红帽全球峰会第 2 章 Network In-Depth
2.1. 基本网络的工作方式
网络包括将信息从一个计算机移动到另一台计算机。在最基本的级别,这通过在两台机器之间运行一个电缆来执行,每个计算机都安装了网络接口卡(NIC)。如果您研究了 OSI 网络模型,则这是第 1 层。
当您想参与对话中的两台计算机时,您需要通过添加名为 switch 的设备来扩展此配置。交换机是具有多个以太网端口的专用设备,您连接了额外的机器。此配置称为局域网(LAN)。
交换机将 OSI 模型移到第 2 层,并且应用比较低层 1 的更智能。每个 NIC 都有分配给硬件的唯一 MAC 地址,这个数字允许插入同一交换机的机器相互找到。
交换机维护将哪些 MAC 地址插入到哪些端口的列表,以便在一台计算机试图将数据发送到另一台计算机时,交换机会知道每个 NIC 所在的位置,并调整电路将网络流量定向到正确的目的地。
2.1.1. 连接多个 LAN
如果您在两个独立交换机中使用两个 LAN,您可以使用以下方法将它们相互共享信息:
- 中继电缆
- 您可以直接连接到物理电缆,称为中继电缆。在此配置中,您可以将中继电缆的每一个端插入每个交换机上的端口,然后将这些端口定义为中继端口。现在,两个交换机充当一个大的逻辑交换机,连接的计算机可以相互成功找到。这个选项不可扩展,开销会造成您直接链接的更多交换机。
- 路由器
您可以使用名为 router 的设备从每个交换机插入电缆。因此,路由器知道在两个交换机上配置的网络。插入路由器的每个交换机都会成为接口,并分配一个 IP 地址,称为该网络的默认网关。默认网关中的"默认"意味着,如果目标计算机不与数据传输来源位于同一个 LAN 上,则会发送流量。
在每台计算机上设置此默认网关后,他们不需要了解其他网络上的所有其他计算机,才能向它们发送流量。流量仅发送到默认网关,路由器从那里处理它。由于路由器知道哪些网络驻留在哪个接口上,因此它可以将数据包发送到其预期的目的地。路由在 OSI 模型的第 3 层工作,并利用熟悉的概念,如 IP 地址和子网。
这种概念就是互联网本身的运行方式。许多由不同机构运行的独立的网络都使用交换机和路由器进行互连。遵循正确的默认网关,您的流量最终将到达需要前往的位置。
2.1.2. vlan
虚拟局域网(VLAN)允许您为在同一交换机上运行的计算机分段网络流量。您可以通过将端口配置为不同网络的成员来对交换机进行逻辑划分。此配置会将端口转换为 mini-LANs,允许您为安全目的分隔流量。
例如,如果您的交换机有 24 个端口,您可以定义端口 1-6 属于 VLAN200,端口 7-18 属于 VLAN201。插入 VLAN200 的计算机与 VLAN201 上的计算机完全独立,且无法直接通信。两个 VLAN 之间的所有流量现在都必须通过路由器,就像它们是两个独立的物理交换机一样。您还可以增强防火墙的安全性,以确定哪些 VLAN 可以相互通信。
2.1.3. 防火墙
防火墙与 IP 路由位于同一个 OSI 层。它们通常位于与路由器相同的网络段中,它们管理所有网络之间的流量。防火墙使用预定义的规则集,它们规定哪些流量可以或无法进入网络。这些规则可能非常精细的。例如,您可以定义一个规则,其中 VLAN 200 上的服务器只能与 VLAN201 上的计算机通信,并且仅当流量是 Web (HTTP)并移动一个方向时。
为了帮助强制实施这些规则,一些防火墙也会执行有状态数据包调用(SPI),在其中检查数据包的内容以确保它们声明是什么。黑客通过发送伪装作为其他内容的流量来消除数据,SPI 是一种有助于缓解威胁的方法。
2.1.4. 网桥
网桥是运行在 OSI 模型的同一级别 2 的交换机,但它们的唯一功能是将独立的网络连接在一起,类似于路由器。
