转：《笑傲网湖》第一回

stream · 发表于 2010-4-6 20:06:07

令狐冲十四岁那年进入华山，那年岳琳珊八岁，岳不群白天给两人指点剑法，晚上令狐冲给小师妹讲故事哄她入睡。后来，岳不群陆续收了劳德诺，陆大有等徒弟，又忙于修炼紫霞神功，就没有时间指点徒弟。于是他做了一个HUB，从此华山派实现教育电子化，岳不群在网上同时给每个徒弟授课，这种方法很快在五岳剑派内部推广。为了在五岳剑派之间互连，嵩山派掌门左冷禅研制出路由器，使得五岳剑派之间可以互联互通。令狐冲晚上就通过网络给小师妹讲故事。
很快，岳琳珊已经十六岁，变成了一个亭亭玉立的小姑娘了。令狐冲发现自己的目光总是不由自主的在小师妹身上停留，每次和小师妹在一起的时候，总能听到自己强烈的心跳声，经过了一段时间的茶饭不思后，终于有一天晚上，令狐冲在网上给小师妹发了一首情意绵绵的诗
你是风儿我是沙
你是蜜蜂我是花
你是梳子我是头发
你是牙膏我是牙刷

第二天，华山派开例会，令狐冲怀着忐率不按的心情来到了会议室，发现小师妹红着脸躲在师父后面，而其它的师弟都在偷偷朝自己笑，开完会，一个调皮的师弟就过来叫牙刷师兄，赶紧蒙面逃走。问陆大有，才知道是劳德诺用一个叫NetXRay的工具把自己在网上的大作全抓了出来。令狐冲悔恨万分，于是，闭门研究RFC，成功的研制出LanSwitch。它能够识别设备MAC地址，这样，令狐冲发送给小师妹的数据只有她一个人能够收到。令狐冲晚上可以在网上放心的给小师妹讲故事，偶尔手痒还能敲几句平时心里想又说不出口的话来过瘾，然后，红着脸想象小师妹看到后的表情。
----------------------------------------------------------------------------------------------------------------------------------------------------------------
LanSwitch是二层交换设备，它可以理解二层网络协议地址MAC地址。二层交换机在操作过程中不断的收集资料去建立它本身的地址表，这个表相当简单，主要标明某个MAC地址是在哪个端口上被发现的，所以当交换机接收到一个数据封包时，它会检查该封包的目的MAC地址，核对一下自己的地址表以决定从哪个端口发送出去。而不是象HUB那样，任何一个发方数据都会出现在HUB的所有端口上(不管是否为你所需)。这样，LanSwitch在提高效率的同时，也提高了系统的安全性。

关于HUB（集线器）设备，这种设备是最早的星型网络连接设备，它是把数据包发送给所有的的网络终端（简单的说是以广播的方）。所以你只要把你的网卡设置成混杂模式，你就可以收到网络内所有的数据包了。所以，劳德诺才可以通过NetXRay这个工具监听到冲哥发给小师妹的情诗。
大家可以使用NetXRay监听下网络的数据，不过在公司的网络里，已经不会出现和HUB这种设备了，都是Switch(j交换机)，不过你可以抓取你和其他人联系的数据包，说不定你能发现你的机器被人安装了木马，对你进行偷窥哦。不过我推荐大家使用SnifferPro这个工具。
一些名词解释
RFC(RequestForComments)：意即“请求注解”，包含了关于Internet的几乎所有重要的文字资料
LanSwitch：是二层交换设备，它可以理解二层网络协议地址MAC地址。
HUB：网络集线器。最简单的用于网络连接的设备。
MAC地址：网卡的物理地址。每快网卡都有唯一的mac地址。

stream · 发表于 2010-4-6 20:08:27

第二回：
在上一讲中，我们了解到了HUB和LanSwitch方面的一些知识，知道了HUB的工作方式是以广播的形式将数据包发送给网
络中的所有结点，这时，我们可以过一些监听工具来监听整个网络的流量。同时，由于所有结点都是广播的方式进行数
据传播，这就容易造成广播风暴，严重影响网络的传输效率。LanSwitch是针对HUB的弱点进行改良尔来的新型设备，结
点间的通讯是点对点的。这样一来，极大的提高了网络的运行效率和通讯的安全。但是LanSwitch也有很多不足，比如
说它在查找目标主机的MAC时，会发广播，多级连接时，也需要全网发送广播。这样以来，在一个大的网络中，也会使
传输效率下降。我们的华山派，在使用LanSwitch的过程中，同样遇到了很多问题，现在我们过去看看到底是怎么回事
！
接下来的一年，岳不群大量招收门徒，华山派得以极大的壮大，所使用的LanSwitch也多次级连。但门徒中难免鱼龙混
杂，当时华山派一批三、四代弟子崇拜万里独行田伯光，成立了一个田协，经常广播争论比赛八百米还是一千米很合理
的问题;第三代弟子中有一个叫李洪至的，每天在华山派内部广播发轮大法;更让令狐冲受不了的是，随着师父年龄的增
大，变得越来越罗嗦，每句话都要重复二十遍，然后在网上广播。令狐冲想和小师妹，陆大有等人专门使用一个广播域
，但如果另外使用一个LanSwitch的话，师父肯定不会同意，于是，他修改了LanSwitch的软件，把小师妹，陆大有等人
和自己划成一个虚拟网(VLAN)，其它人使用另外的VLAN，广播包只在VLAN内发送，VLAN间通过路由器连接。岳不群也深
受田协，李洪至其害，但为与左冷禅抗争，用人之际，只能隐忍，知道了这件事，大为高兴，但仍为令狐冲私自修改软
件一事，罚他到思过崖面壁一年，一年之内不得下山。在华山派内重新使用VLAN进行子网划分，分为五个子网，师父和
师娘，小师妹还有林平之在一个VLAN，发轮功弟子用一个VLAN;田协弟子用一个VLAN，其它弟子用一个VLAN，而思过崖
上也有单独的一个VLAN。令狐冲到了思过崖，并不难过，终于，世界安静了，依靠左冷禅的路由器，令狐冲还可以每天
在网上给小师妹讲故事，聊天。
但是幸福永远是短暂的，接下来总是无尽的烦恼。随着整个五岳剑派势力的增大，路由器的速度越来越慢。令狐冲发现
每次给小师妹讲故事时，小师妹的回答总是珊珊来吃，而且话也很少，总是"嗯"，"噢"或者"我听着呢"。终于有一天，
路由器再也PING不通的，令狐冲三天没有得到小师妹的消息，对着空空的显示屏，再也忍不住，在一个下着雪的晚上，
偷偷下山找小师妹，到了小师妹窗前，发现小师妹正在网上和小林子热烈的聊天，全没注意一边的自己，内心一阵酸痛
，回到思过崖，大病一场。病好后潜心研究，终于有一天，做出来一个路由器，这时，令狐冲发现，此时华山派已经有
了三十个VLAN，路由器必须为每个VLAN分配一个接口，接口不够用，而且，两个子网内通过路由器的交换速度远远低于
二层交换的速度。
-------------------------------------------------------------------------------------------------------
今天知识点：
局域网交换机的引入，使得网络节点间可独享带宽，但是，对于二层广播报文，二层交换机会在各网络节点上进行广播
;同时，对于二层交换机无法识别的MAC地址，也必须在广播域内进行广播。当多个二层交换机级连时，二层交换网络上
的所有设备都会收到广播消息。在一个大型的二层广播域内，大量的广播使二层转发的效率大大减低，为了避免在大型
交换机上进行的广播所引起的广播风暴，需要在一个二层交换网络内进一步划分为多个虚拟网(VLAN)。在一个虚拟网
(VLAN)内，由一个工作站发出的信息只能发送到具有相同虚拟网号(VLANID)的其他站点，其它虚拟网(VLAN)的成员收不
到这些信息或广播帧。采用虚拟网(VLAN)可以控制网络上的广播风暴和增加网络的安全性。不同虚拟网(VLAN)之间的通
信必须通过路由器进行。
二层交换机划分虚拟子网后，就出现了一个问题:不同虚拟子网之间的转发需要通过其它路由器来实现。二层交换机的
不同VLAN节点间的转发需要通过路由器设备来实现大大浪费了端口，而路由器的高成本，低效率又使它无法满足大量子
网情况下的三层转发需求，三层交换的概念就在这种情况下被提了出来。
一些名词解释：VLAN：虚拟网络。是把很多的结点放到同一个广播域中形成一个虚拟的子网。

stream · 发表于 2010-4-6 20:13:04

第三回：
在前天，我们了解了VLAN，它可以把很多结点归划到同一个广播域中，在这个域中，结点之间的初始广播寻址都不会被传到其他的域中。就好比是在同一间屋子中的人说话，就只能被同屋里的人听到一样。
在二层交换网络中，各个VLAN之间如果要互相通信的话，是要同过路由器进行转发的，由于三层转发的效率远低于二层转发的效率，故在不同VLAN之间通信会出现延时很严重的情况。
在这种情况下，三层交换机就出现了。

今天，我们就去看看冲哥是怎么解决这个问题的。
这天晚上，令狐冲心灰意懒，借酒消愁，这时，一个黑影出现在他的面前，原来是一个道风仙骨的老人，正是风清扬。风清扬听了令狐冲的疑惑，说:路由器接口不够，把路由器做在LanSwitch内部不就可以了;交换速度慢，是因为路由器查找的是网段路由，而LanSwitch直接查MAC对应出端口，当然速度快。为什么不能直接根据IP地址查到出端口呢?令狐冲一听，大为仰慕，但还是不明白，IP地址那么多，而且经常变化，如何能够直接查到出端口呢?风清扬说:
"你先坐下，让我来问你，华山派有多少弟子?"

"一万六千左右。

"你全知道他们住哪里吗?"

"不知道。"

"岳不群要你找一个不知道住哪里的人，如何去找?"

"查华山派电话号码查询系统，找到他的地址，然后去找他。"

"如果你回来后再让你找这个人，又如何去找?"

"如何....，查华山派电话号码查询系统，找到他的地址，然后去找他。"

"你不知道到这个人的地址吗?"

"知道，但师父说，华山派的地址那么多，而且经常变化，不用知道地址。"

"岳不群这小子，把徒弟都教成木头了!我问你，你自己认为应该如何找?"

"直接去找!"

"好!你这人还不算太苯。那你知道了一个人的地址后，是不是永远记住了?"

"有的人记住了。其它的都忘了。"

"为什么忘了?"

"因为我记不了那么多人，而且一段时间没有去找他。"

"华山派电话号码查询系统里的地址是如何获得的?"

"我在空旷处大喊一声他的名字，他听到后就会来找我，告诉我他的地址。"

风清扬又问了大把类似脑筋急转弯的问题，然后风清扬说:"现在你明白根据IP地址直接查出端口的道理了吗?等到你明白这个道理，你自然会做出三层交换机来"，令狐冲仔细回忆了今天的话，终于明白了和二层转发由MAC地址对应到出端口的道理一样，三层转发也可以直接由IP地址对应到出端口，IP地址的路由可以通过ARP来学习，同样需要老化。这样，VLAN间转发除第一个包需要通过ARP获得主机路由外，其它的报文直接根据IP地址就能够查找到出端口，转发速度远远高于路由器转发的速度。抬头看时，风清扬已经走了。
一年后，令狐冲下思过崖，成功的推出QuidwayS8016路由交换机。实现了VLAN间的互通，并且与嵩山，黑木崖等路由器实现互通。
-------------------------------------------------------------------------------------------------------
今天知识点：
三层交换机是在二层交换机的基础上增加三层交换功能，但它不是简单的二层交换机加路由器，二而是采用了不同的转发机制。路由器的转发采用最长匹配的方式，实现复杂，通常使用软件来实现。而三层交换机的路由查找是针对流的，它利用CACHE技术，很容易采用ASIC实现，因此，可以大大的节约成本，并实现快速转发。
很多文章会提及三层交换机和路由器的区别，一般的比较是三层交换机又快又便宜。这些话没有错，但场合是汇聚层。我们看到，在汇聚层，面向三层交换机直接下挂的主机，因为能够获得其主机路由，所以三层交换机能够实现快速查找;而对于通过其它路由器连接多个子网后到达的主机，三层交换机和路由器的处理是一样的，同样采用最长匹配的方法查找到下一跳，由下一跳路由器进行转发。

stream · 发表于 2010-4-6 20:17:47

第四回：

这天，令狐冲独自在华山派的BBS上闲逛。失去小师妹的他，怎么也不明白小师妹是怎么想的（KAO，男人要是能明白女人是怎么想的，就不是男人了。这小子估计是练功练傻了）。点击进入今日热点，看到有篇帖子的回复居然有20页了。真是超级的火啊。仔细一看标题“紫霞神功秘籍修炼方式与注意事项”。“mygod!!god!!!god!!!!师傅疯了。华山镇派之宝，居然放到网站上来了，师傅是不是老糊涂了啊。”冲哥一边想一边点击进入主题。

奇怪啊，发贴怎么是费彬啊。这小子是嵩山派第五代弟子，左冷禅的得力助手之一。武功非凡，同时酷爱上网，经常会在各大门派的官方网站上发表些八卦新闻和谣言，大家对他的人品都很不屑。看到是这个38发的帖子，冲哥的心放下来了。打算关掉网页。不过在随便一扫眼之间，冲哥楞住了“本神功耐本派镇派神功，修炼之人都是我派的掌们人。。。。。。”一路看下去，怎么和师傅传受给我的是一样的啊？难道是师傅把这个东西抵押给了左冷禅？前段时间听师傅说欠左老怪物的赌债。有可能啊。华山现在能抵押的东西越来越少了。
继续看下去，是紫霞神功，绝对不会错了。在帖子最后，是费彬这小子的一句话“我派尊师左贱神叫我转告各位欠我派银子的家伙，无论是谁，都不能欠钱不还，否则华山派的紫霞神功就是例子。”

冲哥赶快联系师傅，原来昨天晚上师傅忘记关自己的IBM笔记本，结果今天早上起来，发现自己屏幕上有一行大字“小样，叫你欠我银子不还！”。一检查，保存在硬盘上的《紫霞神功》被人改名字叫《狗屁不通》了。原来是遇嵩山派的黑客了。
不得了！察看系统日至，发现是在凌晨3点有人进入到了系统。并在屏幕上留下这行字，并切取了《紫霞神功》。冲哥很是郁闷。自从五岳派的网络互通之后，华山的网络就遭到不停的攻击，今天不是小师妹的机器上被放入情书，就是web服务器被人修改了主页。管理这个破烂网络，叫令狐冲郁闷不已。
刚才师傅叫冲哥要尽快解决这件事情。

令狐冲独自走在华山的小路上，不知不觉的走到了思过崖。想着一年前，自己在疯老前辈的引诱下，开发出了独步天下的3层交换机，为天下武林的网络发展做出巨大贡献。现在故地重游，心中多出一份惆怅！怎么才能挡住其他派的黑客闯入我们的网络呢。。。。“真TMD郁闷，怎么什么事都叫我碰上了！！！”不自觉的大骂一句，心里顿时愉快了很多。没想到骂人会这么爽。

“你小子在这里乱叫唤什么呢？打扰我老人家睡觉，不想混了！！！”一个熟悉的声音从对面的树上传来！

“疯老人家，怎么会是你啊！”

“山上的猕猴桃熟了，我来搞些解解馋！你怎么又在这里乱转啊？”

“派里的网络又被攻击了，师傅的紫霞神功被松山的黑客给偷了！师傅叫我赶快解决派里的网络安全问题。我不知如何是好，就胡乱走走，不知不觉的就走到这里了，打扰疯老前辈偷桃子，真不好意思啊！”

“你小子怎么说话的啊？”

“对不起！不是故意的！”

“那就是有意的！”

“不，不，不。。。。。。”

“你们都被岳小子给教傻了！！！我还以为什么大不了的事呢，原来是这么一个小问题啊！”

“难道前辈有解决的方法？”

“我来问你，你们的网络是怎么和五岳的网络联系在一起的？”

“是通过路由器。”

“只有这一个出口吗？”

“是的。通常情况下，我们所有的流量都是通过这个路由器出去的。”

“好的，这样就简单了！你如果在路由器上限制其他人的连接，不就可以使的华山网络安全些了吗？”

“不明白，能说清楚些吗？”

“真是被岳小子给教成蠢驴了。你先给我说说什么是数据包？”

“数据包就是带有对方IP地址和端口的信息组合。它就好比一封邮件，要传送的信息好比里面的信纸，IP地址写在信封上面，端口号就是信要送到的那个房间，因为一个地址有可能是一座大楼，里面有很多房间，需要对每个房间进行编号，所以我们需要一个端口号来区别。”

“不错，是这个意思。那么，有了这些信息，我们就可以通过在大楼门口的收发室来接受信件，并把这些信件发到每个房间去。是不是！”

“是的！”

“那好，我问你，如果收发室收到通知，只允许收某个人写来的信，其他的信都不收，你会怎么处理其他的信？”

“在没人看的时候，把其他信都撕了，然后丢到马桶里！”

“你小子够狠！省去退信的麻烦，还不叫写信人知道！”

“过奖！”

“那么再问你，收发室可以收信，但不收发给特定部门的信，你该如何做？”

“还是把信都撕了，然后丢到马桶里！”

“聪明，孺子可教！！那么你现在知道该怎么做了？”

“知道了！多谢前辈指教。”

“那你说来听听。”

“我们可以在路由器上加入一个功能，在上面设置规则，根据数据包的IP地址和端口号进行访问控制，这样一来，就可以开放只允许访问的资源和允许访问的人员，这样以来，就可以
保护内部网络的安全。对一些敏感的服务器和计算机设置为不可以访问。只开放一些服务器对外面提供访问，这样，网络的安全性就大大提高了！”

“很好，很好！”

。。。。。。。。。

“你还在这里干什么？”

“看前辈吃桃子。”

“为什么？”

“我想起了孙悟空！”

“你Y不赶快去写程序，找死啊。。。。。。。”

令狐冲回到房间，一周没有出门。

一周后，令狐冲把改造好的带有访问控制列表（ACL）的路由器从新放入网络。断网一周的华山派立即欢呼声震天。

而这个路由器也被令狐冲改名字叫包过滤防火墙！
令狐冲在控制列表中，只把WEB服务器和SMTP邮件服务器放到里面，只允许其他门派访问这两个服务器，同时，为了更加安全，他把这两个服务器放到了一个单独的VLAN中。为了有效的控制带宽，增加网络访问速度，他把出去的连接也进行了限制，过滤掉了大量的无聊地址。
华山派的网络有开始安全稳定了！
冲哥笑了！因为他看到挽着小林子的小师妹对他笑了一下！
--------------------------------------------------------------------------------------------------------------------------------------------
知识点：
包过滤防火墙
这种类型的防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。

stream · 发表于 2010-4-6 20:19:39

字有点多。不过蛮有意思的。。。。

还有两回，先待续吧~~

喵喵 · 发表于 2010-4-7 14:05:32

GX同学，刚开始我还以为你改写武侠小说了都！
强大，顶！

keletong · 发表于 2010-9-23 10:45:06

学习！！

账号		自动登录	找回密码
密码			立即注册