令牌网

实训3交换式以太网

在计算机网络新应用技术发展过程中，局域网技术一直是最为活跃的领域

之一。局域网技术已经在企业、机关、学校乃至家庭中得到了广泛的应用。本次

实训利用多台计算机和交换机构建一个小型的交换式以太网。

【实训内容】

◎局域网的特点（拓扑结构、工作模式、连接介质、介质访问控制方法）

◎常用联网设备（交换机、路由器）

◎以太网的特点以及新技术

.1准备知识

.1.1局域网

局域网（LAN，LocalAreaNetworks）是指在较小的地理范围内，将有限的

通信设备互联起来的计算机通信网络。从功能的角度来看，局域网具有以下几个

特点：

1．

传输速率高

局域网内计算机间数据传输速度非常快，根据传输介质和网络设备的不同，

线路所提供的带宽最小也能达到10Mbps，稍快一些可达到100Mbps、

1000Mbps，甚至是10Gbps，所以能支持计算机止咳润肺食疗法 之间的高速通信，时延较低。无

论是普通的办公自动化、多媒体教学还是视频点播，都能非常轻松地实现。

2．

区域范围小

不同地传输介质所能够提供的传输距离是不同的。一般，双绞线为100米，

多模光纤为200～500米、单模光纤则可以达到10千米～100千米。虽然借助

于单模光纤和相应的网络设备，可以将局域网的传输访问扩大至数十千米，局域

网往往不会拥有如此巨大的规模。通常情况下，只需要使用多模光纤将各建筑物

连接起来。除非由于合并（如高等院校间的合并）或吞并（如企业间的购并）等

特殊原因，将原来相隔较远的两个或两个以上地域内的计算机连接起来而形成的

网络，才会用到单模光纤。

3．

误码率低

相对于广域网和城域网由于局域网的传输距离较短、经过的网络连接设备

少，且受到外界干扰的程度也小，所以数据在传输过程中的误码率也相对较低。

误码率通常可控制在10

-8

。

4．

易于维护和管理

局域网通常由一个单位或组织建设和拥有，易于维护和管理

5．

局域网的拓扑结构

网络中的计算机等设备要实现互联，就需要以一定的结构方式进行连接，

这种连接方式就叫做"拓扑结构"。常见的网络拓扑结构主要有以下四大类：星型

结构、环型结构、总线型结构、复合型结构。

1)星型结构

星型拓扑结构（StarTpology）是目前在局域网中应用得最为普遍的一种，

在企业网络中几乎都是采用这一方式。星型网络几乎是Ethernet（以太网）网络

专用，它是因网络中的各工作站节点设备通过一个网络集中设备（如集线器或者

交换机）连接在一起，各节点呈星状分布而得名。这类网络目前用的最多的传输

介质是双绞线，如常见的五类线、超五类双绞线等。它的基本连接图示如图3-1

所示。

图3-1星型拓扑结构

星形拓扑结构网络的优点：网络节点扩展、移动方便；维护容易：一个节

点出现故障不会影响其它节点的连接，可任意拆走故障节点；

星形拓扑结构网络的缺点：费用高，因为每台计算机都需要独立电缆连接

的集线设备，所以使用的电缆往往都很多，布线难；一旦集线设备出现故障，整

个网络立即陷入瘫痪。

2)环型结构

这种结构的网络形式主要应用于令牌网中，在这种网络结构中各设备是直

接通过电缆来串接的，最后形成一个闭环，整个网络发送的信息就是在这个环中

传递，通常把这类网络称之为"令牌环网"。这种拓扑结构网络示意图如图3-2所

示。

图3-2环形拓扑结构

环形拓扑结构的优点：实现简单，投资最小；当网络设备众多时，由于不

会引起冲突，所以传输速度比较快。（在令牌网中允许有16Mbps的传输速度，

它比普通的10Mbps以太网要快许多。当然随着以太网的广泛应用和以太网技术

的发展，以太网的速度也得到了极大提高，目前普遍都能提供100Mbps的网速，

远比16Mbps要高。）

环形拓扑结构的缺点：维护困难，任何一个节点出了故障都会造成整个网

络的中断、瘫痪，维护起来非常不便。扩展性能差，如果要新添加或移动节点，

就必须中断整个网络，在环的两端作好连接器才能连接。

3)总线型结构

总线网络拓扑结构中所有设备都直接与总线相连，它所采用的介质一般也

是同轴电缆（包括粗缆和细缆），不过现在也有采用光缆作为总线型传输介质的，

如后面我们将要讲的ATM网、CableModem所采用的网络等都属于总线型网络

结构。它的结构示意图如图2-3所示。

图3-3总线网络拓扑结构

总线型拓扑结构网络的优点：组网费用低，这种结构根本不需要另外的互

联设备，是直接通过一条总线进行连接，所以组网费用较低；网络用户扩展较灵

活，需要扩展用户时只需要添加一个接线器即可；维护较容易，单个节点失效不

影响整个网络的正常通信。

总线型拓扑结构网络的缺点：如果总线一断，则整个网络或者相应主干网

段就瘫痪；这种网络因为各节点是共用总线带宽的，所以在传输速度上会随着接

入网络的用户的增多而下降。

4)混合型拓扑结构

混合型网络拓扑结构主要用于较大型的局域网中，是由前面所讲的各种网

络结合在一起的网络结构，如图3-4所示。

图3-4混合型网络拓扑结构

.1.2以太网

1．

什么是以太网

广域网、城域网、局域网是网络的覆盖范围来划分的。而以太网是当今现

有局域网采用的最通用的通信协议标准，组建于七十年代。

早期Ethernet(以太网）定义的标准有三个方面：

●传输速率为10Mbps的常用局域网（LAN）标准。

●在以太网中，所有计算机被连接一条同轴电缆上

●采用具有冲突检测的载波感应多处访问（CSMA/CD）方法，采用竞争机

制和总线拓朴结构。

但是如今以太网更多的被用来指各种采用CSMA/CD技术的局域网。以太

网的帧格式与IP是一致的，特别适合于传输IP数据。以太网由于具有简单方

便、价格低、速度高等。

基本上，以太网由共享传输媒体，如双绞线电缆或同轴电缆和多端口集线

器、网桥或交换机构成。在星型或总线型配置结构中，集线器/交换机/网桥通过

电缆使得计算机、打印机和工作站彼此之间相互连接。

【知识点】什么叫CSMA/CD方法？

以太网采用CSMA/CD（载波监听多路访问/冲突检测方法，CarrierSen

MultipleAccess/CollisionDerect），实现对总线的访问控制。在以太网中，任何

节点都没有可预约的发送时间，它们怎么样快速学英语 的发送都是随机的。同时，网络中不存在集

中控制节点，所有节点都必须平等地争用发送时间。以太网中节点都可以看到在

网络中发送的所有信息，因此，我们说以太网是一种广播网络。

以太网的工作过程如下：

当以太网中的一台主机要传输数据时，它将按如下步骤进行：

第一步：帧听信道上收否有信号在传输。如果有的话，表明信道处于忙状态，

就继续帧听，直到信道空闲为止。

第二步：若没有帧听到任何信号，就传输数据

第三步：传输的时候继续帧听，如发现冲突则执行退避算法，随机等待一段

时间后，重新执行步骤1（当冲突发生时，涉及冲突的计算机会发送一个拥塞

序列，以警告所有的节点）

第四步：若未发现冲突则发送成功，计算机会返回到帧听信道状态。

简单的概括为16个字：先听后发，边听边发，冲突停止，延迟重发，如图

3-5所示。

【注意】每台计算机一次只允许发送一个包，所有计算机在试图再一次发

送数据之前，必须在最近一次发送后等待9.6微秒（以10Mbps运行）。

。

图3-5CSMA/CD的发送流程

1)以太网接收

在接受过程中，以太网中各节点需要监测信道的状态。如果发现信号畸变，

说明信道中有两个或多个节点同书法欣赏 时发送数据，冲突发生，这时必须停止接收，并

将接受到的数据废弃；如果在整个接收过程中没有发生冲突，接收点在收到一个

完整的数据后即可以对数据进行接收处理，如图3-6所示：

。

图3-6CSMA/CD的发送流程

2)MAC地址

在以太网中，每个节点都是通过“广播”进行的，也就是说，如果发送成

功，以太网上的所有节点都能正确收到该信息。当然，在大多数情况下，以太网

中的一个节点总是希望与另外一个节点（而不是所有节点）通信。这样，节点通

过网络接收到正确的数据后，需要判断是不是发给自己的，如果是就继续处理该

信息。如果不是，则废弃该信息。那么局域网上的计算机利用MAC地址表示自

己身份。

由于CSMA/CD采用竞争机制，在高负载时，冲突的几率的增大会对网络性

能产生一定影响。但是，由于其方法简单，容易实现。因此被广泛用于各个领域，

在局域网上占有绝对主导的地位。

2．

共享式以太网和交换式以太网

我们需要完成的试验是组建一个交换式以太网。那么共享式以太网和交换

式以太网这两者有什么区别呢？

1)共享式以太网

共享式以太网的典型代表是使用10Ba2/10Ba5的总线型网络和以集线

器为核心的星型网络。集线器的英文名称是HUB，工作在物理层上。其主要功

能是对接收到的信号进行再生整形放大，以扩大网络的传输距离。在今天，稍大

一点的网络已经不再使用集线器。主要的原因是：

●集线器金波的诗 上连接的所有主机共享同一带宽，同一时间只能有一台主机发送

数据；

●A主机给B主机传输数据时，所有节点都会接收到同一信息，绝大部分

数据流量是无效的，容易出现一些不安全因素。

●集线器不能提供网络管理的功能。

在使用集线器的以太网中，集线器将很多以太网设备集中到一台中心设备

上，这些设备都连接到集线器中的同一物理总线结构中。从本质上讲，以集线器

为核心的以太网同原先的总线型以太网无根本区别。

以集线器为核心的共享式以太网，并不处理或检查其上的通信量，仅通过

将一个端口接收的信号重复分发给其他端口来扩展物理介质。所有连接到集线器

的设备共享同一介质，其结果是它们也共享同一冲突域、广播和带宽。因此集线

器和它所连接的设备组成了一个单一的冲突域。如果一个节点发出一个广播信

息，集线器会将这个广播传播给所有同它相连的节点，因此它也是一个单一的

广播域。它的弊端在于：由于所有的节点都接在同一冲突域中，不管一个帧从哪

里来或到哪里去，所有的节点都能接受到这个帧。随着节点的增加，大量的冲突

将导致网络性能急剧下降。而且集线器同时只能传输一个数据帧，这意味着集线

器所有端口都要共享同一带宽。

2)交换式以太网

在交换式以太网与共享式以太网最大区别是用交换机代替了集线器。

交换机的英文名称之为“Switch”，它是集线器的升级换代产品，工作在数据

链路层上。早期，交换机由于比较昂贵，适用范围并不广泛在。随着网络传输媒

体类型的日益丰富，图形、图像及各种流媒体等多媒体内容的出现，人们对网络

数据传输速度和传输性能的要求日益提高。集宝宝大便出血 线器由于它的共享介质传输、单工

数据操作和广播数据发送方式等都先天决定了很难满足用户的上述速度和性能

要求。在用户的需求下和网络设备开发商的努力下－－交换机（Switch）出现了，

如图3-7。交换机的性能价格比与集线器由很多的优势：主要体现在以下几个方

面：

交换机每个端口都有独立、固定的带宽；

交换机采用内部交换矩阵，使得多个数据通信能够并发进行；

交换机能够根据目的地址将数据发往指定的端口，降低了冲突几率同时提

升了网络安全性；

交换机能够进行软件设置，从而实现较为复杂的网络管理功能。

图3-7交换机

交换机根据收到的数据帧中的MAC地址决定数据帧应发向交换机的哪个端

口。因为端口间的帧传输彼此屏蔽，因此节点就不担心自己发送的帧在通过交

换机时是否会与其他节点发送的帧产生冲突。

为什么要用交换式网络替代共享式网络：

减少冲突：交换机将冲突隔绝在每一个端口（每个端口都是一个冲突域），

避免了冲突的扩散。

提升带宽：接入交换机的每个节点都可以使用全部的带宽，而不是各个节

点共享带宽。

.2动手实践：

.2.1组建交换式以太网

如果想利用宽带如ADSL，在家庭中或者是宿舍中组建一个小型的局域网，

那么下面就详细的介绍一下该如何组建。

1．

试验目的

掌握网络设备使用。掌握TCP/IP协议属性设置

2．

试验环境

装配windows2003（XP亦可）操作系统的联网PC机若干台、制作双绞线

设备（水晶头、夹线钳、测线仪）交换机。

3．

试验步骤

1)制作UTP电缆

在制作网线前，大家必须准备相应的工具和材料。首要的工具是RJ-45工具钳，该工具上有三处不同的功能，最前端是剥线口，它用来剥开双绞线外壳。

中间是压制RJ-45头工具槽，这里可将RJ-45头与双绞线合成。离手柄最近端是

锋利的切线刀，此处可以用来切断双绞线，如图3-7所示，图中除了剥线钳之外，

还有电缆测线仪，当做好双绞线之后将两头都插入进去槽中，灯按顺序闪亮，表

示双绞线工作正常。

接下来需要的材料是RJ-45头和双绞线，如图3-8所示。由于RJ-45头像

水晶一样晶莹透明，所以也被俗称为水晶头，每条双绞线两头通过安装RJ-45水

晶头来与网卡和集线器(或交换机)相连。而双绞线是指封装在绝缘外套里的由两

根绝缘导线相互扭绕而成的四对线缆，它们相互扭绕是为了降低传输信号之间的

干扰。

图3-8RJ-45头

俗话说：“工欲善其事，必先利其器”。下面向大家介绍如何使用工具制作

一条双绞线。像上面我们看到的RJ-45工具钳，有时会出现制作出不合格的网线，

这是因为工具钳的齿口没有对准水晶头上的金属片，从而导致金属片不能与网线

正确接触，因此就出现网线连不通等现象。所以在选择RJ-45工具钳时，一定要

注意工具钳压下来后它上面的每个齿口都能与水晶头上的金属片一一对应好，这

样才能保证制作出合格的网线

第一步：网线的标准

双绞线和水晶头，在大多数局域网中使用的都是五类的非屏蔽双绞线。它

的最高传输速率可达100Mbps，符合IEEE802.3u100Ba－TX标准。可以根

据室内电脑的分布情况选择适合的长度，双绞线的价格便宜，一般都是1元钱一

米，水晶头不到1块钱一个。如果有条件建议大家使用大厂商的双绞线，这样使

用寿命还是有保证的。

100BASE-TX规定，以太网上的各站点分别将1、2（橙白、橙）线作为自

己的发送线，3、6（绿白、绿）了线作为自己的接收线，其余4根线，没有被

使用。在实际应用中，根据双绞线两端的排列选择，分为直通(UTP)电缆和交叉

(UTP)电缆两大类。

直通(UTP)电缆，如图3-9。

图3-9直通电缆

直通(UTP)电缆中水晶头触点与UTP线对应关系如图，将计算机连入集线

器需要使用直通(UTP)电缆，在星型拓扑结构的以太网中，这是最常用的双绞线。

交叉(UTP)电缆，如图3-10

图3-10交叉电缆

如果两台计算机之间不借助任何连接设备，如图3-11，直接通过网卡直接

相连，需要使用交叉UTP，将一清洁地毯 端的发送端（1橙白、2橙）线接另一端的接收

端（绿白3、、绿6）。

图3-11

第二步网线的制作技巧

(1)剪断:利用压线钳的剪线刀口剪取适当长充的网线。

(2)剥皮:用压线钳的剪线刀口将线头剪齐,再将线头放入剥线刀口,让线头

角及挡板,稍微握紧压线钳慢慢旋转,让刀口划开双绞线的保护胶皮,拔下胶皮。

(注意:剥与大拇指一样长就行了)

【小提示】网线钳挡位离剥线刀口长度通常恰好为水晶头长度，这样可以

有效避免剥线过长或过短。剥线过长一则不美观，另一方面因网线不能被水晶头

卡住，容易松动；剥线过短，因有包皮存在，太厚，不能完全插到水晶头底部，

造成水晶头插针不能与网线芯线完好接触，当然也不能制作成功了。

(3)排序:剥除外包皮后即可见到双绞线网线的4对8条芯线，每对线都是

相互缠绕在一起的,制作网线时必须将4个线对的8条细导线一一拆开,理顺,捋直,

然后按照规定的线序排列整齐，如图3-11所示。

【注意】图3-12演示的数字从左到右的顺序，是以水晶头插入网卡的方向

排列的，即头部向里，尾部向外。

图3-12

4)剪齐：把线尽量抻直（不要缠绕）、压平（不要重叠）、挤紧理顺（朝一

个方向紧靠），然后用压线钳把线头剪平齐。这样，在双绞线插入水晶头后，每

条线都能良好接触水晶头中的插针，避免接触不良。如果以前剥的皮过长，可以

在这里将过长的细线剪短，保留的去掉外层绝缘皮的部分约为14mm，这个长度

正好能将各细导线插入到各自的线槽。如果该段留得过长，一来会由于线对不再

互绞而增加串扰，二来会由于水晶头不能压住护套而可能导致电缆从水晶头中脱

出，造成线路的接触不良甚至中断。

(5)插入：一和以拇指和中指捏住水晶头，使有塑料弹片的一侧向下，针脚

一方朝向远离自己的方向，并用食指抵住；另一手捏住双绞线外面的胶皮，缓缓

用力将8条导线同时沿RJ-45头内的8个线槽插入，一直插到线槽的顶端。

(6)压制：确认所有导线都到位，并透地水晶头检查一遍线序无误后，就可

以用压线钳制RJ-45头了。将RJ-45头从无牙的一侧推入压线钳夹槽后,用力握

紧线钳(如果您的力气不够大,可以使用双手一起压),将突出在外面的针脚全部压

入水晶并头内。

（7）测试：在把水晶头的两端都做好后即可用网线测试仪进行测试，如果

测试仪上8个指示灯都依次为绿色闪过，证明网线制作成功。如果做的是交叉电

缆那测试仪的一段的闪亮顺序应该是3、6、1、4、5、2、7、8。如果出现任何

一个灯为红灯或黄灯，都证明存在断路或者接触不良现象，此时最好先对两端水

晶头再用网线钳压一次。

2)利用交换机组装简单的以太网

方法一：直通UTP电缆的单集线器/交换机网络，如图3-13。

图3-13

方法二：使用直通UTP电缆的多集线器网络，如图3-14。

图3-14

方法三：使用交叉UTP电缆的多集线器网络，如图3-15。

图3-15

【知识点】上面列出了基本的组网设备。其实有了上述产品再加上一个基

本的交换机就可以自己组建了一个局域网。不过这个局域网是独立的。当然组建

这种局域网是没有意义的。而且组建局域网的目的就大家共享接入宽带。现在一

般都是采用宽带路由器或者交换机作为连接设备来组建局域网的。关于使用宽带

路由器还是交换机接入宽带可以根据对网络不同的需求和自己的实际情况进行

选择。下面简单介绍宽带接入的网络拓扑图，按照下面的网络图连接好上述的网

络设备即可完成了硬件设备的连接，如图3-16。

图3-16宽带路由器

3)设置IP地址并测试连通性

连接好硬件以后，将终端机的IP地址设置在同一网段内。可以通过观察交

换机和网卡状态指示灯的变化或者用ping命令测试网络的连通性。下图3-17表

示网线制作是成功的。

.2.2经典局域网实例

经典案例：学习了这么多的网络设备，那么我们在办公室、学校或者家庭

接上网线，享受在Internet网上冲浪的乐趣同时，我们不禁要问为什么我可以用

网络同全世界的人沟通，可以浏览全世界共享资源？换言之，我们身边的这些网

络设备是如何为我们服务的。本节就是带领大家，介绍如何将一个精彩的网页展

现在我们面前的过程。

某学院的网络设计方案来分析，如图3-17

图3-17网络拓扑图

1．

项目背景

当今的世界向信息化社会转变，计算机、网络和多媒体等信息技术的飞速

发展，信息的传递越来越快捷，信息的处理能力越来越强，信息的表现形式也越

来越丰富，对社会经济和人们的生活产生了深刻的影响。现代教育也不例外。

2．

解决方案

学院的网络结构设计为：核心层、汇聚层、接入层，如图3-18。

图3-18

1)核心层:

核心层的功能主要是实现骨干网络之间的优化传输。骨干层设计任务的重

点通常是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量少在骨干层

上实施。核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的

设计以及网络设备的要求十分严格。核心层设备将占投资的主要部分。一般情况

下，学校的核心层次作为整个学校的网络中心，那么网络中心便是核心层交换机

的最佳所在地。而供全校使用的服务器也将连接到核心层交换机上，充分利用核

心层交换机的路由、控制和安全的功能，达到服务器资源的有效利用。而公网的

出口一般会连接到核心层交换机，在公网和内网之间一定要有防火墙(软件的或

硬件的)，以确保安全和防止反动的、色情的内容入侵校园网络，并且现在的硬

件防火墙在很多方面已经可以取代路由器的工作了，比如说NAT。在实际的操作

中很多都以租用防火墙为主。

2)汇聚层:

汇聚层的功能主要是连接接入层节点和核心层中心。把大量的来自接入层

的访问路径进行汇聚和集中,在核心层和接入层之间提供协议转换和带宽管理。

汇聚层设计为连接本地的逻辑中心，仍需要较高的性能和比较丰富的功能。

实现的功能如下：

安全策略

VLAN的划分

部门或工作组的接入

汇聚层的交换机原则上既可选用3层交换机也可以选择2层交换机。这要

视投资和核心层交换能力而定，同时最终用户发出的流量也将影响汇聚层交换机

的选择。如果选择3层交换机，则在全网络的设计上体现了分布式路由思想，可

以大大减轻核心层交换机的路由压力，有效的进行路由流量的均衡。如果选择分

布式路由方式，可考虑降低核心交换机的路由能力投资费用。另一种情况，如果

汇聚层设备仅选择2层设备，则核心层交换机的路由压力会增加，我们需要在核

心层交换机上加大投资，选择稳定、可靠、性能高的设备。在投资上，我们建议

在汇聚层选择性能价格比高的设备，同时功能和性能不应太低。作为本地网络的

逻辑核心，如果本地的应用复杂、流量大。可考虑选用高性能的交换机。

3)接入层:

我们在核心层和汇聚层的设计中主要考虑的是网络性能和功能性要高，那

么我们在接入层设计上主张使用性能价格比高的设备。接入层是最终用户(教师、

学生)与网络的接口，它应该提供即插即用的特性，同时应该非常易于使用和维

护。当然我们也应该考虑端口密度的问题，采用交换或共享式局域网。

接入层交换机没有太多的限制，但是接入层的交换机或集线器对环境

的适应力一定要强。全中国的学校几乎都有一个困难-投资。在每个建筑里都设

置一个通风良好、防外界电磁干扰条件优良的设备间是不现实的，大多数楼层交

换机被放置在楼道里，所以接入层的设备首先应该对恶劣环境有良好的“抵抗

力”。接入层设备不用追求太多的功能，只要稳定就好。

整体的设计应该对传输多媒体信息特别是语音和视频的支持有利，应该提

供端到端Multicast支持。这主要取决于校园的应用需求

3．

硬件介绍

1)光缆

光缆是由一组光导纤维组成的用来传播光束的、细小而柔韧的传输介质。

光缆的电磁绝缘性能好，信号衰变小，频带较宽，传输距离较大，如图3-19。

图3-19光缆

光缆主要是在要求传输距离较长，布线条件特殊的情况下用于主干网的连

接。光缆通信由光发送机产生光束，将电信号转变为光信号，再把光信号导入光

纤，在光缆的另一端由光接收机接收光纤上传输来的光信号，并将它转变成电信

号，经解码后再处理，如图3-20。光缆的最大传输距离远、传输速度快，是局

域网中传输介质的姣姣者。光缆的安装和连接需由专业技术人员完成。

图3-20光缆通信

光纤可以分为单模光纤和多模光纤。这两种光纤在计算机局域网中都有其

作用。其中，单模光纤的传输质量比多模光纤的传输质量好，由于完全避免了模

式射散使得单模光纤的传输频带很宽因而适用与大容量，长距离的光纤通迅，

如图3-21。因此，单模光纤可以传输更远的距离。用于网络连接可以覆盖更广

的地域范围。

图3-21单、多模光纤

2)防火墙

防火墙（FireWall）的功能从字面上就可见一斑。它将网络分成内部网络和

外部网络两部分，并认为内部网络是安全和可信赖的，而外部网络则是不太安全

和不可信的。防火墙检查和检测所有进出内部网的信息流，防止未经授权的通信

进出被保护的内部网络，如图3-22。

图3-22防火墙

防火墙的作用

●阻挡外部攻击。如果外部网络发送的信息是防火墙设置所不允许的，防

火墙会立即将其阻断，避免其进入防火墙之后的内部网络中。

●监控内部网络：通过监测内部网络的的访问，防火墙决定是否允许其通

过对不同的网段限定进出流量，同时防火墙是还可以将攻击行为都记录下来的，

如图3-23。

图3-23防火墙的作用

●包的透明转发。作为内部网络与外部网络的接口，进出的数据包都需要

经过防火墙的转发。因此，很多防火墙具备路由器的部分。

【知道点1】防火墙术语

（1）网关——在两个设备之间提供转发服务的系统。网关是互联网应用程

序在两台主机之间处理流量的防火墙。这个术语是非常常见的。

（2）DMZ非军事化区——为了配置管理方便，内部网中需要向外提供服务

的服务器往往放在一个单独的网段，这个网段便是非军事化区。防火墙一般配备

三块网卡，在配置时一般分别分别连接内部网，internet和DMZ，如图3-24。

图3-24DMZ非军事化区

（3）吞吐量——网络中的数据是由一个个数据包组成，防火墙对每个数据

包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数

据包数量。这是测量防火墙性能的重要指标。

吞吐量的大小主要由防火墙内网卡，及程序算法的效率决定，尤其是程序

算法，会使防火墙系统进行大量运算，通信量大打折扣。因此，大多数防火墙虽

号称100M防火墙，由于其算法依靠软件实现，通信量远远没有达到100M,实际

只有10M-20M。纯硬件防火墙，由于采用硬件进行运算，因此吞吐量可以达到

线性90-95M,是真正的100M防火墙。

对于中小型企业来讲，选择吞吐量为百兆级的防火墙即可满足需要，而对于

电信、金融、保险等大公司大企业部门就需要采用吞吐量千兆级的防火墙产品。

（4）最大连接数——和吞吐量一样，数字越大越好。但是最大连接数更贴

近实际网络情况，网络中大多数连接是指所建立的一个虚拟通道。防火墙对每个

连接的处理也好耗费资源，因此最大连接数成为考验防火墙这方面能力的指标。

（5）数据包转发率——是指在所有安全规则配置正确的情况下，防火墙对

数据流量的处理速度。

（6）堡垒主机——堡垒主机是内部网在Internet上的代表。可以把它比喻

成一幢建筑物的大厅。外来人员进入大厅后并不可以立即上楼或进入电梯，但他

可以在大厅内自由漫步，也可以索取一些信息（至于他能索取到什么信息或是否

能索取到信息由大楼的安全规则而定）。像建筑物的大厅一样，堡垒主机对潜在

的入侵者是公开的。堡垒主机是任何外来者（不管他是朋友还是敌人）都可连接

的。连接它，防火墙内的系统可对外操作，外部网可获取防火墙内的服务。

堡垒主机是一种被强化的可以防御进攻的计算机，被暴露于因特网之上，作

为进入内部网络的一个检查点（checkpoint），以达到把整个网络的安全问题集

中在某个主机上解决，从而省时省力。正由于这个原因，防火墙的建造者和防火

墙的管理者应尽力给予其保护，特别是在防火墙的安装和初始化的过程中应予以

仔细保护，使它遭受到外网攻击的风险降到最低。

屏蔽主机网关易于实现分为单宿堡垒主机和双宿堡垒主机两种类型。

单宿堡垒主机类型：一个包过滤路由器连接外部网络，同时一个堡垒主机

安装在内部网络上。堡垒主机只有一个网卡，与内部网络连接（如图3-25）。通

常在路由器上设立过滤规则，并使这个单宿堡垒主机成为从Internet惟一可以访

问的主机，确保了内部网络不受未被授权的外部用户的攻击。而Intranet内部的

客户机，可以受控制地通过屏蔽主机和路由器访问Internet。

图3-25单宿堡垒主机

双宿堡垒主机类型：双宿堡垒主机型与单宿堡垒主机型的区别是，堡垒主

机有两块网卡，一块连接内部网络，一块连接包过滤路由器（如图3-26）。双宿

堡垒主机在应用层提供代理服务，与单宿型相比更加安全。

图3-26双宿堡垒主机

【知识点2】无线局域网设备

无线局域网络(WirelessLocalAreaNetworks；WLAN)是相当便利的数据

传输系统，它利用射频(RadioFrequency；RF)的技术，取代旧式碍手碍脚的双

绞铜线(Coaxial)所构成的局域网络。在无固定工作场所、有线局域网络架设受环

境限制、作为有线局域网络的备用系统等情形下可以考虑使用无线局域网络。

无线局域网设备包括，如图3-27：

（1）WirelessLANCard即无线网络卡，如图3-27a，与传统之Internet

网络卡的差别是在于它的数据数据传送是靠无线电波，而后者则是透过一般的网

络线传送。目前无线网络卡的规格按传输速率可分成1/2/5.5/11Mbps四种，而

按界面类型可分为PCMCIA和USB二种。

图2-27a无线网卡

（2）AccessPoint即网络桥接器，如图3-27b，是传统的有线局域网络与

无线局域网络，或无线局域网络与无线局域网络之间的桥梁，用来接收和传送数

据；任何一台装有无线网卡的PC均可通过AP去分享有线局域网络甚至广域网

络之资源。AP本身又可对接有无线网络卡的PC作必要的控制和管理。

图2-27b网络桥接器

（3）Antenna即天线，如图3-27c，它与一般电视手机所用的天线不同，

不要表现在频率上，WLAN所用的频率较高，为2.4GHz的高频段，其功能是接

收或传送数据信号。天线的分类一般按传输距离的远近划分，而传输的距离又由

天线本身的dBi值决定，dB值愈高，相对所能传达的距离也就更远。另外，天

线有定向性(Uni-direction)和全向性(Omni-direction)之分，前者适合于远距离使

用，而后者则适合于区域性的应用。

图3-27无线设备

3)路由器

神州数码DCRS-7504三层路由交换机（十万人民币左右）

●路由交换机的交换方式

采用的DCRS-7504交换机采用完全分布式的交换结构，所有模块都可以独

立进行交换和路由，且采用crosspoint交换架构，因此可以达到极高的性能

●路由交换机的总体交换容量和包转发率

DCRS-7504交换机总体交换容量每秒可达到128G,包转发率每秒达到48M

●路由交换机的冗余可靠性

采用的DCRS-7504交换机采用负载均衡的冗余电源，可以快速切换的冗余

管理引擎，为了确保不停机维护和升级，所有模块应支持热插拔。

●端到端的交换延迟

DCRS-7504交换机可以做到端到端的传输延迟在10微秒以下

4)交换机

汇聚层交换机神州数码DCS－3726B（一万七千人民币左右）

和接入层交换机DCS-3628交换机（五千人民币左右）

.3课后总结

局域网最常用的介质访问控制方法有哪几种？各有什么特点？

有哪几种传输介质？各有什么特性？

什么是网络拓扑结构？常见的网络拓扑结构有哪几种，你觉得它们各有什

么优缺点？

常用的网络设备之间的区别和联系？

【扩展搜索】SAN（StorageAreaNetwork）

SAN存储区域网络。它是一种类似于普通局域网的一种高速存储网络，它

通过专用的集线器、交换机和网关建立起与服务器和磁盘阵列之间的直接连接。

SAN不是一种产品而是配置网络化存储的一种方法。这种网络技术支持远距离通

信，并允许存储设备真正与服务器隔离，使存储成为可由所有服务器共享的资源。

SAN也允许各个存储子系统，如磁盘阵列和磁带库，无需通过专用的中间服务器

即可互相协作。

那么SAN究竟能为用户带来什么？首先，集中式管理软件允许远程配置、

监管和无人值守运行；第二，容量可扩展以符合网络需求，在不影响LAN性能

的情况下充分发挥存储硬件的功能；第三，SAN就绪的磁带库具备可热插拔的冗

余磁带机、介质、电源和冷却系统以确保可靠性；第四，具备长达20公里距离

的远程功能以及灵活的网络部件，基于光纤通道的SAN可以根据要求进行配置；

第五，UNIX、NT和NetWare服务器可同时连接；第六，能够有效地减少总体拥

有成本（TCO）。

当希望能得到集中化的存储，并要求较低的管理成本时，SAN是理想的解

决方案。从发展的角度看，SAN逐步取代传统的存储方式是必然的