
Fortinet FortiGate FortiOS
F5 Networks Big-IP/Firepass TMOS（Traffic Management Operating System）
Palo Alto Networks 防火墙 PANOS
电源
网络硬件使用的电源有交流电源（AC）和直流电源（DC）两类。家庭或普通企业使用的几乎都是AC电源，而大型数据中心和通信基础设施公司中的大型设备有时会使用DC电源。

电源的种类
电源类型用途
AC 电源电源内置型（单相）、电源内置型（三相）、外部电源型（单相100V的AC电源适配器）
DC 电源大型网络设备的可选电源
电源规格参数
参数说明参考值
AC 输入电压标准电压，单位为VAC（交流伏特） 100~240VAC
AC 输入频率参数单位为赫兹（Hz），日本东部50Hz，西部60Hz 47~63Hz
AC 输入电流单位为安培（A），根据输入电压不同而变化 3A（110V）、2A（230V）
DC 输入电压单位为VDC（直流伏特） -48VDC、-60VDC
消费电能产品运行消耗的电能，单位为瓦特（W）或BTU/hr 52W（177BTU/hr）
效率输出电力与有效输入电力的比值 85%
瞬间起峰电流在电源接通输入电压的瞬间产生的电流的峰值 115V时为30A
漏电流在原本不会有电流流通的电路上出现的电流 AC264V时在0.25mA以下
冗余电源
高端网络硬件的电源模块一般会配备至少两个电源模块作为冗余电源方案，以确保在一个电源无法供电时，另一个电源能够迅速接手其工作。

UPS（不间断电源供应系统）
UPS用于在停电时为网络设备提供电力供应，持续时间通常在几分钟到30分钟不等。设备配备UPS后，即使遇到停电，也能继续保持运行。

电源故障的原因示例
原因说明
供电设备故障可能由设备老化或意外造成
突然高负载用电导致电闸跳闸
雷电导致的故障包括瞬间停电和电力变弱等
人为引起的故障包括故意或不小心切断电源线缆
风扇
中端及以上级别的网络设备一般配备冷却风扇，以避免设备内部过热。风扇虽然能有效冷却，但也会产生噪声。

风扇的特点
热插拔：高端设备可在运行状态下更换风扇模块。
气流导向设计：确保设备冷却效果，避免堵塞导致过热。
气流导向方式描述
侧面到侧面从机架的一个侧面到另一个侧面
前面到后面从前面到背面
上面到下面从上面到下面
双绞线缆
双绞线缆通常称为LAN网线，由两根细导线组成，外部包裹着线套。

双绞线的分类
类型说明
STP（Shielded Twist Pair）使用铝箔包裹，减少电气噪声干扰，适用于嘈杂环境
UTP（Unshielded Twist Pair）没有屏蔽，适用于家庭和办公室
双绞线的类别
类别传输速率适用范围
5 100Mbit/s 100BASE-TX、155Mbit/s ATM
6 1.2/2.4Gbit/s 1000BASE-T、10GBASE-T
7 10-100Gbit/s 10GBASE-T
📡 光纤与传输技术
数据传输速率
超高速数据传输：光纤通常用于长距离高速通信，能够提供超过10Gbit/s的数据传输速率。
双绞线：虽然也能完成10Gbit/s速率的数据通信，但传输距离有限。
光纤的基本结构
光纤由高透光率的材料（如石英）构成，其结构为：

核心部分（core）：折射率较高的中心部分。
金属包层（clad）：折射率较低的同心圆结构，有助于光信号的反射和传输。
这种构造使得光信号能够在光纤内部进行封闭传播，便于改变光的传播路径。

光纤类型
光纤主要分为**单模光纤（SMF）和多模光纤（MMF）**两种，二者的传输距离和应用场景不同。

光纤类型传输模式特点描述
单模光纤（SMF）单个光信号主要用于长距离数据传输，具有较小的核心直径，能防止模式色散。
多模光纤（MMF）多个光信号适合短距离传输，中心部分较大，允许光信号在多个模式下传播。
单模与多模光纤的比较
单模光纤：适合长距离传输，传输损耗低，适用于ITU-T G.652~657标准。
多模光纤：适合短距离传输，损耗较大，传输过程可能导致信号扭曲。
光纤的技术规格
光纤的规格在ISO/IEC 11801和ISO/IEC 24702标准中有明确规定，下面是不同光纤标准的比较：

标准类型最大传输距离最大衰减量（dB/km）
OM1 MMF 200m 3.5
OM2 MMF 500m 3.5
OM3 MMF 300m 3.5
OM4 MMF 550m 2.5
OS1 SMF 不规定 1.0
OS2 SMF 不规定 0.4
光纤连接头类型
光纤连接头的类型及其形状如下：

连接头名称说明形状
SC 方形连接头，分为单工和双工连接头。 simplex/duplex
ST 朗讯公司的注册商标，直插式连接头。直插式
FC 光纤连接器，符合标准的连接头。圆形
LC 小型连接头，适合于100BASE-X和SFP。小型
MTRJ 将发送与接收整合于单个小连接头中。小型
MU 体积小，适合在路由器中使用的连接头。小型
散热与噪声管理
在机架式网络硬件中，散热风扇会产生噪声，因此在选择设备时需要考虑降低噪声的设计。

散热管理：随着设备密度的增加，热量也随之增加，因此需要安装专用冷却风扇或通风口，以避免过热。
机架的标准与安装
机架的规格在TIA/EIA-310-D和JIS C 6010-2中有标准化，适合安装各种网络硬件。

标准机器宽度机器高度机器深度
TIA/EIA-310-D（EIA标准） 482.6±0.4mm 1U（44.45mm）×N-0.8mm 不规定
JIS C 6010-2（JIS标准） 480±1mm 50×N-1mm 不规定
以太网光纤的传输标准
以太网与光纤的传输标准包括：

传输标准光纤种类传输速度传输方式
1000BASE-SX MMF 1Gbit/s 使用850nm光信号的多模光纤
10GBASE-SR/SW MMF 10Gbit/s 短距离通信使用850nm光信号
10GBASE-LR/LW SMF 10Gbit/s 长距离通信使用1310nm光信号
10GBASE-ER/EW SMF 10Gbit/s 长距离通信使用1550nm光信号
以上内容涵盖了光纤技术的基本概念、结构、类型、标准以及其在网络中的应用。

🔗 交换机与网络设备
交换机的基本概念
交换机是一种网络设备，用于连接网络中的多个设备，并根据MAC地址转发数据帧。
主要功能是学习和记录MAC地址，从而在数据传输时避免不必要的广播。
中继器、网桥与交换机的区别
特性中继器网桥交换机
工作层次物理层数据链路层数据链路层
数据处理转发所有数据根据MAC地址过滤根据MAC地址转发
冲突域无法分割可以分割可以分割
处理速度较慢稍快非常快
MAC地址的学习与老化时间
当主机A向主机D发送数据帧时，交换机记录下源MAC地址（00:1a:23:33:11:44）及其连接的端口（端口4）。
交换机的MAC地址表会随着通信不断更新。
为了避免表项过时，需要设置老化时间（aging time），思科交换机的默认老化时间为5分钟。
使用交换机的优点
优点说明
冲突域固定直接连接主机与交换机之间形成的冲突域，避免了网络中的冲突。
全双工通信主机可以同时发送和接收数据，提高了网络的效率。
阻断错误数据帧存储转发型交换机能够检查数据帧错误并丢弃有错误的数据帧。
独享带宽每个端口都有独立的带宽，不会因为其他设备的流量而受到影响。
以太网的历史发展
以太网（Ethernet）是由罗伯特·梅特卡夫于1973年首次开发的网络技术。
采用CSMA（载波侦听多路访问）技术，能够让多台设备共享同一通信线路。
1982年，IEEE发布了以太网标准，随后不断发展出更高速度的以太网标准（如10Mbit/s、100Mbit/s、1Gbit/s等）。
交换机的演变
EtherSwitch是世界上第一台以太网交换机，由Kalpana公司于1990年推出。
随着技术的进步，交换机的处理能力逐渐从软件转向硬件（ASIC和FPGA），减少了通信延迟，提高了性能。
以太网数据帧类型
数据帧类型说明
单播数据帧发送目的地地址为特定单一设备的数据帧。
广播数据帧发送目的地为广播地址的数据帧。
多播数据帧发送目的地为多播地址的数据帧。
不完全帧小于63字节的数据帧，被认为是错误帧。
小巨人帧比MTU规定的1518字节稍大的数据帧。
巨型帧大于MTU规定的1518字节的数据帧。
数据帧的传输方式
处理方式读取字节数通信时延错误帧处理
直通转发 14 字节最短无法丢弃错误数据帧
碎片隔离 64 字节较短只丢弃残帧
存储转发全部最长能识别并丢弃所有错误数据帧
自适应交换
自适应交换是指根据网络状况自动选择数据帧传输方式，提升网络性能。
当错误帧数量超过阈值时，自动切换到更可靠的传输方式以降低错误率。
全双工与半双工
通信方式说明
单工通信固定发送方与接收方之间的单向通信。
半双工通信一方发送时另一方不能发送，类似于对讲机。
全双工通信双方可以同时发送和接收，类似于电话。
交换机的处理能力
交换机的处理能力通常以背板容量（backplane capacity）或交换机容量来表示，单位为bit/s（比特每秒）。
非阻塞（non-blocking）交换结构是指所有端口的总带宽小于交换结构的容量，能够高效传输数据。
交换机分类与接口
现代交换机通常带有Auto-MDIX功能，能够自动识别连接类型，简化网络连接设置。
设备的双工通信设置项可以设置为半双工、全双工或自动模式，以适应不同的网络环境。
📡 交换机的处理与分类
处理流程
处理步骤
转发处理：交换机根据MAC地址进行数据帧的转发。
调度器：负责管理和调度数据的传输。
发送与接收：交换机负责数据的发送和接收。
关键概念
通信量管理：涉及队列缓存和存转换器的管理。

交换机分类
按功能分类
类型说明
L2 交换机没有IP路由功能，仅处理数据链路层的交换机。
L3 交换机带有IP路由功能的交换机。
L2 交换机的细分
种类说明
智能交换机拥有VLAN、QoS、认证等功能的交换机。
Web智能交换机具备Web管理界面，通过浏览器进行管理的交换机。
智慧型交换机能够远程管理的交换机（有SNMP引擎功能）。
按设备外形分类
类型说明
桌面式交换机用于连接少量网络设备，通常为3~24端口的产品。
移动插座式交换机类似于移动插座的外观，通常为8端口的硬件。
箱式交换机可以安装在19英寸机架上，支持多种端口配置。
机框式交换机采用模块化设计，支持多种接口模块及扩展性。
性能指标
端口类型
类型说明
快速以太网端口使用RJ-45接口，支持10/100速率。
千兆以太网端口支持10/100/1000速率，需使用增强型5类双绞线。
光纤专用端口（SFP/SFP+）用于连接上行链路，支持光电转换。
PoE端口使用以太网线缆为设备供电，支持IP电话等设备。
交换机堆叠
通过堆叠线缆连接多台交换机，形成逻辑交换机使用。
思科的Catalyst系列交换机支持不同的堆叠功能。
其他功能
MAC地址数：交换机能够学习的MAC地址表的总数。
巨型帧：以太网帧格式的有效载荷超过标准大小的帧。
端口价格
端口价格是根据交换机硬件或端口模块的总价和端口数计算得出的每个端口的价格。随着速率的提高，端口价格也随之上升。
价格示例
快速以太网：几百日元。
千兆以太网：约500日元（约合人民币30元）。
企业级交换机：数千日元至数十万日元不等。
交换机的分层模型
层级说明
核心交换机负责高速交换任务的汇聚层交换机。
汇聚交换机连接接入层交换机的交换机。
接入交换机直接连接用户终端的交换机，通常配置在楼层中。
📡 交换机搭载的其他功能
巨型帧的支持
“巨型帧可以支持9216个字节，并且可以通过设置调整交换机支持的巨型帧尺寸上限。”

MAC 地址数
生成树功能
桥接环与广播风暴
桥接环（bridging loop）是指在交换机用于两个网段中继时，如果发生故障，会导致两个网段之间的通信中断。
使用两台交换机对两个网段进行中继，可以避免此问题。当一台交换机故障时，另一台可以继续通信处理。
桥接环的发生过程如下：
PC-A 向 PC-B 发送以太网数据帧。
交换机1 与交换机2 从各自的端口1 收到数据帧，并将 PC-A 的 MAC 地址添加到 MAC 地址表中。
由于目的地 MAC 地址未知，两台交换机将数据帧广播到除接收端口外的所有端口。
PC-B 从两台交换机中接收到同一数据帧，交换机之间也相互接收到此数据帧。
交换机1 从端口2 接收到的数据帧又被标记，并添加到 MAC 地址表中，过程重复。
步骤描述
1 PC-A 向 PC-B 发送以太网数据帧。
2 交换机1与交换机2收到数据帧，添加 MAC 地址。
3 数据帧广播到所有端口。
4 PC-B 接收到数据帧，交换机间也接收到数据。
5 数据帧在交换机中循环转发，过程重复。
这种状态称为桥接环，会导致广播风暴，使链路带宽被大量广播数据帧占用，普通单播数据帧无法传输。

生成树协议（STP）
为了避免桥接环问题，使用生成树协议（STP，Spanning Tree Protocol）。其关键操作如下：

交换机之间交换BPDU（网桥协议数据单元）以相互意识对方的存在。
STP 拓扑
根网桥（root bridge）是基准点，一般选择 Bridge ID（BID）最低的交换机。
非根网桥（non-root bridge）是参与生成树的交换机中，除了根网桥以外的设备。
角色描述
根网桥发送 BPDU 数据帧，选择 BID 最小的交换机。
非根网桥参与生成树的其他交换机。
端口类型
端口类型描述
根端口（Root Port，RP）距离根网桥最近的端口。
指派端口（Designated Port，DP）每个网段指派的端口，离根网桥最近。
非指派端口（Non-Designated Port，NDP）阻塞数据帧的端口。
端口状态迁移
端口状态包括：

状态描述默认时间
阻塞状态（Blocking）只能接收 BPDU 数据帧，不发送数据。 20 秒
侦听状态（Listening）能发送或接收 BPDU，但不发送其他数据。 15 秒
学习状态（Learning）能发送或接收 BPDU 并学习 MAC 地址。 15 秒
转发状态（Forwarding）可以发送或接收数据帧。 0 秒
思科的生成树扩展功能
功能名称说明
PortFast 接入交换机上使用，立即迁移到转发状态。
UplinkFast 提高切换到冗余链路的速度。
BackboneFast 检测间接链路故障，将状态迁移时间缩短。
快速生成树协议（RSTP）
RSTP（Rapid Spanning Tree Protocol）在2004年被IEEE 802.1w正式定义，端口状态收敛只需1秒。
RSTP 端口类型描述
根端口（RP）距离根网桥最近的端口。
指派端口（DP）离根网桥最近的网段的端口。
替换端口（AP）除根端口外成本最低的端口。
备份端口（BP）指派端口连接的网段中同时存在的备用端口。
链路聚合
链路聚合（Link Aggregation）将多条物理线路汇聚成单条逻辑线路。
以太通道（EtherChannel）
在思科的IOS中，EtherChannel 是一种链路聚合功能。
IEEE 802.3ad / IEEE 802.1AX
该标准也称为LACP（链路聚合控制协议），用于交换机之间的链路聚合。
VLAN（虚拟局域网）
VLAN 用于将广播域分割成逻辑网段。
端口镜像
端口镜像（Port Mirroring）功能将某个端口的以太网数据帧复制到镜像端口上。
QoS（服务质量）
QoS 是保障网络通信速率的功能，根据通信种类控制优先级和带宽。
MAC 地址过滤
MAC 地址过滤功能只允许满足特定条件的通信过程。
📡 交换机与网络管理
L2 交换机功能概述
IP 通信过滤
L3 交换机或路由器可以根据 IP 首部信息完成 IP 通信过滤。
某些 L2 交换机也具备 IP 过滤功能。
MAC 地址过滤
“MAC 地址过滤是无线 LAN 接入点中常用的功能，只有发送源 MAC 地址一致时，才能接入网络。”

示例
只有发送源 MAC 地址为 11:22:33:aa:bb:cc 的设备才能接入网络。
基于端口的认证
IEEE 802.1X 认证
IEEE 802.1X 是一种标准协议，提供了对接入 LAN 的客户端进行认证的一系列机制。
认证过程在客户端与交换机之间进行，启用认证的客户端才能使用交换机的端口。
认证过程
发送方的 MAC 地址用于客户端识别。
使用用户名、口令或证书等进行用户认证。
对于未认证的客户端，交换机丢弃数据帧；对于认证失败的客户端，则直接不转发数据帧。
认证要素
要素说明
认证请求者（supplicant）安装在客户端计算机上的用于 IEEE 802.1X 认证的功能实体（软件）。
认证方（authenticator） IEEE 802.1X 中的交换机或无线 LAN 访问接口，负责转播认证消息。
认证服务器（authentication server）通常使用 RADIUS 服务器，对认证请求方进行认证。
EAP 认证流程
“EAP 认证使用 EAPOL（扩展认证协议过局域网）协议封装认证消息。”

EAPOL-Start
EAP-Request/identity
EAP-Response/identity
EAP-Request/OTP
EAP-Response/OTP
EAP Success
网络管理
SNMP 协议
“SNMP（简单网络管理协议）用于远程管理、监视和设置网络硬件。”

组成部分
SNMP 管理者：负责管理网络的设施。
SNMP 代理者：被管理的网络设施。
SNMP 版本
版本 RFC 说明
SNMPv1 RFC1157 初始版本，使用明文通信，安全性较弱。
SNMPv2 RFC1441~1452 添加了 GetBulkRequest 消息，安全性有所改善，但未广泛使用。
SNMPv3 RFC3411~3418 使用用户为单位的口令认证方式，安全性较高，广泛使用。
PDU 消息类型
PDU 说明
Get-Request SNMP 管理者发出的请求消息，用于获取数据。
Get-Response SNMP 代理者对 Get-Request 的应答消息。
Set-Request SNMP 管理者发送的请求消息，用于更改设备设置。
Trap SNMP 代理者自动发送的紧急消息，如设备故障警告。
MIB 和 OID
MIB（管理信息库）：用来管理网络硬件配置参数的数据库，采用树形结构。
OID（对象标识）：用来区分托管对象的唯一标识，格式为如 1.3.6.1.2.1.1。
RMON 扩展功能
“RMON（远程网络监控）用于记录 LAN 上的通信流量信息，提供更详细的统计信息。”

RMON-MIB 版本
设置内容说明
RMON-1 收集物理层与数据链路层的通信统计信息。
RMON-2 用于获得网络层以上的统计信息。
SMON 和 DSMON
SMON：管理 LAN 交换机的 RMON 扩展标准。
DSMON：差分服务监控，分类 DSCP 优先级控制。
以上是对交换机与网络管理相关功能的详细解析，确保学生能在课后理解并掌握相关内容。

🌐 网络流量监控技术
📊 统计信息计数器扩展
64位统计信息计数器的扩展：
最大统计字节数从
KaTeX can only parse string typed expression
2
32
（约42亿）扩展为
KaTeX can only parse string typed expression
2
64
。
🌐 NetFlow
“NetFlow 是由思科公司开发的通信流量管理技术，用于识别和统计通过LAN设备的分组。”

NetFlow 相关参数
NetFlow 通过以下7个参数定义数据流：

发送源IP地址
发送目的地IP地址
发送源端口
发送目的地端口
IP协议号
输入接口
IP的ToS值
NetFlow 工作原理
NetFlow 统计通过LAN设备的分组，并将结果发送到NetFlow收集器进行信息的二次统计。
NetFlow 版本
最新版本为 NetFlow 9，以RFC3954的形式发布。
与NetFlow 相关的技术
技术名称说明
Jflow Juniper公司的流量统计技术
cflowd 3Com公司及华为公司的流量统计技术
NetStream 阿尔卡特朗讯公司的流量统计技术
Rflow 爱立信公司的流量统计技术
AppFlow Citrix公司的流量统计技术
📡 sFlow
“sFlow 是由InMon开发的一种在分组抽样基础上管理通信流量的技术。”

sFlow 工作原理
sFlow 通过抽样监控交换机上的分组，并分类处理统计信息。
sFlow 运行机制
sFlow 代理向sFlow收集器发送抽样数据，能够统计不同类型的通信信息。
📜 Syslog
“Syslog 是用于获取网络日志的应用程序，运行在伯克利软件套件（BSD）上。”

Syslog 工作方式
Syslog 机制类似于SNMP的Trap，由通信设备单方面向Syslog服务器发送事件消息。
Syslog 消息级别
Syslog 消息根据重要程度分为8个级别：

级别重要程度说明
0 Emergency 系统无法使用
1 Alert 需要及时应对
2 Critical 出现危险状况
3 Error 出现异常状态
4 Warning 出现需要注意的事项
5 Notice 特殊状态的通告
6 Informational 信息通知
7 Debug 调试信息
Syslog 消息格式
消息格式为 mm/dd/yyyy:hh/mm/ss:facility-severity-MNEMONIC:description。
Syslog 与 SNMP 的比较
Syslog 与SNMP同属于管理类型的协议，Syslog一般采用UDP实现，但某些硬件中也可能采用TCP。
📡 交换机架构
交换机的基本架构由多个RJ-45接口、PHY、MAC等模块的网络接口控制器和管理各个NIC的收发帧缓存、转发表的软件组成。

关键组件
网络接口控制器（NIC）
PHY模块
MAC模块
MAC模块功能
生成和处理MAC数据帧，负责MAC数据帧的发送和接收。
接口标准
术语名称说明
AUI 10Mbit/s以太网中MAC与MAU的共同接口，采用15pin连接头
MII 快速以太网中MAC与PHY之间的接口
GMII 千兆以太网和万兆以太网中与MII作用相同的接口
🧩 结论
本节介绍了网络流量监控的关键技术，包括NetFlow、sFlow和Syslog，以及交换机的基本架构和相关术语。

🖥️ IMP 软件的总结
IMP 的定义与历史
IMP（接口信息处理器）是由美国BBN公司开发的分组交换设备，作为路由器的原型。

1969年：加利福尼亚大学洛杉矶分校与斯坦福研究所之间首次使用IMP完成数据传送。
同年12月：加利福尼亚大学圣巴巴拉分校和犹他大学加入，实现了4所学校的网络互联，标志着ARPANET（阿帕网）的诞生。
早期发展
1971年：阿帕网连接节点达到15处，1972年达到23处。
1972年：鲍勃·卡恩开始构思仅用于分组转发的特殊计算机，并称之为Gateway。
TCP 协议的诞生
TCP（传输控制协议）是互联网协议的重要组成部分，由鲍勃·卡恩和温顿·瑟夫于1974年共同发表。

NCP（网络控制协议）：在TCP出现之前，计算机互联使用NCP协议，但因其地址体系不完备，仅适用于小型网络。
1982年：NCP被TCP/IP取代，标志着网络互联的进步。
世界上最早的商用路由器
1986年：美国Proteon公司发布首款商用路由器ProNET p4200。
同年3月：思科公司发布AGS多协议路由器。
路由器性能的演进
年份产品性能吞吐量
1976 IMP 100 pps 1.14 Mbit/s
1986 AGS 10 kpps 117.18 Mbit/s
1993 Cisco 7000 270 kpps 3.09 Gbit/s
1997 Cisco 12000 10 Mpps 117.18 Gbit/s
1998 Juniper M40 40 Mpps 468.75 Gbit/s
现在 Cisco CRS-1 36 Gpps 421.88 Tbit/s
路由器的分类
路由器设备
路由器功能以软件形式提供，通常在专用硬件上运行。
通过安装路由器专用操作系统来实现更高的性能和可靠性。
根据性能分类
路由器分类用途价格区间
高端路由器电信运营商、数据中心、大型企业的核心路由器几百万~几亿日元
中端路由器企业的中心路由器、电信运营商的边缘路由器 100万~300万日元
低端路由器中小企业数据中心路由器、大型企业分支机构使用的路由器几万至100万日元
宽带路由器小规模机构、家庭使用几万日元
机框式路由器的组成要素
要素说明
路由引擎负责路由表的维护及路由协议的控制。
交换结构在多块线卡之间进行通信的内部总线结构。
线卡配备数据输入输出接口的扩展卡。
背板提供插入路由引擎、线卡连接插槽的底部主板。
面向电信运营商的路由器分类
核心路由器：构成核心网络，承担高速转发任务。
边缘路由器：连接用户网络与骨干网，处理分组优先级等任务。
用户边缘路由器：连接服务供应商的边缘路由器。
面向企业的路由器产品分类
接入路由器：距离用户最近的位置，用于连接用户与网络服务提供商。
🖥️ 路由器的分类与功能
接入路由器
接入路由器指的是保障用户接入所需网络的路由器，通过接入路由器构成的网络也称为接入网。

功能：提供认证、接入控制等功能，通常部署在企业的分支机构或下属部门中。
远程接入路由器：用于在家中或出差时接入公司的网络，使用拨号连接、PPTP、IPsec、SSL等协议通过VPN完成接入过程。
汇聚路由器
汇聚路由器（Distribution Router）负责在汇聚网络中汇聚接入网的路由选择信息。

功能：完成分组过滤，连接多个网络或VLAN之间。
结构：在规模较大的网络中，汇聚路由器位于核心网络和接入网络之间，形成三层网络结构。
核心路由器
核心路由器（Core Router）配置在网络中心位置，主要负责高速传送与接入网或汇聚网之间的通信数据。

特点：大多数企业通过向电信运营商支付租金来构建核心网。
路由器产品分类
产品类型例子特点
面向网络服务供应商的核心路由器 CRS-1, T1600 高端路由器，处理大流量
面向网络服务供应商的边缘路由器 Cisco 12000系列高中低端路由器，适应不同需求
面向中小企业的路由器 Cisco ISR系列中低端路由器，适合小型网络
拨号路由器 Dial-up Router 通过电话线路接入网络
宽带路由器 ADSL, FTTH路由器内置调制解调器，支持宽带接入
移动路由器 Mobile Router 便携式，适用于出差或外出连接互联网
拨号路由器的特点
拨号连接的方式在20世纪80年代和90年代中期非常流行。

工作方式：通过电话线路接入网络，使用ISDN动态适配器，速率为64kbit/s或128kbit/s。
费用：根据使用时间计费，具备自动连接和断开网络的功能。
宽带路由器的演变
随着宽带接入技术的发展，宽带路由器逐渐取代拨号路由器。

技术：内置ADSL调制解调器和光网络终端，使用PPPoA或PPPoE协议连接网络。
市场价格：售价在几千至1万日元之间。
IP路由选择的基础知识
IP地址管理
IPv4与IPv6：IPv4地址采用32位十进制表示（如192.168.0.12），而IPv6地址采用128位十六进制表示。
地址分类与自然掩码
地址类别范围网络部分主机部分
A类 0.0.0.0~127.255.255.255 8bit 24bit
B类 128.0.0.0~191.255.255.255 16bit 16bit
C类 192.0.0.0~223.255.255.255 24bit 8bit
D类 224.0.0.0~239.255.255.255（多播） - -
E类 240.0.0.0~255.255.255.255（研究） - -
私有地址与全局地址
地址分类私有地址范围
A类 10.0.0.0~10.255.255.255
B类 172.16.0.0~172.31.255.255
C类 192.168.0.0~192.168.255.255
全局地址：除私有地址外的所有地址，需在ICANN注册。
单播、广播、多播、任播
类型描述地址示例
单播向特定主机发送数据 A类、B类、C类地址
广播向多个通信对端发送数据 255.255.255.255
多播向多个通信对端发送相同数据 D类地址
任播向最近的主机发送数据仅存在于IPv6中
DHCP协议
DHCP（动态主机配置协议）用于为主机自动配置IP地址、子网、域名等信息。

功能：
作为DHCP服务器为客户端分配IP地址。
作为DHCP客户端从其他服务器获取IP地址。
完成DHCP中继代理功能。
ARP表管理
ARP协议用于通过IPv4地址获取MAC地址。

工作原理：路由器发送ARP请求，设备回应其MAC地址。
ARP表：保存解析结果，具有时限（Age Time）。
PPPoE协议
PPPoE（以太网上的点对点协议）用于LAN上完成用户认证和IP地址分配。

功能：提供网络接入服务，支持多个PPPoE会话功能。
🌐 IP 路由选择基础知识
📡 路由选择概述
路由选择是指路由器根据接收到的IP分组中的目的地址信息，从路由表中选择最适合的路径，并决定从哪个网络接口转发的过程。

路由选择类型
单播IP路由选择：针对单播通信的路由选择。
多播IP路由选择：针对多播通信的路由选择。
🗺️ 路由表
路由表是进行路由选择的必备信息，主要由以下几项组成：

项目描述
目的地IP地址 IP分组的目的地址。
子网掩码表示目的地IP地址中有多少位表示网络部分。
网关下一步需要转发到的IP地址，通常是相邻路由器的网络接口IP地址。
网络接口转发该分组的路由器上的接口。
度量值不同路径的优先级，值越小优先级越高。
🔍 最长匹配与默认网关
当IP分组到达路由器时，路由器会参考目的地址信息，从路由表中找到包含网络地址的表项。

最长匹配：选择子网掩码最长、度量值最小的表项。
默认网关：当路由表中不存在满足条件的表项时，使用默认路径转发，表示为0.0.0.0。
默认网关示例
计算机目标网络路由器转发端口
个人计算机A 192.168.3.0/24 路由器A 端口3
🔧 路由选择方式
静态路由选择
网络管理员手动设置路由表表项的过程，适用于配置默认路径或定义末稍网络。

动态路由选择
当网络规模较大时，使用动态路由选择自动生成路由表表项。路由器之间通过路由选择协议（Routing Protocol）交换信息。

路由选择协议分类
类型描述
IGP 内部网关协议，在自治系统内部运行。
EGP 外部网关协议，在自治系统之间运行。
常见IGP协议
协议名称类型度量值适用规模
RIP 距离矢量跳数小规模网络
OSPF 链路状态带宽（成本）中大规模网络
🚦 路由器收敛
动态路由在交换信息后，路由表逐渐增大，最终所有路由器都会携带完整的路由表，这一过程称为收敛。

汇聚时间：路由表从初始形态到收敛完成形态所花费的时间。汇聚时间越短，路径越稳定。
📋 管理距离
管理距离用于表示路由选择信息发送方的可信度，数值越小可信度越高。

路由协议管理距离值
网络接口直连 0
静态路径 1
OSPF 110
RIP 120
不明路径 255
🛤️ IP 隧道与VPN
隧道技术是指某个通信协议被其他通信协议封装后进行转发传输的技术。在路由器之间设置隧道可以实现跨网络的通信。

🌐 隧道技术与协议
隧道技术概述
“隧道技术可以在路由器之间根据隧道协议构建一条虚拟的通信链路。”

隧道的工作机制
封装 (Encapsulation): 路由器A 接收到的原始分组被封装，通过隧道协议转发到目的地路由器B。
解封装 (Decapsulation): 路由器B 进行解封装，还原分组形态，并以原始形态转发到实际目的地。
隧道技术的应用
虚拟专用网 (VPN): 隧道技术多用于构建虚拟私有网，尤其是使用 IPsec（Internet Protocol Security）构建加密的VPN。
隧道协议分类
协议类型协议名称说明
L2 隧道协议 L2F (Layer 2 Forwarding) 将数据链路层数据帧封装于IP分组中。
PPTP (Point-to-Point Tunneling Protocol) 由微软等公司共同开发，简易设置，适用于远程接入。
L2TP (Layer 2 Tunneling Protocol) 结合PPTP与L2F的优点，定义于RFC2661。
L3 隧道协议 GRE (Generic Routing Encapsulation) 可将任意协议封装到IP分组中，但无加密功能。
IPsec 提供加密和认证用于VPN连接。
GRE 协议
GRE 概述
协议编号: 47
定义: 在RFC2784中定义。
应用: 主要用于路由选择协议等多播分组的隧道传输。
GRE 封装结构
封装后的分组结构:
IP首部
GRE首部
原IP分组的部分
GRE 的安全性
“由于GRE没有自带加密功能，因此无法保障封装数据的安全性，可能会被窃听。”

解决方案: 使用 GRE over IPsec 提供安全性保障。
PPTP 协议
PPTP 概述
开发者: 微软、Ascend、3Com等。
支持: 从Windows NT4.0开始，Windows XP/Vista/7支持。
应用场景: 适合需要远程接入的小规模网络。
PPTP 工作原理
使用 PPP (Point-to-Point Protocol) 数据帧封装IP分组，通过隧道进行传输。
需要远程接入时，通过RAS（Remote Access Service）服务器进行连接。
安全性与限制
认证与加密: 使用 MS-CHAP 进行认证，采用RC4加密算法。
安全性问题: 40bit的RC4加密强度过低，安全性令人担忧。
L2TP 协议
L2TP 概述
定义: 定义于RFC2661标准，结合PPTP与L2F的优点。
用途: VPDN（虚拟专用拨号网）协议，用户拨号接入私有网络。
L2TP 工作原理
用户通过电话线路连接到公司网络，使用PPP协议建立连接。
NAS（网络接入服务器）与GW（网关）实现认证后完成L2TP隧道的建立。
IPv6 隧道
IPv6 over IPv4 隧道
定义: 通过IPv4网络传输IPv6通信。
实现: 在隧道入口路由器上为IPv6分组加上IPv4首部，进行封装。
IPv4 over IPv6 隧道
定义: 使用IPv6网络传输IPv4分组。
应用场景: 需要在IPv6网络中进行IPv4通信的情况。
多播
多播概述
“多播是向多个接收者同时发送相同数据的过程。”

多播地址分类
名称 IP 地址范围说明
Local Network Control Block 224.0.0.0~224.0.0.255 用于内部网络中的通信控制协议
Internetwork Control Block 224.0.1.0~224.0.1.255 跨互联网的通信控制协议
AD-HOC Block 224.0.2.0-224.0.255.255 用于未包含在其他分类中的应用程序
多播管理协议
IGMP（Internet Group Management Protocol）: 在IPv4中管理终端加入或退出多播组。
MLD: IPv6中的多播组管理协议。
多播路由选择协议
PIM 协议
PIM-SM (稀疏模式): 针对listener分散状态的高效通信。
PIM-DM (稠密模式): 针对listener密集状态的高效通信。
PIM-SSM: 源特定多播，需使用IGMPv3并指定源IP地址。
DVMRP 协议
定义: 距离矢量多播路由选择协议。
应用: 早期的多播路由选择协议，现已被PIM-SM取代。
📡 路由器与其功能
MPLS协议
“MPLS（多协议标签交换）协议用于选择下个转发的路由器，路由器不再进行路由选择，仅负责转发分组。”

应用场景：适用于需要高速转发分组的情况，主要应用于电信运营商的路由器，构建大规模网络。
SONET/SDH协议
协议定义
SONET（同步光网络）和SDH（同步数字层次）是由Bellcore公司提出并国际标准化的协议。
物理层支持：以太网及SONET/SDH。
数据帧格式
SONET 传输速率系列有效载荷带宽 (kbit/s) 线速
OC-1 50,112 51.840 Mbit/s
OC-3 150,336 155.520 Mbit/s
OC-12 601,344 622.080 Mbit/s
OC-24 1,202,688 1.244160 Gbit/s
OC-48 2,405,376 2.488320 Gbit/s
OC-192 9,621,504 9.953280 Gbit/s
OC-768 38,486,016 39.813120 Gbit/s
IP分组处理流程
发送时：
IP → PPP → FCS生成 → 字节填充 → 扰频 → SONET/SDH帧格式化
接收时：
SONET/SDH帧格式化 → 反扰频 → 字节去填充 → FCS检测 → PPP → IP
DOCSIS协议
概述
DOCSIS（数据在有线电视服务接口规范）标准使得通过有线电视网络（CATV）提供互联网接入服务成为可能。
各版本差异
版本功能上行下行
DOCSIS 1.0 (1997年) - 频率带宽：0.2~3.2MHz，最大速率：10.24 Mbit/s 频率带宽：6MHz，最大速率：42.88 Mbit/s
DOCSIS 1.1 (1999年) 安全性、QoS扩展频率带宽：0.2~3.2MHz，最大速率：10.24 Mbit/s 频率带宽：6MHz，最大速率：42.88 Mbit/s
DOCSIS 2.0 (2002年) 提高通信速率频率带宽：0.2~6.4MHz，最大速率：30.72 Mbit/s 频率带宽：6MHz，最大速率：42.88 Mbit/s
DOCSIS 3.0 (2006年) 信道绑定、IPv6、AES加密频率带宽：0.2~6.4MHz，最大速率：m×30.72 Mbit/s 频率带宽：6MHz，最大速率：m×42.88 Mbit/s
xDSL技术
ADSL
定义：非对称数字用户线路（Asymmetric Digital Subscriber Line）。
速度：上行512k4Mbit/s，下行1.552Mbit/s。
连接方式：使用固定电话线缆连接。
各种xDSL分类
名称线路距离速度说明
ADSL 1对2线 5.4km左右上行512k4Mbit/s，下行1.552Mbit/s ITU-T G.992.1标准
VDSL 1对2线 300m~1.4km 上行1.52Mbit/s，下行1352Mbit/s 使用最大30MHz的高频信号
HDSL 2对4线 3.6km 2Mbit/s 上下行对称型DSL
SHDSL 1对2线 6km 2.3Mbit/s 上下行对称的DSL
拨号接入
概述
拨号接入：1993年日本开始使用模拟调制解调器通过电话线路拨号接入互联网。
过程
数据链路层：使用PPP（点对点协议）连接个人计算机和ISP的RAS（远程接入服务器）。
路由器冗余
冗余类型
种类功能说明
硬件内部的冗余结构路由引擎冗余化高端路由器中安装主备路由引擎
主备方式准备两台路由器一台为活跃设备，一台为备用设备
双活方式准备两台路由器二者同时运行，组成冗余结构
冗余协议
VRRP（虚拟路由冗余协议）和HSRP（热备份路由协议）是实现路由器冗余的重要协议。
对比项 VRRP HSRP
标准 RFC标准思科公司独有标准
处于运行状态的设备称呼 Master Active
虚拟MAC地址 00-00-5E-00-01-XX 00:00:0c:9f:fX:XX
优先级数值 1~255 1~255
🔄 VRRP 和 GARP
VRRP（虚拟路由冗余协议）
默认值为100，优先级数值高的成为活跃设备。
当优先级相同时，IP 地址值大的成为活跃设备。
存活维持（Keep Alive）
使用多播地址 224.0.0.18 发送 VRRP 通告（advertisement），消息以1秒为间隔发送。
如果接收方在 Master_Down_Interval 间隔（默认为3秒）内没有收到该消息，则视为主设备当机。
Hello 消息
使用多播地址 224.0.0.2 发送 Hello 消息，默认每3秒发送一次。
如果接收方在 Holdtime 间隔（默认为10秒）内没有收到该消息，则视为主设备当机。
GARP（无故ARP）
在使用主备方式的冗余结构中，网络接口会分配到一个虚拟IP 地址。该IP地址在进行路由选择时会被提供给路由器使用。
主设备 A 和备用设备 B 共用一个IP地址，但它们的 MAC 地址是不同的。
故障切换流程
当设备 A 发生故障时，设备 B 切换到主设备状态。
此时，路由器需要发送一条 GARP 消息，告知所连接的交换机 “虚拟IP地址对应的MAC地址已变更”。
这一过程称为 GARP（Gratuitous ARP）。

活跃设备备用设备虚拟IP地址物理MAC地址物理IP地址
A B 10.1.1.254 11:22:33:aa:bb:cc 10.1.1.1
11:22:33:dd:ee:ff 10.1.1.2
GARP 触发情况
设备处于先占状态时或向网络接口插入电缆时，都会触发 GARP，并通知交换机更新 MAC 地址表。
GARP 还可以用于检测在 DHCP 过程中 IP 地址是否有重复分配的问题。
🔑 认证
认证过程
认证是指用户在接入网络时，网络要求用户出示设备的认证信息（用户名及密码），验证用户输入的认证信息是否正确，确认正确后允许用户接入网络。
RADIUS（远程认证拨号用户服务）
RADIUS 是一种网络协议，能够与外部 RADIUS 服务器协同完成路由器管理员身份认证或客户端用户账户认证。
例如，用户通过路由器拨号上网时，输入的用户名和密码会与路由器进行交互，路由器会将信息中继到 RADIUS 服务器进行认证。
TACACS+（终端访问控制器控制系统）
TACACS+ 是由思科公司扩展开发的，能够支持多种 L3 协议，并对分组的有效载荷进行加密，具有高安全性。
TACACS+ 使用 TCP 49 号端口。
📊 服务质量（QoS）
QoS 概述
QoS 是保障通信质量的功能，主要分为带宽控制与优先级控制两类。
使用优先级对通信量进行分类的过程称为类别（classification），根据每个类别进行带宽控制或优先级控制的过程称为 CoS（服务类别）。
优先级与标记
IP 首部中有一个称为 ToS（服务类型）的数据域，用于控制 IP 分组优先级。
IP Precedence、DSCP 以及 ToS 域中的参数会随着不同年份的标准而变化。
IP Precedence 与 DSCP 种类
IP Precedence DSCP 服务类型
0 0 尽力服务（Best Effort）
1 8 AF（Assured Forwarding）类别1
2 16 AF 类别2
3 24 AF 类别3
4 32 AF 类别4
5 40 EF（Express Forwarding）
6 48 控制
7 56 控制
队列处理
分组在路由器中等待处理的过程称为队列处理（queuing），通常采用 FIFO（先入先出）方式处理。
附带优先级的队列处理可根据发送源、目的地的 IP 地址、协议编号等信息进行分类。
附带优先级队列处理的种类
名称说明
PQ 优先级队列，根据优先级高低决定转发顺序。
CQ 定制队列，允许设置每个队列中分组的数目或字节数。
WFQ 加权公平队列，根据 IP Precedence 值分配带宽。
CBWFQ 基于类别的加权公平队列，指定每个队列所需保障的最低带宽。
LLQ 低延迟队列，结合 PQ 与 CBWFQ 的特点，优先处理特定应用的分组。
拥塞控制
当出现高通信量分组时，路由器的缓存和队列会堆满，导致尾部丢弃。
使用 RED（随机早期检测）技术可以避免尾部丢弃带来的问题。
策略控制和通信量整形
策略控制能够限制流入路由器的通信量，并决定超出限制的分组处理方式。
通信量整形则将超出限制的分组放入队列，以避免丢弃。
🌐 虚拟路由器
虚拟路由器功能允许在一台物理路由器上模拟多台虚拟路由器，以便于服务供应商提供VPN等业务。
通过该功能，可以有效降低管理的物理路由器数量和成本。
📡 路由器管理功能
Syslog与SNMP Trap
“Syslog和SNMP（简单网络管理协议）Trap用于对外告知异常信息，帮助网络管理员及时发现并处理问题。”

阈值告警
当设备的温度超过第一个层级阈值时，会发出警告消息。
当温度超过第二层级阈值时，会发出紧急消息。
阈值层级消息类型
第一层级警告
第二层级紧急
热量来源
路由器内部的热量一般来源于CPU。
风扇故障或外部温度升高可能导致设备温度超过设定阈值。
风扇告警
搭载风扇的路由器会计算风扇转速。
当转速超出正常范围时，会通过Syslog或SNMP Trap告知异常。
电源告警
配备冗余电源的路由器，当单个电源发生故障时，会通过Syslog或SNMP Trap告知异常。
时间设置
“正确的时间设置对于日志记录至关重要，时间不一致可能导致日志信息失效。”

时区设置
本地设备应选择本国时间。
跨国企业的路由器需统一设置为格林尼治标准时间（GMT）。
NTP（网络时间协议）
用于确保路由器间的时间同步。
服务供应方主要主机名层级（Stratum）
Internet Multi-Field ntp.jst.mfeed.ad.jp 2
NICT ntp.nict.jp 1
Ring Server Project ntp.ring.gr.jp 2~4
e-timing ats1.e-timing.ne.jp 1
故障排查
“故障排查是发现路由器未按预期运行原因的过程。”

错误提示
错误设置或正确设置后未能在WebUI上显示正确信息都是明显的错误，容易定位。
难以定位的故障可能源于bug或与其他厂商设备的连接问题。
诊断工具
路由器配备诊断与调试命令，帮助用户获取内部程序运行步骤。
分组捕获
用于判断特定分组在路由器中是否因设置、访问列表或bug等原因被丢弃。
吐核
Core dump文件记录程序异常中止时的寄存器及内存内容，有助于定位bug。
文件传输控制
使用协议如TFTP、FTP、SCP、SFTP进行文件传输。
路由器的构成要素
CPU
路由器通常使用嵌入式处理器或通用处理器，需选择长期稳定供货的产品。
存储器
分为只读存储器（ROM）和随机存储器（RAM）。
内存种类特征在路由器内部的用途
ROM 内容在电源关闭后不会消失存储出厂时安装的程序
RAM 电源关闭后内容消失存储操作系统、路由表、缓存等
NVRAM 电源关闭后内容不会消失存储启动配置
闪存可多次擦除并重写的ROM 存储操作系统镜像
操作系统
路由器使用专用操作系统，通常基于UNIX系列。
网络接口
路由器配有多个物理接口，以支持不同的数据链路层协议。
数据链路手段说明主要速度接口形状
POS 传输SONET/SDH数据帧 OC-192c/STM-64c等光纤（SC、LC等）
Ethernet 传输以太网数据帧 10-Gigabit Ethernet等 LAN线缆（RJ-45）
硬件模块
使用专用集成电路（ASIC）和现场可编程门阵列（FPGA）等硬件模块进行高速处理。
路由器启动流程
执行POST（上电自检）程序，检测硬件。
执行bootstrap程序，检索启动的IOS。
加载IOS镜像到RAM中。
检索NVRAM中的配置文件。
路由器的架构
共享总线型架构
适用于桌面式和低端路由器，性能依赖于总线的交换容量。
中端路由器
可连接接口模块，扩展功能。
中高端路由器
具备冗余电源、独立路由引擎等高级功能。
🖥️ 路由器的架构
端口适配器与相关组件
端口适配器：用于连接网络设备与路由器的接口。
EEPROM：一种可编程只读存储器，用于存储固件和配置。
DRAM：动态随机存取存储器，临时存储数据。
GT64010：一种具体的芯片，可能用于网络设备。
系统控制器：负责管理和协调系统操作的组件。
SRAM：静态随机存取存储器，速度快于DRAM，通常用于缓存。
RISC处理器：精简指令集计算机，执行简单指令集以提高处理速度。
L2缓存：二级缓存，提高处理器与内存之间的数据传输速度。
midplane：连接不同模块的中介板，提供数据和电源传输。
网络处理器引擎（NPE）：专用处理器，处理网络数据流。
快速以太网：以太网的一种标准，提供更高的数据传输速率。
MII：媒体独立接口，连接物理层和媒体访问控制层。
PCMCIA：个人计算机内存卡国际协会，标准化的接口卡。
启动ROM：只读存储器，存储引导程序。
Dual UART：双通道异步收发传输器，用于串行通信。
NVRAM：非易失性随机存取存储器，存储配置信息。
启动闪存：用于存储引导程序的闪存存储器。
PCI桥：连接不同PCI总线的桥接器。
路由器架构
共享总线型架构
分布式处理器：通过在网络接口的线卡上搭载CPU，使数据传输不依赖中央处理器。
最大传输速度：依赖于总线的容量，适用于早期的高端路由器。
纵横通路方式
交换结构：取代共享总线，提高系统传输性能。
箱式路由器：端口之间的数据传输通过交换结构实现。
纵横通路交换：由M个输入线路和N个输出线路组成，通过交叉点实现数据传输。
纵横通路交换的结构
交叉点（crosspoint）：每个交叉点上产生一个交换。
通路（bar）：数据流动的载体。
线端阻塞与虚拟输出队列
线端阻塞（HOL，Head of line blocking）：输入缓存中最初进入的分组因输出缓存正在使用而无法转发。
解决方法
虚拟输出队列：为每个输出端口配备多个缓存，避免线端阻塞。
路由器的内部冗余
控制平面与数据平面：
控制平面：负责路由选择协议和数据库信息管理。
数据平面：根据转发信息库（FIB）进行数据转发。
冗余机制
NSF（Non-Stop Forwarding，不间断转发）：在控制平面停止时，数据平面仍能转发数据。
SSO（Stateful Switch-Over，状态切换）：缩短控制平面故障时的切换时间。
NSR（Non-Stop Routing，不间断路由）：保持主副控制平面的路由选择协议状态同步。
路由器的设置操作
CLI 设置
用户模式：只能使用基本命令。
特权模式：包括所有设置和调试命令。
全局配置模式：以路由器整体框架进行设置。
详细配置模式：对特定功能进行单独设置。
保存设置的方法
保存命令：从运行配置（running-config）保存到启动配置（startup-config）。
提交方式（commit）：在修改设置时，先保存到候选配置（candidate config），再通过提交命令生效。
恢复出厂设置
通过特定命令恢复路由器到出厂默认设置。
📊 L3 交换机与路由器的比较
L3 交换机与路由器的硬件比较
特性 L3 交换机路由器
硬件类型箱式、机框式桌面式、箱式、机框式
数据帧处理基于ASIC 的硬件处理基于CPU 的软件处理
性能线速（wire rate）处理速度比 L3 交换机慢
接口以太网（RJ-45、光收发器）以太网、串口、ISDN、ATM、SDH 等
不支持的协议、功能拨号接入（PPP、PPPoE）、高QoS、NAT、VPN、状态检测、高安全功能、VoIP 等 STP/RSTP、LAN tracking、IEEE 802.1X、私有VLAN、堆叠等
注1：线速（wire rate）详见第7章。L3 交换机在千兆以太网时单向传输速率可达 1 Gbit/s，而路由器无法达到此速率。注2：根据机型不同，有些产品可通过添加模块扩展支持功能。

L3 交换机的架构
L3 交换机的构成要素
控制平面
基于CPU 的软件处理，负责操作系统管理、管理员用户界面、路由选择协议处理等工作。
数据平面
基于ASIC、FPGA、网络处理器的硬件处理，负责实际的数据传输。
L3 交换机的结构图示
构成说明
控制平面通用CPU、内存、Supervisor IOS
数据平面 ASIC、TCAM
背板完成物理接口之间的数据传输
背板的几种方式
背板方式说明
共享总线方式在机框内部使用1根总线，一次只能通过1个数据帧
共享内存方式在共享内存中存储接收到的数据帧，然后在发送接口处读取并转发
纵横通路方式在多个呈网状的总线上同时完成数据的传输
L3 交换机的信息处理
转发信息库和邻接表
在分组传输中，L3 交换机利用转发信息库（FIB）与邻接表进行信息处理。此过程称为Cisco 特快转发（CEF）。

表项说明
FIB 基于控制平面上路由选择表的信息生成的表项
邻接表基于控制平面上ARP表的信息生成的表项
多层交换机与负载均衡器
多层交换机的定义
多层交换机是指拥有L3以上功能的交换机，能够支持IP路由选择等网络层功能。
支持TCP层级访问控制的交换机称为L4交换机，支持应用层（L7）参数进行负载均衡的产品称为L7交换机。
负载均衡器的功能
负载均衡器用于将来自多个客户端的请求分散到多台服务器，以避免服务器过载。它可以是专用设备或应用程序。

负载均衡器作用说明
提高扩展性能够随时添加物理服务器，提升虚拟服务器性能
提高可靠性服务器故障时虚拟服务器继续服务，保证不间断处理业务
负载均衡算法示例
算法名称说明
轮询（Round Robin）依次将请求分配给各个服务器
最少连接（Least Connections）与处理连接数最少的服务器进行通信
加权轮询（Weighted Round Robin）为每台服务器附加权重，适用于处理能力不同的情况
IP 地址散列保证来自同一客户端的请求统一转发到同一服务器
L3 交换机的发展历程
L3 交换机的发展经历多个重要阶段，从最初的基于软件处理的路由功能到如今广泛应用的ASIC硬件处理。关键事件包括：

年份事件
1988 IEEE 802.3a（10BASE2）和RIP（RFC1058）标准化
1990 Kalpana公司发布EtherSwitch交换机
1996 Extreme Networks 和 Foundry Networks成立
1998 Foundry发布L4~L7层交换机，思科发布L3交换机Catalyst 8500系列
L3 交换机的性能比较
产品名称最大交换容量
Cisco Systems Catalyst 3750 32 Gbit/s
Brocade FCX 624 128~200 Gbit/s
Cisco Systems Catalyst 6500 720 Gbit/s
Brocade FastIron SX 1600 1.08 Tbit/s
Cisco Systems Nexus 7000 1.4 Tbit/s
Juniper Networks EX8216 12.4 Tbit/s
🖥️ L3交换机的性能与功能
L3交换机的基本概念
L3（第三层）交换机是指可以在网络层（Layer 3）进行数据包转发的交换机，具备路由功能。

特点：
支持多种网络协议
能够在不同VLAN（虚拟局域网）之间转发数据
低端L3交换机
低端L3交换机一般为箱式或桌面式，作为企业的接入交换机使用，通常具有以下特征：

尺寸：1RU（机架单位）
端口数：支持24或48个端口
供电：部分产品支持以太网供电（PoE）
价格：约几万日元至100万日元
性能比较表
产品型号最大背板容量最大电力消耗最大千兆端口数最大万兆端口数
Cisco Systems Catalyst 3750 32 Gbit/s 160 W 48 + 4 N/A
Juniper Networks EX2200-48P-4G 104 Gbit/s 91 W 48 48
ALAXALA Networks AX3630S-48TW 96 Gbit/s 405 W (支持PoE) 48 N/A
L3交换机的特殊功能
功能分类
L3交换机的功能可以根据OSI参考模型进行分类：

OSI层分类功能描述
应用层认证类、管理类 SNMP、RMON、syslog、DHCP、NetFlow、FTP、IEEE 802.1X等
网络层、传输层路由选择协议静态路由、RIP、OSPF、BGP等
QoS 服务质量 IEEE 802.1p、LLQ、WFQ、带宽控制等
IP隧道 IPv4 over IPv6、IPv6 over IPv4
其他过滤、负载均衡、VRRP等
VLAN（虚拟局域网）
定义：VLAN是逻辑上将网络分段的技术，能够控制广播通信规模。
标准：1998年IEEE 802.1Q标准化。
VLAN类型
基于端口的VLAN：在交换机上设置VLAN ID，实现VLAN构建。
标签VLAN（IEEE 802.1Q）：通过中继端口在多个交换机间传递VLAN信息。
本征VLAN：VLAN ID为1的VLAN，通常用于管理。
协议VLAN：基于网络层协议定义的VLAN。
私有VLAN：在VLAN内部再构建一层VLAN，增强安全性。
VLAN的数据流向
在同一VLAN内，主机之间通过ARP请求进行通信。交换机会根据MAC地址表进行转发。

VLAN间的路由选择
L2交换机：需要依赖路由器进行VLAN间的转发。
L3交换机：能够直接完成VLAN间的路由选择。
UDLD（单向链路检测）
UDLD用于检测在数据传输过程中发生的单向链路故障，及时关闭故障端口，确保网络稳定。

防火墙与安全设备
CIA模型：机密性（Confidentiality）、完整性（Integrity）、可用性（Availability）是构建安全网络的基本理念。
CIA模型内容
条目威胁种类对策使用的技术对策实施的装置
机密性窃听、非法访问等用户认证、加密防火墙、VPN、IDS/IPS等
完整性篡改、冒充等数据认证、电子签名、加密防火墙、VPN、IDS/IPS等
可用性 DoS攻击等过滤、冗余、策略防火墙、带宽控制装置等
本章介绍了L3交换机的基本性能与功能，强调了VLAN的重要性及其在数据转发中的应用。

🔥 防火墙的基本概念
防火墙定义
**防火墙（Firewall）**是指为了防止发生火灾时，火势蔓延至建筑物内其他区域而设置的、由防火材质（主要是石膏板）铸成的墙。

防火墙的比喻
在网络结构中，防火墙的作用可以看作是防止外部网络入侵内部网络的“火灾”，因此防火墙被用来比喻网络安全的防护措施。

📅 防火墙的发展历史
年份事件描述
1985年最初的防火墙采用分组过滤技术，由思科公司的IOS软件实现，作为路由器的一个功能。
1988年 DEC公司和AT&T的贝尔实验室开始研究防火墙，DEC的防火墙连接外部和内部网络，内部用户需登录才能访问外部网络。
1991年 DEC公司开始销售名为DEC SEAL的防火墙产品。
1994年 Check Point Software Technologies公司推出商用防火墙产品Firewall-1。
2000年随着宽带网络的普及，越来越多的企业开始使用VPN。
2004年发布统一威胁管理（UTM）产品，将多种功能集成到防火墙中。
2007年 Palo Alto Networks公司发布新一代防火墙（NGFW），基于应用程序而非端口执行安全策略。
🛡️ 防火墙的分类
软件型防火墙
个人防火墙功能
功能描述
确认连接请求向用户确认是否阻止特定的连接请求。
安全日志记录正常连接与错误连接的信息，有助于故障分析。
反病毒功能阻止计算机病毒和蠕虫的通信。
反间谍软件功能阻止间谍软件或程序的通信。
个人信息保护功能防止个人信息被窃取或浏览恶意网站。
主要个人防火墙产品
厂商名称产品名称
趋势科技公司 Virus Buster-Grand
赛门铁克公司 Norton 360
迈克菲公司 Total Protection
卡巴斯基公司互联网 Security
网关型防火墙
安装位置：网关处
监测对象：流经网关的所有通信流量
特点：监控来自多个不特定终端的通信流量，并实施策略控制。
⚙️ 防火墙技术类型
技术类型年代说明
分组过滤型 1988年第一代防火墙技术，使用访问控制列表来过滤IP和TCP/UDP分组。
应用网关型 1989年通过特定应用程序会话进行通信过滤。
电路层网关型 1990年在传输层上进行连接中继，不再依赖于IP和TCP分组进行过滤。
状态检测型 1993年通过检测TCP连接状态来阻挡不明分组，增强防护能力。
新一代防火墙 2007年基于应用程序执行安全策略，不再仅仅依赖IP地址和端口号识别用户信息。
🛠️ 防火墙的网络接口模式
接口模式说明
L3模式具有IP地址的接口，进行路由选择和连接VPN时使用。
L2模式透明模式，具有与交换机接口相同的MAC地址，进行桥接。
L1模式虚拟线缆模式，流量在一对网络接口上输入和输出，无法进行路由和桥接。
TAP模式与交换机镜像端口连接，通过复制和收集数据帧实现可视化和恶意软件检测。
🛡️ 防火墙功能与防范威胁的对策
5.1 内联模式的结构
互联网结构
路由器：互联网网关。
LAN：局域网（Intranet）。
防火墙：负责监控和控制进出网络的流量。
交换机：用于连接网络设备。
5.6 防火墙能够预防的威胁
表5-10 防火墙能够防范的威胁
威胁种类说明
窃听通过窃听网络数据获取信用卡卡号、密码等重要信息
篡改将网站主页、邮件等通信内容恶意修改
破坏通过计算机病毒或DoS（拒绝服务）攻击等破坏系统的正常工作
冒充冒充他人接收邮件、实施钓鱼、诈骗等行为
信息泄露个人计算机或服务器上重要的个人信息或文档泄露
攻击跳板作为病毒部署或DoS攻击的跳板（中继处）
垃圾邮件以营利为目的发送大量邮件
5.7 防火墙中搭载的各种功能
5.7.1 会话管理
会话：两个系统之间通信的逻辑连接从开始到结束的过程。
在TCP中，建立连接需要经过3次握手。
TCP 连接管理
SYN：客户端发送SYN消息，表示请求建立连接。
SYN+ACK：服务器回应确认消息。
ACK：客户端确认接收到服务器的确认消息。
5.7.2 会话建立的处理
防火墙完成会话建立的步骤：

检索会话表，确认是否存在相同会话。
检查分组是否可以通过L3路由选择或L2转发来输出。
确定NAT（网络地址转换）后的网络输出接口和目的地区域。
根据安全策略检查决定是否转发或丢弃分组。
生成会话信息。
5.7.3 会话的生存时间
会话信息有一定的生存时间，若在一定时间内无通信，防火墙将删除该会话记录。

TCP：一般为30分钟至1小时。
UDP：一般为30秒左右。
5.7.4 会话终止处理
TCP连接的终止步骤：

客户端发送FIN消息。
服务器回应FIN+ACK消息。
客户端确认ACK消息，连接结束。
5.7.5 UDP 数据流的管理
UDP中没有3次握手过程，直接使用UDP分组进行交互，防火墙根据发送源IP、发送源端口、目的地IP、目的地端口生成会话信息。

5.7.6 安全区域
防火墙的安全区域分为：

信任区域：公司内部网络，需要保护的区域。
不信任区域：外部网络，如互联网。
DMZ（非武装区域）：放置对外公开服务器的区域。
5.7.7 分组结构解析
防火墙对分组进行解析，主要项目包括：

IP 首部解析
确认以太网数据帧首部的类型。
验证分组长度与实际长度一致。
检查TTL（生存时间）是否为0。
TCP 首部解析
确认TCP首部长度和校验和是否正确。
检查端口号和TCP标志位是否正常。
UDP 首部解析
确认UDP首部的完整性和校验和是否正确。
项目说明
版本确认IP版本
首部长度验证首部长度是否符合标准
协议号确认协议号是否有效
源IP地址确认发送源IP地址
目的地IP地址确认目的地IP地址
🔒 防火墙的自定义区域与安全策略
自定义区域
自定义区域是根据具体内容、安全策略描述以及管理员管理目的而重新命名的区域，例如“人事部区域”或“销售部区域”。

信任区域、不信任区域、DMZ（非军事区）常用于防火墙中，但也可以自定义不同的区域名称。
安全策略
防火墙的主要功能是访问控制，判断特定发送源与特定目的地之间是否允许进行特定通信。

访问控制的实现
通过设置规则来实现访问控制。
每条规则指定发送源、目的地及通信内容等信息。
在路由器中，访问控制的规则集合称为访问控制列表，在防火墙中则称为安全策略或安全规则。
路由器的访问控制列表
访问控制列表以行为单位定义规则，每一行的规则称为表项。

表项的构成
一个表项由以下三个要素组成：

触发对象（trigger object）
行为（action）
可选项（option）
示例
对于Cisco IOS中的访问控制列表，表项的规则只允许发送源IP地址作为触发对象，行为在“允许”（permit）和“拒绝”（deny）之间选择。

扩展的访问控制列表参数
参数说明
access-list-number 访问控制列表编号，扩展ACL时使用100到199或2000到2599之间的值
dynamic dynamic-name 动态会话名称及超时时间
{deny permit}
protocol 指定IP首部内表示的协议号
source 指定发送源地址
destination 指定目的地地址
$i c m p - t y p e ...$
防火墙的安全策略
防火墙的安全策略与路由器的访问控制列表最大的不同点在于是否拥有区域的概念。

安全策略评估
访问控制列表和安全策略都是按照表中由上往下的顺序进行评估，防火墙的这种行为称为安全策略查找（policy lookup）。

默认的拒绝行为
对于未出现在安全策略表中的通信行为，防火墙默认执行拒绝行为，称为默认的拒绝（implicit deny）。

示例
发送源区域目的地区域发送源地址目的地址目的地端口行为
Trust Untrust 192.168.1.0/24 Any Any Allow
Trust Untrust 192.168.2.0/24 Any 80 Deny
Untrust DMZ Any 10.1.1.1 80 Allow
内容安全策略
内容安全策略使用反病毒、入侵防御系统（IPS）、URL过滤、数据泄露防护（DLP）等机制，能够拦截非法通信并避免不必要的通信流量。

NAT（网络地址转换）
NAT允许私有IP地址向外部网络进行通信，分为静态NAT和动态NAT。

静态NAT
静态NAT是1对1的地址分配，由管理员设置具体的地址映射。

动态NAT
动态NAT使用IP地址池，在NAT会话建立时动态分配可用的地址。

NAPT（网络地址端口转换）
当只有一个全局地址可用时，通过结合使用TCP或UDP端口号，将多个私有地址映射到一个全局地址，实现多个客户端共享一个全局IP的功能。

VPN（虚拟私有网络）
VPN是一种利用公共互联网构建私有网络的技术，允许组织内部进行机密数据的安全传输。

🌐 Intranet 和 VPN 构建
Intranet 的构建
局域网（LAN）：当组织只有一个办公场所时，可以通过局域网完成内部网络（Intranet）的构建。
跨地理位置的分支机构：若存在如东京总部和大阪分部等跨地理位置的分支机构，则需在不同的办公场所之间建立和连接Intranet。
专线服务的历史
在上世纪90年代之前，组织通常通过签约和租用电信运营商提供的专线服务来构建Intranet。
专线的特点：
专属于租用方，确保数据的安全性和通信质量。
高额的月租费用，特别是带宽超过几Mbit/s的广域网线路。
互联网接入的演变
ISDN（综合业务数字网）：1995年左右，组织开始使用ISDN进行互联网接入，降低了成本。
ADSL（非对称数字用户线）：2000年左右，ADSL的普及进一步降低了使用广域网接入互联网的成本，使得利用互联网构建Intranet变得具有成本优势。
VPN 的分类与构建
VPN 的定义
虚拟专用网（VPN）：通过使用路由器、防火墙等设备创建IPsec隧道进行连接，实现安全的网络通信。
VPN 分类
分类定义
站点间VPN 在两个网络之间通过IPsec隧道进行连接的拓扑结构。
中心辐射型VPN 星形拓扑结构，中心站点连接多个远程站点。
远程接入型VPN 用户通过个人计算机与公司VPN装置建立IPsec隧道访问内部服务器。
站点间VPN
拓扑结构：两个网络之间的VPN装置通过IPsec隧道连接，形成点对点的拓扑。
中心辐射型VPN
拓扑结构：一个中心站点连接多个远程站点，类似自行车的飞轮和辐条结构。
远程接入型VPN
构建方式：用户在个人计算机上使用VPN客户端软件，通过互联网与公司的VPN装置建立连接。
IPsec-VPN 的技术细节
IPsec 协议
IPsec-VPN：使用IPsec协议的VPN连接，提供安全的站点间连接。
关键术语
术语说明
SA（Security Association） IPsec通信时与通信对方建立的逻辑连接。
ESP（Encapsulating Security Payload）加密原始分组，并通过HMAC确定是否被篡改。
AH（Authentication Header）用于确认分组是否被篡改的认证协议。
IKE（Internet Key Exchange）用于交换密钥信息的协议，分为阶段1和阶段2。
IKE 协商阶段
阶段1：建立认证SA，生成公有密钥。
阶段2：生成用于IPsec通信的密钥并建立IPsec SA。
SSL-VPN 的优势与类型
SSL-VPN：通过浏览器使用HTTPS进行安全Web访问的远程接入型VPN。
SSL-VPN 的类型
类型特点
反向代理方式使用HTTPS在443端口完成加密通信的解密工作。
端口转发方式使用浏览器插件建立SSL隧道，支持多种应用程序。
隧道方式使用SSL-VPN客户端软件，支持网络层以上所有协议的隧道传输。
IPsec-VPN 与 SSL-VPN 的比较
特性 IPsec-VPN SSL-VPN
客户端软件需要专用客户端软件只需带有Web浏览器
操作系统依赖依赖于操作系统不受操作系统限制
防火墙策略需设置多个安全策略只需允许HTTPS（TCP 443）端口
NAT环境限制需要NAT traversal过程不受NAT环境限制
数据吞吐量分组首部较小分组首部较大，数据吞吐量较低
以上内容涵盖了Intranet及VPN的构建、IPsec-VPN的技术细节及SSL-VPN的优势与类型，确保对相关知识有深入理解。

🔒 防火墙功能与防范威胁的对策
🛡️ 防火墙中的各种功能
产品系列与用户连接数
产品名称同时连接用户数范围备注
Check Point 系列 100~10,000 防火墙、UTM 产品
Cisco Systems ASA5500 系列 25~5,000
Palo Alto Networks PA 系列 100~10,000
Fortinet Fortigate 系列 50~25,000
注：同时连接的用户数是指在相同系列产品中能够支持连接的用户数的范围。

SSL 会话建立的序列
图5-28展示了SSL会话建立的序列，主要步骤如下：

Hello Request
Client Hello
Server Hello
Server Certificate (可选)
Server Key Exchange (可选)
Certificate Request (可选)
Server Hello Done
Client Certificate (可选)
Client Key Exchange
Certificate Verify (可选)
Finished
Finished
主机检查功能
支持主机检查（Host Checker）功能的SSL-VPN，可以对连接的客户端主机进行检查，通常会检查以下信息：

检查内容说明
是否安装了防毒软件检查反病毒软件的签名版本信息
是否安装了个人防火墙检查特定的进程是否启动
OS 和 Service Pack 的种类及兼容性检查特定的注册信息值
MAC 地址检查是否存在特定文件
如果主机检查结果为OK，则允许客户端的SSL-VPN连接，反之则拒绝连接。

⚠️ DoS 防御
DoS 攻击概述
DoS（Denial of Service）攻击是指通过大量请求使服务器无法提供服务。这种攻击使得正常用户无法访问服务器。

这可以比作频繁按别人家的门铃，造成家务被搁置。

DDoS 攻击
通过僵尸网络对服务器发起攻击的方式称为DDoS（Distributed Denial of Service）攻击。

DoS 攻击种类
防火墙会针对不同类型的DoS攻击做出防范对策，主要类型如下：

攻击名称说明
Syn Flood 向攻击对象发送大量的TCP SYN分组，造成资源消耗。防火墙使用SYN Cookie策略进行应对。
ICMP Flood 向攻击对象发送大量的ICMP echo request分组，消耗服务器内存。
UDP Flood 向攻击对象发送大量的UDP分组，消耗服务器内存。
IP Flood 向攻击对象发送大量的IP分组，消耗服务器内存。
Land 发送源地址和目的地址相同的分组，造成当机状态。防火墙会丢弃该类分组。
Tear Drop 发送伪造的非法IP分组碎片，导致当机状态。防火墙会丢弃该类分组。
Ping of Death 发送超过最大长度的ping信息，导致无法运行。防火墙会丢弃该类分组。
Smurf 广播发送ICMP Echo Request消息，消耗带宽资源。
Connection Flood 反复生成大量长时间为open状态的连接，导致系统崩溃。
Reload 在Web浏览器中反复按F5键，导致服务器负载加剧。
DoS 防御功能
DoS防御功能限制判定为DoS攻击的异常高速率通信流量，通常通过设置区域、网络接口等单位来实现。

📡 端口扫描防御
端口扫描概述
端口扫描（port scan）是攻击者在发起攻击前对目标进行调查的行为，通常分为TCP和UDP端口扫描。防火墙能够探测并阻断端口扫描行为。

端口扫描类型内容
TCP 端口扫描对TCP的所有端口进行扫描，探测哪些端口可以使用。
SYN 端口扫描无需完成三次握手过程，直接进行端口扫描。
ACK 端口扫描通过发送ACK分组来判断端口状态，回避防火墙检测。
Null 端口扫描发送所有标志位为0的分组，判断端口是否打开。
FIN 端口扫描发送FIN分组，根据返回的消息判断端口状态。
Xmas 端口扫描发送所有标志位均为1的分组，判断端口状态。
UDP 端口扫描对UDP的所有端口进行扫描，探测哪些端口可以使用。
🔍 基于内容的扫描
IDS/IPS
IDS（入侵检测系统）负责检测非法入侵并告知管理员，IPS（入侵防御系统）则通过设置拦截非法入侵的协议。其检测的威胁包括：

DoS 攻击
P2P 信息泄露
恶意软件（蠕虫、特洛伊木马等）
Deep Inspection
Deep Inspection 功能能够重组应用程序数据流，检测其中的非法参数。可以控制FTP中的命令级别操作，识别并动态生成允许数据流通过的防火墙针孔。

CVE 标识编号
CVE（通用脆弱性标识）用于标识已知的安全脆弱性问题，每个问题分配一个唯一的CVE-ID，例如：

CVE 识别编号内容
CVE-2006-0900 FreeBSD nfsd NFS Mount Request Denial of Service
CVE-2007-2881 Sun Java Web Proxy Server Buffer Overflow Vulnerability
CVE-2009-1923 Microsoft Windows WINS Service Heap Overflow Vulnerability
🦠 反病毒
反病毒软件的安装可以保护计算机免遭病毒侵袭，分为主机型和网关型两种。

类型优点缺点
主机型防病毒针对具体操作系统进行定制扫描需要在每台客户端安装软件
网关型防病毒不依赖于客户端的操作系统无法对所有文件进行扫描
恶意软件类型
恶意软件说明
病毒感染计算机，修改其运行方式。
蠕虫自我繁殖并破坏数据的程序。
特洛伊木马伪装成合法程序，造成数据丢失或被盗。
间谍软件未经许可发送用户信息。
广告软件强制弹出广告的程序。
🔒 恶意软件与防病毒技术
恶意软件定义
恶意软件是指以犯罪为目的编写并使用的软件，通常会对用户的设备和数据造成损害。

恶意软件类型
类型描述
不良软件（badware）包括所有有害的软件，旨在保护用户免受恶意软件的影响。
键盘记录软件记录键盘输入内容，用于盗取用户信用卡账号、密码等信息。通常隐蔽安装在公共计算机中。
屏幕记录软件定期捕获屏幕画面并将其发送电子邮件，常用于盗取网络银行密码等。
后门软件（rootkit）破解者用来实施恶意操作的工具集合，针对系统的安全漏洞进行攻击。
防病毒技术
网关型防病毒
网关型防病毒分为两类：

基于文件型（Proxy-based）

优点：支持多种压缩算法，能够解压深层级目录。
缺点：扫描速度慢，受文件大小限制，可能造成低吞吐率和高延迟。
基于数据流型（Flow-based）

优点：高速扫描，低延迟，扫描不受文件大小限制。
缺点：不支持某些压缩算法，展开较小层级的目录有限。
延迟比较
特性基于文件型基于数据流型
扫描速度较慢较快
吞吐率低高
文件大小限制有无
启发式扫描误检率较高较低
反垃圾邮件技术
垃圾邮件是指骚扰邮件、广告邮件和欺诈邮件，反垃圾邮件功能用于过滤这些邮件。

注意事项：反垃圾邮件技术可能引发误检，应谨慎使用。
数据泄露防范（DLP）
DLP（Data Loss Prevention）指防范信息泄露的功能，主要由以下两部分构成：

功能描述
文件过滤通过检测文件信息，阻止不必要文件的流入和涉密文件的流出。
数据过滤检测数据信息，发现匹配特定关键字的数据时进行丢弃或告警。
URL 过滤
URL 过滤功能在HTTP通信中检查URL信息，判断是否能够访问指定网站。分为两类：

数据库型：使用分类数据库，管理员可设置访问规则。
云服务型：通过云服务提供商的分类服务器对URL进行实时确认和分类。
监视与报告功能
防火墙的监视功能包含以下几个方面：

功能描述
监视实时监测网络及设备状态，及时观测通信流量状态与故障信息。
告警通知在故障或异常情况下，向管理员发送告警通知。
日志获取记录各类流量日志和事件日志，并支持多种格式导出。
报告通过WebUI加工处理日志，提供可视化图表信息。
认证与标准
ISCA 认证
ISCA（International Computer Security Association）
认证内容涉及反恶意软件、IPS、反间谍软件等。
FIPS 标准
FIPS（Federal Information Processing Standard）由美国联邦政府制定，涉及信息通信硬件的相关标准。

ISO/IEC 15408
公共标准（Common Criteria）用于评估信息安全产品的安全性，包含EAL（评估保证级别）等评估标准。

EAL级别安全保障评估级别描述
EAL1 最低级别适用于封闭环境，保障安全使用。
EAL4 高级别用于商用产品，确保高安全性。
EAL7 最高级别针对高风险环境的安全产品，保障等级最高。
📡 无线LAN技术的发展与基础知识

无线LAN的历史背景
1.1 早期无线LAN的挑战
早期以太网技术只能提供低至 2 Mbit/s 的网络吞吐率，且价格昂贵。
不同厂商的产品之间兼容性差，难以普及。
1.2 标准化与产品发布
1999年，IEEE 802.11b标准的完成标志着 11 Mbit/s 的无线LAN标准化。
苹果公司发布了名为 AirPort（在日本称为AirMacA）的无线接入点，售价 299美元，无线LAN网卡为 99美元，相对于以往产品价格低廉。
日本Melco公司（现为Buffalo公司）也发布了支持 IEEE 802.11b 的产品。
1.3 法律与市场的影响
1999年，日本修改无线电管理法律，将无线LAN专用频段扩大至 14个信道，促进了无线LAN的迅速普及。
随后，IEEE制定了提高通信速度的 802.11g 和 802.11n 等标准。
无线LAN的基础知识
2.1 媒介访问控制
CSMA/CA（Carrier Sense Multiple Access with Collision Avoidance）是IEEE 802.11无线LAN采用的媒介访问控制方式。
与以太网的 CSMA/CD（Collision Detection）不同，CSMA/CA在载波侦听时遇到其他终端正在发送数据时，会等待对方发送完成后，再随机等待一段时间继续发送，以避免冲突。
表2-1: 以太网与无线LAN的比较
项目以太网无线LAN
标准 IEEE 802.3 IEEE 802.11
地址 MAC地址 MAC地址
传输媒介线缆无线电波
接入控制 CSMA/CD CSMA/CA
传输方式半双工或全双工半双工
2.2 无线LAN的架构
IEEE 802.11无线网络由以下要素组成：
表2-2: IEEE 802.11无线网络的组成要素
组成要素说明
STA（Station，工作站）配有适配卡、PC卡、内置模块的物理无线终端
AP（无线LAN接入点）在STA与有限网络之间承担桥梁角色的物理硬件
IBSS（独立基本服务集）包含1个或2个以上STA的无线网络，无法访问DS时使用该模式
BSS（基本服务集）由1个无线LAN访问点和1个以上无线客户端组成的无线网络
ESS（扩展服务集）与同一有线网络连接的、2个以上的AP群
DS（分发系统）放置于不同BSS内的AP之间通过DS路由相互连接
2.3 无线LAN的拓扑结构
无线LAN的拓扑结构主要有两种模式：

ad-hoc模式：直接通过无线信号互联的网络模式，适用于个人计算机与打印机之间的连接。
基础设施模式：通过无线LAN接入点连接到互联网的网络模式。
表2-3: 无线LAN拓扑结构的种类
模式说明
ad-hoc模式直接通过无线信号互联的点到点网络模式
基础设施模式通过无线LAN接入点连接互联网的网络模式
3. 各种无线LAN标准
3.1 IEEE 802.11标准概述
无线LAN的标准由IEEE制定，标准统称为 IEEE 802.11。
主要传输标准的汇总如下：
表3-1: 主要的无线LAN传输标准
IEEE标准制定年份使用频带最大传输速率调制方式
802.11 1997年 2.4GHz 2Mbit/s DSSS
802.11b 1999年 2.4GHz 11Mbit/s DSSS/CCK
802.11a 1999年 5GHz 54Mbit/s OFDM
802.11g 2003年 2.4GHz 54Mbit/s OFDM
802.11n 2009年 2.4GHz/5GHz 600Mbit/s OFDM/MIMO
802.11ac 预定2013年 5GHz 6.93Gbit/s OFDM/MIMO
802.11ad 预定2013年 60GHz 6.8Gbit/s OFDM
3.2 无线LAN标准的演变
各个标准间的兼容性和发展历程影响了无线LAN技术的普及。
Wi-Fi是使用IEEE 802.11系列标准的无线通信设备组网时的认证标识，确保设备间的互联互通。
4. 无线LAN的功能
4.1 关联过程
无线LAN的终端与接入点的连接过程称为关联。
关联操作包括以下步骤：
扫描
认证请求
认证应答
关联请求
关联应答
关联操作流程图示
客户端根据扫描结果获取信道或SSID信息，并发送认证请求，接入点返回认证应答。
4.2 信号管理
接入点会定期发送名为灯塔（beacon）的控制信号，提供SSID信息、传输速率及信道编号等信息。
5. 重要概念
DSSS（直接序列扩频）：一种扩频通信技术。
OFDM（正交频分复用）：一种调制方式，提高无线传输速率。
MIMO（多输入多输出）：利用多个信号通道提高数据传输率。
📡 无线LAN 认证与安全
无线LAN 认证
“无线LAN 认证是确保只有授权用户能够接入网络的重要过程。”

关联过程
关联需要在无线LAN通过认证后才能进行。
关联过程使用的MAC数据帧如图6-8所示。
IEEE 802.11 MAC 数据帧
IEEE 802.11的MAC数据帧类型分为三类：

管理数据帧（Managed Frame）

示例：
传递无线信息的灯塔（Beacon）数据帧：默认每100毫秒由接入点广播。
认证使用的认证数据帧：接入点和客户端之间进行信息交互时使用的关联数据帧。
控制数据帧（Control Frame）

纯数据帧（Data Frame）

管理数据帧中使用“Address 1”表示目的地地址，“Address 2”表示发送源地址，“Address 3”表示BSSID信息。
MAC 帧的数据域
数据域说明
Protocol Version 表明使用IEEE 802.11协议的版本。接收终端根据该信息判断是否支持接收数据帧的协议版本。
Type 表示数据帧的功能。有控制（control）、数据（data）、管理（management）三种。
Subtype 每个数据帧类型均有若干个子类型，用于执行某类型下特定的功能。
To DS与From DS DS是指分布式系统，发送源为信号基站或终端的标识。
More Frag 表示是否存在后续碎片数据帧。
Retry 表示是否再次发送数据帧。
More Data 表示是否存在等待后续发送的分组。
WEP 表示是否进行WEP加密。
Order 表示数据帧是否严格按照顺序进行发送。
接入点的接入控制
通过对接入点的设置，无线客户端能够接入互联网，但外来用户可能未经允许使用接入点。可以采取以下措施：

ESSID 隐身：不发出灯塔信号，阻止用户轻易找到SSID信息。
MAC 地址过滤：设置允许关联的MAC地址列表以防止未授权用户接入。
ESSID 隐身
客户端需要通过其他途径获得SSID信息，并设置自身终端以完成隐蔽的网络连接。
该方法并非完美的安全对策，因为SSID在无线网络上并不加密。
MAC 地址过滤
通过设置允许关联的MAC地址列表，防止未授权的无线客户端接入。
MAC地址也可能被伪装，因此同样不能完全保障安全。
接入点的认证
为了防止第三者恶意访问，需要执行认证行为，主要有以下两种方式：

开放系统认证（Open System Authentication）

无需输入用户名和密码即可向接入点发出认证请求，适用于公共无线LAN。
共享密钥认证（Shared Key Authentication）

通过预共享密钥进行无线通信，只有知道该密钥的客户端才能关联接入点。
IEEE 802.1X
IEEE 802.1X 是一种用户认证与访问控制协议，适用于无线和有线LAN。
认证请求方、认证者和认证服务器三部分组成，使用EAP协议进行认证。
无线LAN 通信的加密
为了防止无线通信被窃听和篡改，必须在无线通信过程中对信息进行加密处理。主要的加密标准有：

WEP：最初的无线安全标准，使用RC4算法的加密方式。
WPA：用于弥补WEP缺陷的标准，使用TKIP加密。
WPA2：采用AES加密算法，提供更高的安全性。
WEP
使用基于RC4算法的密钥加密形式，具有三种加密方式：64bit、128bit、152bit。
密钥长度越短，破解的难度越低。
WPA
WPA提供个人模式和企业模式两种模式，企业模式引入了IEEE 802.1X认证服务器。
WPA2
WPA2使用AES加密算法，支持128bit密钥，并且与WPA兼容。
无线LAN的管理模式
自治型接入点
能够自身进行无线控制及安全管理功能设置的接入点，适合小规模部署。
集中管理型接入点
通过无线LAN控制器进行集中统一设置与管理，适合大规模办公区。
无线LAN的桥接与中继器连接
在无法布线的楼宇之间使用无线LAN的桥接技术。
通过连接中继器扩大无线LAN的范围，但可能会影响网络吞吐率。
无线LAN通信速率与覆盖范围
IEEE 802.11标准的最大支持传输速率：802.11b最大11Mbit/s，802.11g最大54Mbit/s。
实际速率受环境因素影响，如距离和障碍物。
不同无线LAN标准的数据传输速率
标准调制方式数据传输速率（Mbit/s）
IEEE 802.11a OFDM 6 ／ 9 ／ 12 ／ 18 ／ 24 ／ 36 ／ 48 ／ 54
IEEE 802.11g DSSS、OFDM 1 ／ 2 ／ 5.5 ／ 6 ／ 9 ／ 11 ／ 12 ／ 18 ／ 24 ／ 36 ／ 48 ／ 54
IEEE 802.11b DSSS 1 ／ 2 ／ 5.5 ／ 11
IEEE 802.11n OFDM 最高可达600Mbit/s（多流情况下）
无线LAN的覆盖范围呈同心圆状分布，具体取决于与接入点的距离、传输速率等因素。

📡 无线LAN通信速率与技术要点
保护间隔与数据流
“保护间隔是在IEEE 802.11a/g中使用的800ns基础上，又添加了400ns。”

保护间隔
当前市场上（截至2011年9月）仅有支持两条数据流的产品，支持所有数据速率的无线局域网（Wireless LAN）硬件尚未出现。
在IEEE 802.11n标准中，HT20模式可以选择400ns作为数据传输速率的保护间隔，但尚无支持该特性的无线模块在市场上销售。
数据传输速率表
各MCS索引对应的数据传输速率
MCS索引数据流数量载波调制方式符号速率数据传输速率（Mbit/s） HT20 (GI=800ns) HT20 (GI=400ns) HT40 (GI=800ns) HT40 (GI=400ns)
0 1 BPSK 1/2 6.5 6.5 7.2 13.5 15.0
1 1 QPSK 1/2 13.0 13.0 14.4 27.0 30.0
2 1 QPSK 3/4 19.5 19.5 21.7 40.5 45.0
3 1 16-QAM 1/2 26.0 26.0 28.9 54.0 60.0
4 1 16-QAM 3/4 39.0 39.0 43.3 81.0 90.0
5 1 64-QAM 2/3 52.0 52.0 57.8 108.0 120.0
6 1 64-QAM 3/4 58.5 58.5 65.0 121.5 135.0
7 1 64-QAM 5/6 65.0 65.0 72.2 135.0 150.0
16 3 BPSK 1/2 19.5 19.5 21.7 40.5 45.0
17 2 QPSK 1/2 39.0 39.0 43.3 81.0 90.0
… … … … … … … … …
MIMO技术
多径传输
“MIMO（多输入多输出）使用配有天线的多个无线通信线路使通信速率大幅上升。”

发送方通过空时编码（STC，Space-Time Coding）将发送信号在时间和空间上进行重组，形成并列传输信号，通过多个天线发送。
接收方通过多个天线接收多径传输来的无线电波，使用空时解码（STD，Space-Time Decoding）对信号进行分离组合，从而成功接收所有信号。
天线数量
空间数据流的数量依赖于天线的数量，通常用“a×b:c”或“a×b”表示。
a：发送天线数量
b：接收天线数量
c：最大空间数据流数量
IEEE 802.11n最大支持4x4:4的配置。
规格说明
2x2:2 收发天线各有两根，通信速率为144.4Mbit/s。
2x3:2 发送2根天线，接收3根天线，使用2个空间数据流。
4x4:4 收发均使用4根天线，通信速率约为2x2结构的2倍。
干涉现象
干涉的定义
“波的干涉是两个以上相同种类的波在某点相遇时，使该点处波的振幅为两个波振幅之和的现象。”

不同频率的无线电波在同一信道内进行通信时，可能会发生干涉。
干涉现象可以通过更改信道信息来避免。
无线LAN信道设置
在办公室设置接入点时，需要将信道设置为内嵌式，以防止干涉。
信道编号无线频带（GHz）中心频带（GHz）下限（GHz）上限（GHz）
1 2.401 2.412 2.401 2.423
6 2.426 2.437 2.426 2.448
11 2.451 2.462 2.451 2.473
接入点产品与规格书
产品规格书的阅读
功能说明
最大数据传输速率理论上达到的最大数据传输速率
同时工作的信道数量各标准能同时使用的信道数目
最大SSID数量能设置或同时使用的最大SSID数目
电源电源适配器的规格，包括输入电压和交流电源频率
无线LAN硬件制造厂商
思科公司的Aironet系列无线LAN产品在市场上占有重要地位。
其他知名厂商包括Aruba Networks、Contec、Allied Telesis等。
🖥️ 网络设备的选择与配置
产品类别
在构建网络时，可以选择以下产品类别：

产品类别说明
路由器连接不同网络，转发数据包
负载均衡器分配流量到多个服务器
L2 交换机处理局域网内部的数据流
L3 交换机具备路由功能的交换机
防火墙保护网络安全，过滤流量
无线LAN接入点提供无线网络连接
带宽控制装置管理网络带宽分配
代理作为中介，转发请求
根据图7-1，构成普通校园网络的产品包括：互联网、ISP、客户端PC、接入交换机、防火墙、路由器和汇聚/核心交换机。

设备选择原则
在新建局域网时，根据产品类别选择相应的设备。对于现存网络的硬件替换，通常选择相同类别的产品。若性能允许，可以考虑用L3交换机或防火墙替换路由器，L3交换机替换L2交换机也可行。

安全设备的选择
对于安全设备，由于某些防火墙产品具备基于内容的安全控制功能，可以考虑使用防火墙统一替代独立的防病毒设备、URL过滤设备、IDS/IPS设备等，以降低成本。

功能需求汇总
选定产品类别后，根据功能需求汇总备选设备型号时需要考虑以下要点：

关键要素说明
网络接口与速率确认WAN和LAN侧的物理网络接口数量及形状
性能吞吐率是否满足要求，硬件与软件处理的能力范围
软件功能支持的协议、网络功能、管理功能和报告功能
迁移的便捷性使用相同厂商的设备更易于迁移
售后支持现场维护或需寄回原厂，支持受理的时间
采购流程
在采购网络硬件设备时，灵活使用RFI（信息提供请求书）和RFP（征求建议书）会非常有益。

RFI与RFP
RFI：用于获取潜在供应商的信息，以明确需求。
RFP：根据RFI提供的信息，向候选供应商请求详细方案和报价。
采购步骤
策划与预算：确定采购目标与预算。
编写RFP：详细列出需求和技术规格。
评价建议方案：对收到的方案进行研究与讨论。
选择供应商：最终选择合适的供应商，并签署合同。
网络延迟与性能选择
网络延迟
网络延迟是指数据从发送方到接收方所需的时间，ITU-T G.114建议将延迟分为：

延迟类别说明
150毫秒以内可被所有用户应用程序使用
150-400毫秒对传输时间要求不高的应用程序可接受
400毫秒以上一般网络设计不允许存在该延迟
延迟种类
延迟种类说明
端到端延迟从发送源到目的地所需的总时间
处理延迟数据在设备内部处理所需的时间
分组化延迟数据编码、压缩的时间
队列延迟数据在队列中等待的时间
串行化延迟数据转换为物理信号的时间
传播延迟信号通过介质传输的时间
测量网络设备性能的方法
使用通信流量测试负载生成器可以测量网络设备的性能。关键指标包括：

吞吐率
最大在线会话数
NDR（non-drop rate）
实际吞吐率的选择
选择路由器时，不仅要关注其最大吞吐率，还要考虑在实际使用中可能遇到的分组大小和流量类型。一般情况下，路径上最大的吞吐率应与实际网络负载相匹配。

相关法规与标准
IP电话网络的分组丢失率需控制在0.1%以下。
延迟和抖动的标准应符合ITU-T的相关建议。
通过以上内容，学生可以对网络设备的选择与配置有深入的理解，能够为实际工作提供指导。

🖥️ 交换机性能的考量方法
“交换机的性能主要通过交换容量和交换能力来评估，这两个参数都对网络的整体性能有着重要影响。”

交换容量
定义: 交换容量（也称为背板容量）是指交换机内部数据传输的带宽容量。
影响: 当通信流量超过交换容量时，交换机可能会因缓存不足或内部带宽不够而无法处理，导致数据帧丢失、网络接口停止以及废弃帧数上升等问题。
交换能力
定义: 交换能力是指单位时间内能够处理的数据帧数目（pps，分组每秒），也称为最大分组转发能力。
重要性: 交换机在处理以太网数据帧时，通过查看数据帧首部确认转发目的地的MAC 地址，校验数据帧尾部异常，并查阅访问控制列表进行过滤。数据帧尺寸越小，处理的工作量越大，系统负载也随之增加。
数据帧尺寸与处理能力
数据帧尺寸处理能力（pps）理论线速
64 字节 14880 pps 10Mbit/s
1500 字节 1.2 Mbit/s 100Mbit/s
1024 字节 740 Mbit/s 1Gbit/s
注: 交换机的非阻塞交换能力计算方法：如果交换机有24个端口，线速为1.488Mpps，则总交换能力为
KaTeX can only parse string typed expression
24⋅1.488Mpps=35.712Mpps。
MAC 表与L3 表
L2交换机: 使用MAC 表管理MAC 地址。
L3交换机: 除了使用MAC 表，还使用L3 表管理IP 地址。
问题: 如果MAC 表项超出管理表的最大容纳数量，将导致分组丢弃。
广播风暴
定义: 广播风暴是指多个交换机连接成回环时，MAC 数据帧不停来回传递，造成网络带宽和交换机资源的过度消耗，最终导致网络瘫痪。
解决方法: 使用生成树功能（Spanning Tree Protocol）可以避免该问题。生成树通过NDP（Neighbor Discovery Protocol）端口的开闭来解决网络的回环问题。
半双工与全双工通信
半双工: 在半双工通信中，使用CSMA/CD（Carrier Sense Multiple Access with Collision Detection）时，终端数目越多，冲突的概率越大，导致通信效率降低。
全双工: 全双工通信中不再使用CSMA/CD，发送和接收能够充分利用最大传输速率。例如，在快速以太网中，发送与接收各为100Mbit/s，线路带宽为200Mbit/s。
自适应功能
定义: 自适应功能使交换机的网络接口根据以太网速度和双工通信方式自动选择最佳通信模式。
问题: 如果自适应功能无法正常工作，交换机端口会默认进入半双工模式，可能影响性能。
路由器性能的考量
吞吐率: 路由器性能常用吞吐率（throughput）来衡量，单位为bit/s（比特每秒）或pps（分组每秒）。
处理能力: 处理能力越大，路由器的bit/s 值也越高。例如，处理能力为100pps的路由器处理64字节分组时速率为51.2kbit/s，而处理1500字节分组时速率可达1.2Mbit/s。
防火墙性能的考量
同时在线会话数
定义: 防火墙使用会话表管理通信会话，能够记录的表项数目表明该防火墙处理的同时在线会话数量。
会话生存时间
定义: 会话生存时间是指在一定时间内未产生通信量的会话会被删除的时间段。
VPN 和加密性能
影响: 加密或解密操作会增加系统负载，从而可能导致性能下降。使用ASIC硬件芯片处理加密可以避免性能下降，但大部分设备仍依赖CPU进行软件处理。
对象尺寸与处理性能
定义: 对象尺寸指文件的大小，处理对象每秒（objects per second）用于衡量设备在单位时间内处理文件的能力。
示例: 不同对象尺寸对应的处理性能示例如下：
对象尺寸处理对象每秒吞吐率
4KB 3352 129.01
16KB 2121 298.16
64KB 1026 560.30
1MB 86 742.90
结论: 对象尺寸越小，处理对象每秒的性能越高，而吞吐率则相对较低。
关键总结
选购交换机时需确认交换容量、交换能力和MAC 地址表的数量，以满足网络需求。
防火墙性能和会话管理能力直接影响网络的响应速度和安全性。
在进行网络设备性能测试时，应考虑实际应用中的流量类型和数据包大小。
🖥️ LAN通信与网络设备选择
接入交换机与汇聚交换机
“在网络设计中，接入交换机和汇聚交换机的设计至关重要，错误的设计可能会导致网络瓶颈。”

设计考虑
汇聚交换机和核心交换机的端口数需要根据连接的接入交换机和终端设备的数量进行合理设计。
机框式核心交换机可以通过增加线卡模块来满足端口后续增加需求。
PoE供电设计
供电容量设计
“PoE（以太网供电）技术使得网络设备如无线LAN接入点和IP电话能够通过网络线缆供电。”

供电规格示例
设备名称 PoE供电能力端口数每端口供电能力
Cisco Systems Catalyst 3750系列交换机 420W 24 15.4W
Cisco Systems Catalyst 3750系列交换机 800W 48 15.4W
BUFFALO L2 PoE智慧型交换机 30W 24 共享
路由器选择
网络接口数目
路由器的网络接口数目需根据所连接的网段数量来选择。
可以通过添加下行处的L2交换机或使用VLAN中的子网接口来增加网络接口数目。
特殊协议接口
对于非以太网协议（如VoIP等），需要考虑相应的接口数量，如RJ-11、ISDN、ATM、T1/E1等。
防火墙产品选择
内联连接方式
“内联连接是传统防火墙设置方式，通过两个端口连接互联网和内部网。”

防火墙端口配置
连接方式端口数
传统型防火墙 2~4个端口
新一代防火墙 8~24个端口
网络设备互操作性
互操作性定义
“互操作性是指不同厂商的网络设备能够正常通信的能力。”

互操作性考虑因素
功能种类说明范例
厂商独自实现的功能只适用于同一厂商的硬件思科公司的HSRP、EIGRP、PAgP等
基于行业标准实现的功能不同厂商的产品可以协同工作 WiFi联盟的WPA、ICSA认证的IPsec-VPN等
基于标准草案实现的功能可能因厂商不同而不一致 RFC草案、IEEE 802.11n草案等
基于正式标准实现的功能所有厂商支持的硬件可以互联 RFC的VRRP、RIP、OSPF、BGP等
网络设备的可靠性
MTBF与MTTR
**MTBF（平均故障间隔时间）**用于评估设备故障概率，计算公式为：

KaTeX can only parse string typed expression
MTBF=
故障次数
运行时间

**MTTR（平均修复时间）**是指故障修复所需的平均时间。

可用性计算
“系统的可用性与MTBF和MTTR密切相关。”

KaTeX can only parse string typed expression
正常运行概率=
MTBF+MTTR
MTBF

价格考量
端口单价
网络设备的价格可按端口数目计算单价，若设备价格240万日元，端口数24，则单个端口价格为10万日元。
比特单价
根据吞吐率计算比特单价，例如100万日元的交换机，容量为10Gbit/s，则比特单价为：
KaTeX can only parse string typed expression
比特单价=
10×10
9

1000000

=9.3×10
−5
日元

学习成本
“学习成本是指在购买产品后使用期间的各种费用，包括支持费用和许可证费用等。”

绿色IT与节能法案
绿色IT定义
“绿色IT是指在信息技术中关注环境保护和资源有效利用的理念。”

节能法案
日本的节能法案旨在合理使用能源，设定网络硬件的节能标准以降低环境负担。
采购条件与售后支持
绿色采购
绿色采购关注产品的环保特性，要求产品在节能、资源节省和可回收性等方面符合标准。
售后支持
网络硬件的维护通常由销售代理商负责，包含现场维护、退返维护等方式。
在这里插入图片描述