2020年1月25日，一篇《紫光集團攜旗下新華三捐贈火神山醫院網絡及安全設備，助力武漢抗擊疫情》的文章轉遍了朋友圈，紫光集團和新華三集團的社會責任感感動了每一位網絡工程師和社會大衆。

文章提及紫光集團攜手旗下新華三，向武漢市衛生健康委員會捐助火神山醫院所需的網絡通信與信息安全産品設備，包含了核心交換機、彙聚及接入交換機、無線網絡（無線控制、無線彙聚、無線接入）、安全防護 （路由器、防火牆、行為管理、堡壘機、日志審計、數據庫審計、準入認證設備）等諸多種類，設備總值超過千萬，并會負責相關設備的部署、安裝、調試等實施工作。

我作為一名網絡工程師，每次被親朋好友問起是做什麼工作的，都是答一句，搞網絡的；隔行如隔山，一旦有人追問起來，向其他行業的人解釋工作内容或者行業内容讓人格外頭大。

那什麼是網絡呢？

我現在是這麼跟朋友解釋的：通俗來講，現在你窩在家裡，家庭上網都會用到路由器。設置家庭路由器的時候繞不開一個WAN口的IP地址設置，或者是PPPoE撥号或者是動态DHCP自動獲取。

這裡引入了IP地址的概念，是網絡中互聯互通的一個必要基礎。一個最簡單的網絡可由兩台電腦配置上相同網段的IP地址，再加上一根網線來組成。比如配置192.168.1.1和192.168.1.2這兩個IP地址，能實現互相訪問。兩台電腦使用一根網線就能互通，三台電腦就不行了，這時候就有了HUB，相當于是把多根網線集中在一起，配上相同網段的地址就能互相訪問了，此時他們共享一個沖突域，此時數據傳輸不再穩定，可能會出現信号沖突現象。

前面又引入了地址段的概念，一般的IP地址，或者稱為IPv4地址，是由4個點分十進制數字組成的，類似于A.B.C.D（192.168.1.1），實際上是由二進制轉換而來，每個數字取值範圍是0-255，對應二進制的8位，二進制形式類似AAAAAAAA.BBBBBBBB.CCCCCCCC.DDDDDDDD，每位取值0或者1，網段就是掩碼，不通長度的掩碼有不同數量的主機地址。主機地址的數量N和掩碼位數m的關系是：N=2^(32-m)-2。計算的時候會發現一個問題，就是m=32時，N=-1；m=31時，N=0。這兩個一般是表示主機地址，不能算做網段。當掩碼位數不大于30時，才能稱為網段。比如在電腦上配置192.168.1.2時，掩碼會自動補全出255.255.255.0，這就是24位掩碼，用前面公式算一下，這個網段最多有254個主機。

随着掩碼位數的縮短，我們可以發現主機數量越來越大，如果掩碼為0，則最多容納4294967294個主機，将近43億個，也就是傳說中的IPv4地址池上限。當然，實際使用時，因為存在地址保留以及網段劃分，實際能使用的地址遠小于這個數量，并且前段時間才發了通告，全球IPv4地址已經分配完（嗯，我有幸還租到了幾個）。

理論上講，所有的主機是可以全部在一個網段進行互訪的，但是實際上如果使用HUB來實現，設備将不堪重負，嚴重的信号沖突也将導緻通信無法完成。所以就出現了高級一點的設備，交換機。

交換機比HUB高級，因為他性能更強，有專用硬件；如果可管理，那就更高級了。但是普通的二層交換機，性能仍然比較有限，一般幾十個主機就是他的上限了，怎麼辦呢？按照前面說的，劃分網段，分完網斷之後，不同網段之間互訪就要找自己的網關，比如192.168.1.2-192.168.1.254找192.168.1.1，192.168.2.2-192.168.2.254找192.168.2.1等等，在通過網關進行通信，能實現這種功能的交換機一般就是三層交換機了。

細心的小夥伴可能會發現家用路由器還有一個LAN設置和DHCP設置，用來配置下發上網設備的主機地址，一般是192.168.1.1或者192.168.0.1網段，還有個網關地址，不過一般隻能配置一個網段。LAN設置相當于一個二層交換機或者弱三層交換機。

如果交換機性能足夠高、數量足夠大，就能夠解決所有主機之間的互訪問題，但是無法解決IP地址不夠用的問題，所以就需要做IP地址轉換，網絡上叫做NAT（network address translation），将保留的内網地址轉換為公網地址。這也就是為什麼幾乎家家的電腦或者手機地址都是192.168.1.1網段或者是192.168.0.1網段卻能自如上網，沒有沖突，但是卻不能互訪的原因。那什麼設備能實現NAT這個功能呢？就是路由器，NAT也是路由器和交換機最主要的區别之一。而家用路由器是具備這個功能的，可以理解為是一款具備無線功能的路由交換一體機。而無線，就是使用标準協議，使終端之間使用天線就能完成用網線完成的工作，大大提升了網絡使用的便捷性。

廣義的交換機就是一種在通信系統中完成信息交換功能的設備。交換機(英文：Switch，意為"開關")是一種用于電信号轉發的網絡設備。它可以為接入交換機的任意兩個網絡節點提供獨享的電信号通路。最常見的交換機是以太網交換機。其他常見的還有電話語音交換機、光纖交換機等。

路由器（Router），是連接因特網中各局域網、廣域網的設備，它會根據信道的情況自動選擇和設定路由，以最佳路徑，按前後順序發送信号。 路由器是互聯網絡的樞紐，"交通警察"。路由和交換機之間的主要區别就是交換機發生在OSI參考模型第二層（數據鍊路層），而路由發生在第三層，即網絡層。這一區别決定了路由和交換機在移動信息的過程中需使用不同的控制信息，所以說兩者實現各自功能的方式是不同的。

前面提到了OSI（Open System Interconnection的縮寫，意為開放式系統互聯）七層模型，OSI是一個開放性的通信系統互連參考模型，他是一個定義得非常好的協議規範。OSI模型有7層結構，每層都可以有幾個子層。OSI的7層從上到下分别是 7 應用層 6 表示層 5 會話層 4 傳輸層 3 網絡層 2 數據鍊路層 1 物理層 ；其中高層（即7、6、5、4層）定義了應用程序的功能，下面3層（即3、2、1層）主要面向通過網絡的端到端的數據流。結合之前提到的TCP/IP四層模型，對應關系如下圖所示：

對應的就不詳細展開了，各層面大概能對應的網絡設備如下圖所示：

交換機和路由器前面已經說過了，再上層的防火牆比路由器多了主要是基于報文流、會話和安全域等的隔離和檢測機制，通過訪問控制，能實現傳輸層的攻擊防範。而基于一些會話特征，能識别出特定的攻擊行為、或者說可以對攻擊行為做出防範動作的，就是入侵檢測或者入侵防範（IDS/IPS）。再上層，基于流量特征或者流量内容特征，即可實現負載均衡，主要用于CDN網絡等大流量場景，所以負載均衡設備有時候也稱為應用交付設備ADE。而最上層，基本完全基于數據内容進行識别的就是APM，通過抓取分析報文，可以看出這是打遊戲的流量還是看視頻的流量，在流量未加密的情況下，甚至可以看到你玩的是什麼遊戲、追的是什麼劇。

以上大概就是對網絡概念的一些解釋。之前的文章中也有一些分析，如《WireShark抓包報文結構分析》、《通過三種工具看一次HTTP報文交互過程》和《從報文交互看Telnet協議的安全系數》就有相關報文數據傳輸交互的分析，歡迎大家批評指正！

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!