2025年网络互联设备及网络

大家好，我是讯享网，很高兴认识大家。

在了解LAN，WAN，MAN之前，先了解应用这些中相互通信的设备

0x01 网络互联设备

中继器

（RP repeater）
是工作在物理层上的连接设备，适用于完全相同的两个网络的互连，主要功能是通过对数据信号的重新发送或者转发，来扩大网络传输的距离
中继器是对信号进行再生和还原的网络设备：OSI模型的物理层设备

中继器是局域网环境下用来延长网络距离的，但是它属于网络互联设备，操作在OSI的物理层，中继器对在线路上的信号具有放大再生的功能，用于扩展局域网网段的长度

集线器

集线器是一种具有多端口的中继器
集线器的主要功能是对接收到的信号进行再生整形放大，以扩大网络的传输距离，同时把所有节点集中在以它为中心的节点上

中继器

（RP repeater）
是工作在物理层上的连接设备，适用于完全相同的两个网络的互连，主要功能是通过对数据信号的重新发送或者转发，来扩大网络传输的距离，中继器是对信号进行再生和还原的网络设备：OSI模型的物理层设备

中继器是局域网环境下用来延长网络距离的，但是它属于网络互联设备，操作在OSI的物理层，中继器对在线路上的信号具有放大再生的功能，用于扩展局域网网段的长度（仅用于连接相同的局域网网段）

网桥

网桥（Bridge）是早期的两端口二层网络设备
网桥的两个端口分别有一条独立的交换信道，不是共享一条背板总线，可隔离冲突域，网桥比集线器（Hub）性能更好，集线器上各端口都是共享同一条背板总线的

网桥（Bridge）像一个聪明的中继器，中继器从一个网络电缆里接收信号，放大它们，将其送入下一个电缆。相比较而言，网桥对从关卡上传下来的信息更敏锐一些。网桥是一种对帧进行转发的技术，根据MAC分区块，可隔离碰撞。网桥将网络的同一网段在数据链路层连接起来，只能连接同构网络(同一网段)，不能连接异构网络（不同网段）

网桥也叫桥接器，是连接两个局域网的一种存储/转发设备，它能将一个大的LAN分割为多个网段，或将两个以上的LAN互联为一个逻辑LAN，使LAN上的所有用户都可访问服务器

网桥优点：

使用网桥进行互连克服了物理限制，这意味着构成LAN 的数据站总数和网段数很容易扩充
网桥纳入存储和转发功能可使其适应于连接使用不同MAC 协议的两个LAN，因而构成一个不同LAN 混连在一起的混合网络环境
网桥的中继功能仅仅依赖于MAC 帧的地址，因而对高层协议完全透明
网桥将一个较大的LAN 分成段，有利于改善可靠性、可用性和安全性

网桥缺点：

由于网桥在执行转发前先接收帧并进行缓冲，与中继器相比会引入更多时延
由于网桥不提供流控功能，因此在流量较大时有可能使其过载，从而造成帧的丢失

路由器

路由器（Router）是连接两个或多个网络的硬件设备，在网络间起网关的作用，是读取每一个数据包中的地址然后决定如何传送的专用智能性的网络设备

交换机

交换机（Switch）意为“开关”是一种用于电（光）信号转发的网络设备

它可以为接入交换机的任意两个网络节点提供独享的电信号通路，最常见的交换机是以太网交换机，其他常见的还有电话语音交换机、光纤交换机等

网络交换机，是一个扩大网络的器材，能为子网络中提供更多的连接端口，以便连接更多的计算机。随着通信业的发展以及国民经济信息化的推进，网络交换机市场呈稳步上升态势

特点：性价比高、高度灵活、相对简单和易于实现

从广义上来看，网络交换机分为两种：

广域网交换机：主要应用于电信领域，提供通信用的基础平台
局域网交换机：用于连接终端设备，如PC机及网络打印机等

从传输介质和传输速度上分类：

以太网交换机
以太网的核心部件就是以太网交换机
快速以太网交换机
千兆以太网交换机
FDDI交换机
ATM交换机
令牌环交换机等

从规模应用上分类：

企业级交换机
部门级交换机
工作组交换机等

网关

网关(Gateway)又称网间连接器、协议转换器
网关在网络层以上实现网络互连，是复杂的网络互连设备，仅用于两个高层协议不同的网络互连。网关既可以用于广域网互连，也可以用于局域网互连

网关是一种充当转换重任的计算机系统或设备，使用在不同的通信协议、数据格式或语言，甚至体系结构完全不同的两种系统之间，网关是一个翻译器。与网桥只是简单地传达信息不同，网关对收到的信息要重新打包，以适应目的系统的需求

网关种类：

传输网关
传输网关用于在2个网络间建立传输连接。利用传输网关，不同网络上的主机间可以建立起跨越多个网络的、级联的、点对点的传输连接
信令网关
主要完成7号信令网与IP网之间信令消息的中继，在3G初期，对于完成接入侧到核心网交换之间的消息的转接
中继网关
又叫IP网关，同时满足电信运营商和企业需求的VoIP设备
中继网关（IP网关）由基于中继板和媒体网关板建构，单板最多可以提供128路媒体转换，两个以太网口
机框采用业界领先的CPCI标准，扩容方便具有高稳定性、高可靠性、高密度、容量大等特点
接入网关
是基于IP的语音/传真业务的媒体接入网关，提供高效、高质量的话音服务，为运营商、企业、小区、住宅用户等提供VoIP解决方案

公司内部使用的电话业务网络

Private Branch Exchange（PBX）
用户级交换机，即公司内部使用的电话业务网络，系统内部分机用户分享一定数量的外线

PBX 对于公司的优点：

按照特定的预编程时间表管理和完成呼叫，可以选择“分支”的方向，并在 PBX 网络树中设置自己的规则，运营商可以根据需要限制或允许国际拨号以避免高成本
轻松在用户和部门之间转移呼叫。在不掉线的情况下建立和保持连接，可以通过热转或冷转有效地转移呼叫，无论哪种方式，您都可以可靠地转移呼叫
使用录制的消息自定义问候语，包括为企业选择音乐，此功能是提醒客户有关销售或服务问题的绝佳方式
运营呼叫中心以帮助您管理销售团队或客户支持部门，虽然成本很高，但 PBX 可以根据其物理限制在队列中保留呼入和呼出呼叫，基于云的 PBX 可以处理更多的呼叫并将其分配给所需的人员或团队
使用同一个电话系统连接多个办公地点，以便员工可以相互交谈，您可以使用 PBX 来处理此呼叫路由，而不是管理单独的电话系统

防火墙

防火墙（Firewall）技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术

防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验

防火墙功能

防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口

网络安全的屏障
一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险
强化网络安全策略
通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上
监控审计
当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息
防止内部信息的外泄
通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响
日志记录与事件通知
进出网络的数据都必须经过防火墙，防火墙通过日志对其进行记录，能提供网络使用的详细统计信息

防火墙类型

过滤型防火墙
过滤型防火墙是在网络层与传输层中，可以基于数据源头的地址以及协议类型等标志特征进行分析，确定是否可以通过
应用代理类型防火墙
应用代理防火墙主要的工作范围就是在OSI的最高层，位于应用层之上，其主要的特征是可以完全隔离网络通信流，通过特定的代理程序就可以实现对应用层的监督与控制
复合型
综合了包过滤防火墙技术以及应用代理防火墙技术的优点，譬如发过来的安全策略是包过滤策略，那么可以针对报文的报头部分进行访问控制

防火墙关键技术

包过滤技术
防火墙的包过滤技术一般只应用于OSI7层的模型网络层的数据中，其能够完成对防火墙的状态检测，从而预先可以把逻辑策略进行确定
加密技术
计算机信息传输的过程中，借助防火墙还能够有效的实现信息的加密，通过这种加密技术，相关人员就能够对传输的信息进行有效的加密，其中信息密码是信息交流的双方进行掌握，对信息进行接受的人员需要对加密的信息实施解密处理后，才能获取所传输的信息数据
防病毒技术
防火墙具有着防病毒的功能，在防病毒技术的应用中，其主要包括病毒的预防、清除和检测等方面
防火墙的防病毒预防功能来说，在网络的建设过程中，通过安装相应的防火墙来对计算机和互联网间的信息数据进行严格的控制，从而形成一种安全的屏障来对计算机外网以及内网数据实施保护
代理服务器
代理服务器是防火墙技术引用比较广泛的功能，根据其计算机的网络运行方法可以通过防火墙技术设置相应的代理服务器，从而借助代理服务器来进行信息的交互

蜜罐

先看一下百科对蜜罐的定义

“蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。”

那么我们自己来分析一下什么是蜜罐呢？
蜜罐🍯的英文：honeypot，应用广泛，可应用在恶意样本捕获、攻击手法分析、网络取证、入侵检测等方面

通常位于屏蔽子网或者是DMZ中，引诱攻击者主动攻击

这里的屏蔽子网（Screened-Subnet）指的是在被隔离的主机架构的基础上添加的用于提高安全性的部分，也是在内部网络和外部网络之间建立一个被隔离的子网

在子网内构成一个DMZ（demilitarized zone）区，也称为隔离区，在这个区域内可放置一些公开的服务器设施，如企业Web服务器、FTP服务器和论坛等

在只有被屏蔽主机的环境中，攻击者突破防火墙就会出现很大的安全问题，在屏蔽子网中，攻击者需要攻破另一个路由器或防火墙才能获得进一步的访问权限

统一威胁管理

统一威胁管理（UTM，Unified Threat Management）是指一个功能全面的安全产品，它能防范多种威胁

UTM功能

丢失防护
数据丢失防护（DLP）技术主要用于检测和阻止攻击者试图将敏感数据从企业内部渗出到外部位置的行为
DLP可以保护的敏感数据包括社会安全号码、信用卡号码、医疗记录和知识产品
虽然很多人认为DLP是基于文本的技术，专注于电子邮件和文字处理文档，但事实上，它也能够分析音频、视频和其他非文本形式的文件
云中沙盒
某些供应商的统一威胁管理产品可以配合基于云的沙盒服务
如果企业的统一威胁管理设备看到一个试图通过它的可执行文件，并且觉得该文件非常可疑，那么统一威胁管理可以暂停该可执行文件的传输，并转发副本到基于云的沙盒以进行进一步评估
带宽管理
一些统一威胁管理产品还提供的另一个功能是服务质量（QoS）执行
这允许通过统一威胁管理的部分或全部的网络服务管理自己的带宽，这样就没有服务会使用太多统一威胁管理的带宽

0x02 内联网 & 外联网

内联网

内联网（Intranet）又称企业内连网，是用因特网技术建立的可支持企事业内部业务处理和信息交流的综合网络信息系统，通常采用一定的安全措施与企业外部的因特网用户相隔离，对内部用户在信息使用的权限上也有严格的规定

内联网功能

企业内部资源的**配置
经济全球化、市场一体化是21世纪社会发展的一大趋势，它把传统的社会化大分工大协作的理论推向了现实极致：企业强强联合，跨国企业、连锁企业大量涌现，企业的组织机构呈倒树状发展，越来越庞大
提供最新教材
培训部门最棘手的问题是需要不断更换教材，使培训内容能及时适应产品、销售与市场的变化，内部网上的内部互联网服务器妥善地解决了这个问题，它可为员工提供包括声音与影视信息的最新教材，而且职工可根据本人条件掌握培训进度
及时提供营销资料
市场部门必须为销售部门提供各种资料，包括产品演示节目、定价单、目录、产品说明、销售指南、竞争对手、订单格式等等
内部通信
内部网中的电子邮件为单位内部的通信提供了一种极其方便的手段。目前互联网上的电子邮件虽然用得很普遍，但使用起来仍然不很方便
软件发布
单位内的管理部门可用内部网向内部网络的用户发布软件，并按需要及时改进。尤其是像Java这类新技术的应用不断扩大，这种分布方式更能带来极大效益

外联网

外联网是不同单位间为了频繁交换业务信息，而基于互联网或其他公网设施构建的单位间专用网络通道
外联网，不仅要求能够实现外联单位间迅捷、安全的数据传输，而且需要能够对通过外联VPN通道的相互访问进行严格的访问控制

构建外联网，不仅要求能够实现外联单位间迅捷、安全的数据传输，而且需要能够对通过外联VPN通道的相互访问进行严格的访问控制

0x03 城域网

(Metropolitan Area Network)
是在一个城市范围内所建立的计算机通信网，简称MAN，属宽带局域网

由于采用具有有源交换元件的局域网技术，网中传输时延较小，它的传输媒介主要采用光缆，传输速率在100兆比特/秒以上

城域网络分为3个层次

核心层主要提供高带宽的业务承载和传输，完成和已有网络(如ATM、FR、DDN、IP网络)的互联互通，其特征为宽带传输和高速调度
汇聚层的主要功能是给业务接入节点提供用户业务数据的汇聚和分发处理，同时要实现业务的服务等级分类
接入层利用多种接入技术，进行带宽和业务分配，实现用户的接入，接入节点设备完成多业务的复用和传输

城域网用途

高速上网、视频点播、网络电视、远程医疗、远程教育等

0x04 广域网

（Wide Area Network，WAN），又称外网、公网
是连接不同地区局域网或城域网计算机通信的远程网，通常跨接很大的物理范围，所覆盖的范围从几十公里到几千公里，它能连接多个地区、城市和国家，或横跨几个洲并能提供远距离通信，形成国际性的远程网络，广域网并不等同于互联网

广域网的发送介质主要是利用电话线或光纤，由ISP业者将企业间做连线，这些线是ISP业者预先埋在马路下的线路，因为工程浩大，维修不易，而且带宽是可以被保证的，所以在成本上就会比较为昂贵

数据交换

（Data Switching）
是指在多个数据终端设备（DTE）之间，为任意两个终端设备建立数据通信临时互连通路的过程，数据交换可以分为：电路交换、报文交换、分组交换和混合交换
电路交换原理与电话交换原理基本相同，电路交换的缺点是电路的利用率低，双方在通信过程中的空闲时间，电路不能得到充分利用

电路交换

（circuit switching）
是通信网中最早出现的一种交换方式，也是应用最普遍的一种交换方式，主要应用于电话通信网中，完成电话交换

电话通信的过程是：首先摘机，听到拨号音后拨号，交换机找寻被叫，向被叫振铃同时向主叫送回铃音，此时表明在电话网的主被叫之间已经建立起双向的话音传送通路；

当被叫摘机应答，即可进入通话阶段；在通话过程中，任何一方挂机，交换机会拆除已建立的通话通路，并向另一方送忙音提示挂机，从而结束通话

特点

信息传送的最小单位是时隙
面向连接
同步时分复用
信息传送无差错控制
基于呼叫损失的流量控制
信息具有透明性

报文交换

发信端用户首先把要发送的数据编成电文，连同收信地址等辅助数据一起发往本地交换中心，在那里把它们完整地存储起来并作适当处理，当本地交换中心的输出口有空时，就将电文转发到下一个交换中心，最后由收信端的交换中心将电文传递到用户

异步传输模式

（Asynchronous Transfer Mode）
是一种信元交换和多路复用技术，ATM采用信元（Cell）作为传输单位，信元具有固定长度，总共53字节，前5字节是信头（Header），其余48字节是数据段
信头中有信元去向的逻辑地址、优先级、信头差错控制、流量控制等信息。数据段中装入被分解成数据块的各种不同业务的用户信息或其他管理信息，并透明地穿过网络

在数据传输中，来自不同业务和不同源端发送的信息统一以固定字节的信元汇集在一起，在ATM交换机的缓冲区排队，然后传送到线路上，由信息头中的地址来确定信元的去向。使用这种方法可使任何业务按实际需要占用资源，保证网络资源得到合理利用，ATM技术被广泛应用于银行等金融机构中

服务质量

（Quality of Service）
指一个网络能够利用各种基础技术，为指定的网络通信提供更好的服务能力，是网络的一种安全机制，是用来解决网络延迟和阻塞等问题的一种技术

QoS的保证对于容量有限的网络来说是十分重要的，特别是对于流多媒体应用，例如VoIP和IPTV等，因为这些应用常常需要固定的传输率，对延时也比较敏感

会话初始协议

（Session initialization Protocol）
是由IETF（Internet Engineering Task Force，因特网工程任务组）制定的多媒体通信协议

它是一个基于文本的应用层控制协议，用于创建、修改和释放一个或多个参与者的会话，SIP 是一种源于互联网的IP 语音会话控制协议，具有灵活、易于实现、便于扩展等特点

SIP与负责语音质量的资源预留协议（RSVP）互操作。它还与若干个其他协议进行协作，包括负责定位的轻型目录访问协议(LDAP)、负责身份验证的远程身份验证拨入用户服务 (RADIUS) 以及负责实时传输的 RTP 等多个协议

0x05 远程连接

远程连接就是在远程连接另外一台计算机。当某台计算机开启了远程桌面连接功能后我们就可以在网络的另一端控制这台计算机了，通过远程桌面功能我们可以实时的操作这台计算机，在上面安装软件，运行程序，所有的一切都像是直接在该计算机上操作一样

拨号连接

拨号连接是指使用电话网络的设备到网络的连接方式
这包括使用标准电话线的调制解调器、使用高速 ISDN 线路的 ISDN 卡，或 X.25 网络

一个典型的用户可能有一或两个拨号连接，例如，与 Internet 的连接或与公司网络的连接。在较复杂的服务器情况下，多个网络调制解调器连接可能被用于实现高级路由

综合业务数字网

（Integrated Services Digital Network，ISDN）
是一个数字电话网络国际标准，是一种典型的电路交换网络系统
在ITU的建议中，ISDN是一种在数字电话网IDN的基础上发展起来的通信网络，ISDN能够支持多种业务，包括电话业务和非电话业务

在ITU的建议中，ISDN是一种在数字电话网IDN（该网能够提供端到端的的数字连接）的基础上发展起来的通信网络，ISDN能够支持多种业务（包括电话业务以及非电话业务）

数字用户线路

（Digital Subscriber Line）
意为数字用户线路，是指以电话线为传输介质的传输技术组合，DSL包括ADSL(Asymmetric Digital Subscriber Line，非对称数字用户线)、RADSL、HDSL和VDSL等等

虚拟专用网络

虚拟专用网络(VPN)的功能是：在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问

VPN可通过服务器、硬件、软件等多种方式实现

在传统的企业网络配置中，要进行远程访问，传统的方法是租用DDN（数字数据网）专线或帧中继，这样的通讯方案必然导致高昂的网络通讯和维护费用。对于移动用户（移动办公人员）与远端个人用户而言，一般会通过拨号线路（Internet）进入企业的局域网，但这样必然带来安全上的隐患

IPsec

IPsec组成

认证头（AH），为IP数据报提供无连接数据完整性、消息认证以及防重放攻击保护；
封装安全载荷（ESP），提供机密性、数据源认证、无连接完整性、防重放和有限的传输流（traffic-flow）机密性
安全关联（SA），提供算法和数据包，提供AH、ESP操作所需的参数
密钥协议（IKE），提供对称密码的钥匙的生存和交换

安全传输层协议

（TLS）
用于在两个通信应用程序之间提供保密性和数据完整性
该协议由两层组成： TLS 记录协议（TLS Record）和 TLS 握手协议（TLS Handshake）

传输层安全性协议（英语：Transport Layer Security，缩写作TLS），及其前身安全套接层（Secure Sockets Layer，缩写作SSL）是一种安全协议，目的是为互联网通信提供安全及数据完整性保障

TLS协议采用主从式架构模型，用于在两个应用程序间透过网络创建起安全的连接，防止在交换数据时受到窃听及篡改

密码认证协议

PAP 并不是一种强有效的认证方法，其密码以文本格式在电路上进行发送，对于窃听、重放或重复尝试和错误攻击没有任何保护
密码认证协议（PAP），是 PPP 协议集中的一种链路控制协议，主要是通过使用 2 次握手提供一种对等结点的建立认证的简单方法，这是建立在初始链路确定的基础上的

完成链路建立阶段之后，对等结点持续重复发送 ID/ 密码给验证者，直至认证得到响应或连接终止