網路設備及架構 Q&A

各類網路工程的書籍對於網路設備的描述都太過文言難懂,老師又常常講不清楚,希望下面的解釋能一次讓大家擺脫迷霧,搞懂交換機器、IP分享器、路由器之間的關係。

(1)集線器和橋接器和交換器差在哪

集線器就是不會記得MAC,收到A就給BCDEFG...,不管是不是A只要跟B通信而已,可見會拖慢網路速度,就好像一群人都在大聲吼很難聽清楚大家在說些甚麼。
橋接器是能夠把左右邊兩個碰撞網域割開的設備,記憶第一個接入的設備MAC,使用軟體辨識MAC來減少信號風暴。
交換器(L2 Switch)是有很多埠的橋接器,區網內AtoB知道以後就不會送到區網內的CDEFG...埠,用硬體執行所以速度較快,就像是大叫某個人的名字然後把他找出去單獨談話,而且可以不只一組人能這樣做,每個人都可以。

(2)路由器和交換器常常搞混?

對,因為現在有的L2交換器多加了一些路由器功能(例如靜態路由等等)。
本來路由器就能像交換器一樣能辨識MAC以切割碰撞網域,更能辨識IP切割廣播網域。
另外有一種叫做L3交換器的東西,是完整的路由器再加上交換器的功能,使用專屬的ASIC晶片解析IP的表頭(路由器是用軟解),還可以幫VLAN建立完整的路由表,透過IP Routing對VLAN建立更有效的管制。L3交換器也叫做交換路由器(Switch router),通常做為組織單位的Core,而L2交換器作為Access層的小分支。

(3)ip分享器是路由器還是交換器?

都是,盒子上之所以會標路由器的原因是某廠商覺得這樣叫比較屌(真正的路由器二十萬到三四百萬都有),然後其他廠商就跟進,他是只有一個對外WAN Port且有PAT功能的路由器+有DHCP的主機+有MAC記憶的交換器。真正一般所謂的路由器都有兩個以上的WAN Port(公共IP-Router-公共IP),而且IP分享器也缺少很多路由器該有的功能(EIGRP OSFP或BGP)。

PAT是把內部出去封包中的主機來源IP和來源Port,改成路由器的公共IP和路由器指定的空閒Port(並建立PAT表)再送出去,這樣對方看到的IP就是路由器的IP。當封包從外網回來時再根據之前的紀錄把對方封包內的目標IP改回原來區網內的主機IP,回來方向的目標(主機)Port不更動,主機不會察覺到封包中的地址曾經被轉換過(所以外部地址要從別的方法才能知道,例如去google"我的IP",網頁上會顯示出您目前的公共IP)。
PAT是能夠將區網來源Port改為路由器自己的某個空閒Port的NAT技術,其他的NAT技術有IP一對一的對應,以及IP多對多的對應(也是一對一,不過區網IP是從IP池裡面去抓而非手動固定設定一對一),有些IP分享器也有其他這兩種NAT對應功能。
目前世界上的IPv4其實已經發完了(各國有囤積,IPv6推動緩慢因為微軟到Windows7才支援),是NAT/PAT讓我們不怕沒IP用。

DHCP是將電腦的MAC和IP池中的某個空閒IP連結。當聽到區網內某個主機對目標為255.255.255.255廣播時,就分配一組包含IP/子網遮罩/預設閘道(主機送封包出去遇到的第一個路由器)的設定給她(來源的主機)並限定租約期限(期滿回收重分配)。
所以有DHCP就可以讓大量電腦不經設定就可以上網。DHCP可以是伺服器或是路由器或是防火牆。

(4)Modem是路由器還是交換器還是什麼東西?     轉載自Chuan’s Studio @ PIXNET

功能一:MOdulation調變+DEModulation解調變,cable modem把有線電視銅電纜中分離出某個頻率的類比(大小/快慢)信號轉換為數位(1和0)信號給乙太網路使用,反向則是轉回去。ADSL Modem不是銅線而是電話線,另外也可用電力線,光纖或微波等介質。
功能二:加解密
功能三:PPPoE(在乙太網路上執行的點對點協定)撥號給某個機房,用帳號密碼驗證你是有付錢的用戶
功能四:有些也有IP分享器的功能
功能五:也可以外加無線網路Wifi基地台的功能
Modem的位置就是在非以太網介質和以太網的交接處的一個轉換設備,轉換出來的數位信號就可以通過網路線接上IP分享器上標註WAN的接口。

- 同場加映DSU/CSU & DTE/DCE-

(5)DSU CSU DTE DCE 和 Modem之間的關係

WAN (電話線) – DCE ( Modem 或 DSU/CSU 或 TA/NT1 都是 ) – DTE ( Router ) – PC

    DCE是資料通訊設備,能將DTE訊號轉換到廣域網路介質的數據機(服務端,*C=母=插座)。
    DTE是資料終端設備,一般都是路由器,連接到個人電腦或伺服器(使用者端,T=公=插頭)。
    一般來說DCE都是電信局安放在我們室內的玩意兒,它的速率通常都是固定的,14400 / 28800 / 2400 等電氣速率,而DTE的速率就是電腦傳送到DCE的速率,因為Modem有壓縮功能,V.42BIS四倍壓縮,Modem是14400,則DTE可設為57600 BPS,依實際效率而定。
    *為記憶法,想像成使用者可以拿插頭去插牆壁上的插座。

    CSU是通道服務單元,功能是負責傳送與接收往返的WAN訊號,測試迴路是否中斷,並可檢測對面的CSU/DSU是否正常運作。
    DSU是資料服務單元 ,負責管理和轉換在RS-232、RS449或V.xx架構間的訊號,可檢測時間錯誤,以及恢復信號。
    CSU/DSU通常塞在同一個設備裡面連結在一起工作。

    TA/NT1是ISDN數位化的電路交換系統,TA是終端機介面卡,NT1是網路終端機。直接看下圖比較容易了解:

    ISDN架構
    轉載自Chuan’s Studio @ PIXNET

(6)防火牆 和 路由器 之間的關係

路由器可以設定Access-list來限制特定的IP和特定的埠號,如eq 23為telnet、eq 80為http。也可以設定靜態路由,甚至NAT/PAT等私有IP的轉換,所以路由器本身的安全性類似防火牆。

硬體式防火牆本身就是Layer3(或更高)的設備,所以擁有路由器的部分功能,但是他能夠以硬體方式(或專門用於處理封包的系統)過濾某些特定的封包,甚至能夠辨別BT、eMule、Foxy以及MSN、Yahoo Messenger等各種應用層的流量,這就是路由器做不到的。即便(沒設定好的)路由器被駭客攻擊的漏洞可能多於防火牆,但由於防火牆在設計的時候特別注重Layer2的交換速度,所以Layer2的轉發效率比較高,所以適合放在路由器的後面,也就是比較靠近電腦的地方。此外,為了要連接WAN廣域網路,上面提到過Modem和Router中間的連線有可能是V.35或光纖,就要依Router和Firewall的連接介面而定,不過一般都還是以WAN-Router-Firewall-Switch-PC這樣的架構為主。

另外,在PC上安裝的軟體防火牆,其運算是透過個人電腦的硬體資源,所以效能上自然大打折扣,但由於更新上較為頻繁,或許能抵擋比較新式的惡意流量,不過要是上層的網路設備被攻擊而癱瘓,還是一樣掛。所以除非是特殊用途的電腦,否則不建議安裝。

轉載自Chuan’s Studio @ PIXNET

(7)線路和設備要怎麼買?

目前的趨勢是汰換現有的10/100Mbps,加速到1Gbps(10/100/1000Mbps)

如果使用50M或100M高速網路,可將家裡所有的網路設備,從電腦裡面的網路卡,交換器,IP分享器(路由器),以及無線網路AP基地台通通換成10/100/1000(Mbit/s)的設備,線路由原本的第五類乙太網路線Cat.5,全部換成Cat.5e或Cat.6的線材(順帶一提RJ-45指的是接頭,都是一樣的)。重點在於線路和設備全部都要能配合才能發揮,請參照下表,網路線數字越大,抗干擾越強,速度越快,當然也越貴。

Cat-6a | Cat-6 | Cat-5e | Cat-5 <<<線路選擇
10GE | 10/100/1000 | 10/100/1000 | 10/100 <<<設備選擇
公司骨幹升級 | 家庭更新最佳選擇 | 錢不夠或房間內使用 | 目前正在使用 <<<誰會買

好的設備配上爛的線,跟爛的設備配上好的線,速度當然也都會有影響。沒錢一次升級的的話,可以把Modem-IP分享器和IP分享器-交換器這兩段線路及主機網路卡這三樣優先升級。

留言

這個網誌中的熱門文章

c語言-關於#define用法

CMD常用網管指令

使用windows CMD 時間自動校正