什么叫网桥？？有什么作用？？？

发布网友 发布时间：2022-04-13 10:32

我来回答

共15个回答

懂视网 时间：2022-04-13 14:53

以思科为例，网桥的主要作用：

　　

　　1、网桥在数据链路层上实现局域网互连。

　　

　　2、网桥能够互连两个采用不同数据链路层协议、不同传输介质与不同传输速率的网络。

　　

　　3、网桥以接收、存储、地址过滤与转发的方式实现互连的网络之间的通信。

　　

　　4、网桥需要互连的网络在数据链路层以上采用相同的协议。

　　

　　5、网桥可以分隔两个网络之间的广播通信量,有利于改善互连网络的性能与安全性。

　　

　　网桥（Bridge）是早期的两端口二层网络设备，用来连接不同网段。网桥的两个端口分别有一条独立的交换信道，不是共享一条背板总线，可隔离冲突域。网桥比集线器（Hub）性能更好，集线器上各端口都是共享同一条背板总线的。后来，网桥被具有更多端口、同时也可隔离冲突域的交换机（Switch）所取代。

　　

　　网桥（Bridge）像一个聪明的中继器。中继器从一个网络电缆里接收信号， 放大它们，将其送入下一个电缆。相比较而言，网桥对从关卡上传下来的信息更敏锐一些。网桥是一种对帧进行转发的技术，根据MAC分区块，可隔离碰撞。网桥将网络的多个网段在数据链路层连接起来。

热心网友 时间：2022-04-13 12:01

网桥（Bridge）是早期的两端口二层网络设备，用来连接不同网段。网桥的两个端口分别有一条独立的交换信道，不是共享一条背板总线，可隔离冲突域。网桥比集线器（Hub）性能更好，集线器上各端口都是共享同一条背板总线的。

作用：

1、能扩展网络的距离或范围，而且可提高网络的性能、可靠性和安全性。

2、网桥纳入存储和转发功能可使其适应于连接使用不同MAC 协议的两个LAN，因而构成一个不同LAN 混连在一起的混合网络环境。

3、使用网桥进行互连克服了物理*，这意味着构成LAN 的数据站总数和网段数很容易扩充。

4、网桥的中继功能仅仅依赖于MAC 帧的地址，因而对高层协议完全透明。

扩展资料：

网桥的缺点：

1、由于网桥对接收的帧要先存储和查找站表，然后转发，这就增加了时延。

2、在MAC子层并没有流量控制功能。当网络上负荷很重时，可能因网桥缓冲区的存储空间不够而发生溢出，以致产生帧丢失的现象。

3、具有不同MAC子层的网段桥接在一起时，网桥在转发一个帧之前，必须修改帧的某些字段的内容，以适合另一个MAC子层的要求，增加时延。

4、网桥只适合于用户数不太多（不超过几百个）和信息量不太大的局域网，否则有时会产生较大的广播风暴。

网桥的基本特征：

1、网桥在数据链路层上实现局域网互连；

2、网桥能够互连两个采用不同数据链路层协议、不同传输介质与不同传输速率的网络

3、网桥以接收、存储、地址过滤与转发的方式实现互连的网络之间的通信；

4、网桥需要互连的网络在数据链路层以上采用相同的协议

5、网桥可以分隔两个网络之间的通信量，有利于改善互连网络的性能与安全性。

参考资料：百度百科-网桥

热心网友 时间：2022-04-13 13:19

网桥能连接两个局域网的一种存储/转发设备，它能将一个大的LAN分割为多个网段，或将两个以上的LAN互联为一个逻辑LAN，使LAN上的所有用户都可访问服务器。

网桥（Bridge）是早期的两端口二层网络设备，用来连接不同网段。网桥的两个端口分别有一条独立的交换信道，不是共享一条背板总线，可隔离冲突域。

网桥比集线器（Hub）性能更好，集线器上各端口都是共享同一条背板总线的。后来，网桥被具有更多端口、同时也可隔离冲突域的交换机（Switch）所取代。

扩展资料

网桥的存储和转发功能与中继器相比有优点也有缺点，其优点是：

1、使用网桥进行互连克服了物理*，这意味着构成LAN 的数据站总数和网段数很容易扩充。

2、网桥纳入存储和转发功能可使其适应于连接使用不同MAC 协议的两个LAN，因而构成一个不同LAN 混连在一起的混合网络环境。

3、网桥的中继功能仅仅依赖于MAC 帧的地址，因而对高层协议完全透明。

4、网桥将一个较大的LAN 分成段，有利于改善可靠性、可用性和安全性。

网桥的主要缺点是：由于网桥在执行转发前先接收帧并进行缓冲，与中继器相比会引入更多时延。由于网桥不提供流控功能，因此在流量较大时有可能使其过载，从而造成帧的丢失。

参考资料来源：百度百科-网桥

热心网友 时间：2022-04-13 14:54

网桥的功能在延长网络跨度上类似于中继器，然而它能提供智能化连接服务，即根据帧的终点地址处于哪一网段来进行转发和滤除。网桥对站点所处网段的了解是靠“自学习”实现的，有透明网桥、转换网桥、封装网桥、源路由选择网桥。

网桥的存储和转发功能与中继器相比有优点也有缺点，其优点是：使用网桥进行互连克服了物理*，这意味着构成LAN 的数据站总数和网段数很容易扩充。

网桥纳入存储和转发功能可使其适应于连接使用不同MAC 协议的两个LAN，因而构成一个不同LAN 混连在一起的混合网络环境。网桥的中继功能仅仅依赖于MAC 帧的地址，因而对高层协议完全透明。

扩展资料：

网桥的主要缺点是：

由于网桥在执行转发前先接收帧并进行缓冲，与中继器相比会引入更多时延。由于网桥不提供流控功能，因此在流量较大时有可能使其过载，从而造成帧的丢失。

网桥的优点多于缺点正是其广泛使用的原因。

网桥工作在数据链路层，将两个LAN连起来，根据MAC地址来转发帧，可以看作一个“低层的路由器”（路由器工作在网络层，根据网络地址如IP地址进行转发）。

参考资料：百度百科----网桥

热心网友 时间：2022-04-13 16:45

网桥早期的两端口二层网络设备，用来连接不同网段。

网桥的两个端口分别有一条独立的交换信道，不是共享一条背板总线，可隔离冲突域。网桥比集线器（Hub）性能更好，集线器上各端口都是共享同一条背板总线的。

后来，网桥被具有更多端口、同时也可隔离冲突域的交换机所取代。网桥也叫桥接器，是连接两个局域网的一种存储/转发设备，它能将一个大的LAN分割为多个网段，或将两个以上的LAN互联为一个逻辑LAN，使LAN上的所有用户都可访问服务器。

扩展局域网最常见的方法是使用网桥。最简单的网桥有两个端口，复杂些的网桥可以有更多的端口。网桥的每个端口与一个网段相连。

扩展资料

数据链路层定义了在单个链路上如何传输数据。这些协议与被讨论的各种介质有关。ATM，FDDI等。数据链路层必须具备一系列相应的功能，主要有：如何将数据组合成数据块，在数据链路层中称这种数据块为帧，帧是数据链路层的传送单位；

如何控制帧在物理信道上的传输，包括如何处理传输差错，如何调节发送速率以使与接收方相匹配；以及在两个网络实体之间提供数据链路通路的建立、维持和释放的管理。

物理链路由传输介质与设备组成的。原始的物理传输线路是指没有采用高层差错控制的基本的物理传输介质与设备。

数据链路在一条物理线路之上，通过一些规程或协议来控制这些数据的传输，以保证被传输数据的正确性。

实现这些规程或协议的硬件和软件加到物理线路，这样就构成了数据链路，从数据发送点到数据接收点所经过的传输途径。当采用复用技术时，一条物理链路上可以有多条数据链路。

参考资料：百度百科-网桥

参考资料：百度百科-数据链路层

热心网友 时间：2022-04-13 18:53

网桥的作用是将两个相似的网络连接起来，并对网络数据的流通进行管理。

它工作于数据链路层，不但能扩展网络的距离或范围，而且可提高网络的性能、可靠性和安全性。网络1 和网络2 通过网桥连接后，网桥接收网络1 发送的数据包，检查数据包中的地址，如果地址属于网络1 ，它就将其放弃，相反，如果是网络2 的地址，它就继续发送给网络2。

这样可利用网桥隔离信息，将同一个网络号划分成多个网段（属于同一个网络号），隔离出安全网段，防止其他网段内的用户非法访问。由于网络的分段，各网段相对独立（属于同一个网络号），一个网段的故障不会影响到另一个网段的运行。

扩展资料

网桥的存储和转发功能与中继器相比有优点也有缺点，其优点是：

1、使用网桥进行互连克服了物理*，这意味着构成LAN 的数据站总数和网段数很容易扩充。

2、网桥纳入存储和转发功能可使其适应于连接使用不同MAC 协议的两个LAN，因而构成一个不同LAN 混连在一起的混合网络环境。

3、网桥的中继功能仅仅依赖于MAC 帧的地址，因而对高层协议完全透明。

4、网桥将一个较大的LAN 分成段，有利于改善可靠性、可用性和安全性。

网桥的主要缺点是：由于网桥在执行转发前先接收帧并进行缓冲，与中继器相比会引入更多时延。由于网桥不提供流控功能，因此在流量较大时有可能使其过载，从而造成帧的丢失。

热心网友 时间：2022-04-13 21:18

网桥将两个相似的网络连接起来，并对网络数据的流通进行管理。它工

作于数据链路层，不但能扩展网络的距离或范围，而且可提高网络的性能、可靠性和安全性。网络1 和网络2 通过网桥连接后，网桥接收网络1 发送的数据包，检查数据包中的地址，如果地址属于网络1 ，它就将其放弃，相反，如果是网络2 的地址，它就继续发送给网络2.这样可利用网桥隔离信息，将同一个网络号划分成多个网段（属于同一个网络号），隔离出安全网段，防止其他网段内的用户非法访问。由于网络的分段，各网段相对独立（属于同一个网络号），一个网段的故障不会影响到另一个网段的运行。
网桥可以是专门硬件设备，也可以由计算机加装的网桥软件来实现，这时计算机上会安装多个网络适配器（网卡）。
功能需求
在实际的建设过程中，应当充分考虑到学校无线校园网中各项业务的特点。这些业务对无线网络提出了以下要求:带宽的要求: 当前的校园网正发生着巨大的变化, 校园网正从传统的、简单的以数据共享、网页浏览、电子邮件服务等数据处理为中心的数据承载网过渡到以多媒体流(多媒体教学、远程教学、实况网上视频转播、VOD点播、视频会议等) 处理为中心的多业务应用网络。并伴随着学生笔记本电脑的普及化，移动性要求大大增强，校园的无线应用的呼声越来越大。随着802.11n标准的正式发布，最高无线传输速率可达300Mbps，使无线网络完全可以承担起比传统百兆接入更大的带宽。可靠性的需求: 校园网作为承载各种信息的通讯基础设施，其可靠性是最基本、最根本的要求，尤其是诸多实时的应用（如视频实时转播、会议电视等）和关键业务（如校园一卡通业务）对网络设备的可靠性（网元的可靠性）、链路的可靠性和网络的可靠性等方面提出了更高的要求。网络性能的需求: 一个好的网络不仅可用，而且要好用，不仅要避免数据中心服务器的负载不均衡，确保校园内网服务器访问的高性能，同时为避免在校网出口实现发生拥塞，须使用户业务均衡地分流到不同的ISP,从而保证用户的上网速度。网络安全的需求: 网络安全包括网络级、系统级、用户级、应用级的安全，在网络级，需要利用防火墙的过滤与隔离功能，将信任网络（校园内网）和不信任的网络（*）隔离开来，并利用防火墙的NAT(网络地址转换)功能，对外屏蔽校园内网的网络拓扑信息，从而避免校园网受到外来攻击。在网络内部，根据用户的网络使用需求，将用户和网络资源划分为不同的VLAN，在VLAN间根据需求启用相应的ACL(访问控制列表)，从而保证用户的物理隔离和资源访问的安全。
网络服务质量的需求: 网络中承载着网页浏览、文件传输、IP语音、网络多媒体教学、VOD点播、视频会议等各种业务，这些业务由于其自身特点和实现方式都对网络资源都有不同的要求（带宽、时延、抖动等），网络基础设施必须能够识别不同的业务并进行区分服务。用户管理的需求：用户接入认证的需求，保证合法的用户接入和对网络资源安全使用；对用户带宽进行控制的需求，要求设备能对用户的带宽进行控制，譬如*为64K 、256K、512K、1M、2M、5M、10M等等级。资源管理的需求：避免IP/MAC地址盗用，实现IP地址分配管理，实现用户对网络资源的区别访问。业务管理的需求：门户网站访问的*以及 门户网站访问上网日志的需求，主要是配合*机关保证社会的稳定和校园的安全。组播的需求：随着校园信息化的深入，多媒体教学、VOD点播、视频会议等应用的规模展开，组播的应用能够在提供高质量服务的同时有效地利用带宽。扩展性的需求:网络必须能够扩展以适应用户以及业务的发展并保护用户的投资。可增值的需求：网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础，可考虑在开通多种服务后开展运营计费。
基于高速有线校园网的无线校园网，是高校当前信息化基础建设的一个新方向。随着无线技术的进步，教育需求和资源的变化、发展，无线系统正逐渐成为不少发达国家教育机构、院校或部门的重要组成部分。北京众诚天合公司看到特别是在美国、加拿大、澳大利亚、日本等国，无线校园已经成为提升教学环境品质，提高教育资源利用率，增加教育灵活性和交流性的重要方式。国外的无线校园在改善校园的教育质量、扩大教育影响力、促进学术研究等方面有着明显的正面作用，甚至在部分院校中已经成为某些学科主要的教学平台。我国无线校园网络的建设较国外起步较晚，但发展仍然相当迅速。Winncam无线接入点设备将逐步适应校园网、公寓楼无线热点覆盖等环境。目前，我国15．1%的高校已建有无线校园网，36．2%的高校计划建设无线校园网。
网桥的功能在延长网络跨度上类似于中继器，然而它能提供智能化连接服务，即根据帧的终点地址处于哪一网段来进行转发和滤除。网桥对站点所处网段的了解是靠“自学习”实现的，有透明网桥、转换网桥、封装网桥、源路由选择网桥。
当使用网桥连接两段LAN 时，网桥对来自网段1 的MAC 帧，首先要检查其终点地址。如果该帧是发往网段1 上某一站的，网桥则不将帧转发到网段2 ，而将其滤除；如果该帧是发往网段2 上某一站的，网桥则将它转发到网段2，这表明，如果LAN1和LAN2上各有一对用户在本网段上同时进行通信，显然是可以实现的。 因为网桥起到了隔离作用。可以看出，网桥在一定条件下具有增加网络带宽的作用。
网桥的存储和转发功能与中继器相比有优点也有缺点，其优点是：
使用网桥进行互连克服了物理*，这意味着构成LAN 的数据站总数和网段数很容易扩充。
网桥纳入存储和转发功能可使其适应于连接使用不同MAC 协议的两个LAN，因而构成一个不同LAN 混连在一起的混合网络环境。
网桥的中继功能仅仅依赖于MAC 帧的地址，因而对高层协议完全透明。
网桥将一个较大的LAN 分成段，有利于改善可靠性、可用性和安全性。
网桥的主要缺点是：由于网桥在执行转发前先接收帧并进行缓冲，与中继器相比会引入更多时延。由于网桥不提供流控功能，因此在流量较大时有可能使其过载，从而造成帧的丢失。
网桥的优点多于缺点正是其广泛使用的原因。
网桥工作在数据链路层，将两个LAN连起来，根据MAC地址来转发帧，可以看作一个“低层的路由器”（路由器工作在网络层，根据网络地址如IP地址进行转发）。
远程网桥通过一个通常较慢的链路（如电话线）连接两个远程LAN，对本地网桥而言，性能比较重要，而对远程网桥而言，在长距离上可正常运行是更重要的。
网桥与路由器的比较
网桥并不了解其转发帧中高层协议的信息，这使它可以同时以同种方式处理IP、IPX等协议，它还提供了将无路由协议的网络（如NetBEUI）分段的功能。
由于路由器处理网络层的数据，因此它们更容易互连不同的数据链路层，如令牌环网段和以太网段。网桥通常比路由器难控制。像IP等协议有复杂的路由协议，使网管易于管理路由；IP等协议还提供了较多的网络如何分段的信息（即使其地址也提供了此类信息）。而网桥则只用MAC地址和物理拓扑进行工作。因此网桥一般适于小型较简单的网络。

热心网友 时间：2022-04-13 23:59

转贴：
网桥工作在数据链路层，将两个LAN连起来，根据MAC地址来转发帧，可以看作一个“低层的路由器”（路由器工作在网络层，根据网络地址如IP地址进行转发）。

远程网桥通过一个通常较慢的链路（如电话线）连接两个远程LAN，对本地网桥而言，性能比较重要，而对远程网桥而言，在长距离上可正常运行是更重要的。

网桥与路由器的比较

网桥并不了解其转发帧中高层协议的信息，这使它可以同时以同种凡是处理IP、IPX等协议，它还提供了将无路由协议的网络（如NetBEUI）分段的功能。

由于路由器处理网络层的数据，因此它们更容易互连不同的数据链路层，如令牌环网段和以太网段。网桥通常比路由器难控制。象IP等协议有复杂的路由协议，使网管易于管理路由；IP等协议还提供了较多的网络如何分段的信息（即使其地址也提供了此类信息）。而网桥则只用MAC地址和物理拓扑进行工作。因此网桥一般适于小型较简单的网络。网桥的基本工作原理
数据链路层互联的设备是网桥(bridge),在网络互联中它起到数据接收、地址过滤与数据转发的作用，用来实现多个网络系统之间的数据交换。
网桥的基本特征
1.网桥在数据链路层上实现局域网互连；
2.网桥能够互连两个采用不同数据链路层协议、不同传输介质与不同传输速率的网络；
3.网桥以接收、存储、地址过滤与转发的方式实现互连的网络之间的通信；
4.网桥需要互连的网络在数据链路层以上采用相同的协议；
5.网桥可以分隔两个网络之间的广播通信量，有利于改善互连网络的性能与安全性。

热心网友 时间：2022-04-14 02:57

网桥，这个名词听起来好像既熟悉又陌生，它到底是什么呢？其实网桥是一种连接局域网 (LAN) 段的廉价而便捷的方法。若要了解网桥如何工作，则需要首先了解 LAN 段。LAN 段是连接计算机的网络媒体的单个部分。例如，假设您有三台计算机：计算机 A、计算机 B 和计算机 C。计算机 A 有两个以太网卡，而计算机 B 和 C 各有一个以太网卡。连接 A 和 B 的以太网电缆将创建一个 LAN 段。另一个连接 A 和 C 的以太网电缆将创建另一个 LAN 段。
传统上，如果您需要网络具有多个段，则您有两个选择：路由和桥接。IP 路由是连接网络段的常用解决方案。但是，若要安装 IP 路由，则需要购买硬件路由器或在段之间的交接处安装计算机以用作路由器。对于每个网络段上的每台计算机而言，IP 路由都要求对 IP 寻址进行复杂配置，而且每个网络段都需要配置为独立的子网。IP 路由是适合于大型网络的解决方案，此时可缩放性很重要，而且需要经验丰富的人员配置和维护网络。硬件桥接解决方案不一定像 IP 路由一样进行复杂配置，但是它需要购买额外的硬件桥。如果是家庭或小型办公网络，则这两个选择都不理想，您既不愿意购买昂贵的搭桥硬件，也不愿意请有经验的人员管理 IP 路由网络。
相反，网桥允许通过选择适当的网络连接图标并单击"桥接"，连接 LAN 段。相似的按钮允许您启用桥并将连接添加到该桥。网桥管理整个网络的 LAN 段并创建单个子网。不需要进行配置，不需要购买额外的硬件（如路由器或桥）。在单个子网 IP 网络中，IP 寻址、地址分配和名称解析将被高度简化。
网桥可以在不同类型的网络媒体之间创建连接。在传统网络中，如果使用混合媒体类型，则每种媒体都需要一个单独子网，而且需要在多个网络子网间进行数据包转发。因为不同的媒体类型要使用不同的协议，所以需要进行数据包转发。"网桥"自动进行所需的配置，以将信息从一种媒体类型转发到另一种类型。
Windows XP 计算机上只能存在一个桥，但可以使用它来桥接所有计算机实际允许的网络连接。
"网桥"使用 IEEE 跨越树算法 (STA) 建立无循环转发拓扑。当已搭桥网络中存在多条路径时，循环可以形成，而且桥的简单转发规则将导致转发风暴，即同一帧将从一条桥到另一条桥进行无止境的中继。STA 提供自动机制以便在必要时选择性地禁用单个端口上的桥转发，以确保转发拓扑是非循环的。对于跨越树算法而言，不必配置网桥。
一、创建网桥：
1．打开"网络连接"（ 要打开"网络连接"，请单击"开始"，指向"设置"，然后双击"控制面板"，单击"网络和 Internet 连接"，然后单击"网络连接"）。
2．在"LAN 或高速 Internet"下，选择要将其作为桥的各个部分的每个专用网络连接。
3．右键单击突出显示的专用网络连接之一，然后单击"桥接"。
二、将连接添加到网桥
1．打开" 网络连接"。
2．在"网桥"下，右键单击"网桥"，然后单击"属性"。
3.在"常规"选项卡的"适配器"下，选择要添加到桥的每个适配器的复选框，然后单击"确定"。
三、启用或禁用网桥
1．打开 网络连接。
2．在"网桥"下，右键单击"网桥"，然后选择下面的一项操作：
3．若要启用"网桥"，请单击"启用"。
4．若要禁用"网桥"，请单击"禁用"。
四、从网桥删除连接
1．打开 网络连接。
2．在"网桥"下，右键单击"网桥"，然后单击"属性"。
3．在"常规"选项卡的"适配器"下，选择要删除的适配器旁边的复选框，然后单击"确定"。
但是，在这里要注意以下几个方面：必须以管理员或 Administrators 组成员身份登录才能完成该过程。如果计算机与网络连接，则网络策略设置也可以阻止您完成此步骤；必须至少选择两个合格的网络连接才能使用"桥接"创建桥；已启用 Internet 连接共享 (ICS) 或 Internet 连接防火墙 (ICF) 的适配器不能成为网桥的一部分，也不会出现在网桥清单中。同样，"添加到桥"菜单命令只适用于可作为连接添加到网桥的适配器；只有以太网、IEEE-1394 适配器或者诸如无线这样的以太网兼容适配器，以及家庭电话线适配器 (HPNA) 才可以成为网桥的一部分；如果没有启用 ICF 或 Internet 连接共享 (ICS)，请不要在公用 Internet 连接和专用网络连接之间创建桥，或者将公用 Internet 连接添加到现有网桥。这样做将在您的网络和 Internet 之间创建不受保护的链接，因此您的网络容易受到攻击；一台计算机上只能创建一个网桥，不过该桥可以容纳无数网络连接；无法在运行 Windows 2000 或更早版本 Windows 的计算机上创建桥接；如果从网桥删除了适配器，而且保留的适配器不足两个，则网桥不会执行预期的功能，不过将继续使用系统资源；当以前显示在"LAN 或高速 Internet"下的网络适配器添加为连接时，它将出现在"网桥"下。提供 Internet 连接的网络适配器（如 DSL 和电缆调制解调器）不能被桥接，而且将始终出现在"LAN 或高速 Internet"下；在启用网桥前，必须使用"桥接"创建网桥；如果禁用网桥，则网络上的计算机将无法与其他网络段上的计算机通讯。网络上的某些计算机还可能中断 Internet 连接；如果从网桥删除了适配器，而且保留的适配器不足两个，则网桥不会执行预期的功能，不过将继续使用系统资源；至少必须有两个适配器连接到桥才能保证其功能；如果打开了"网络连接"文件夹，也可以从网桥删除网络连接，在"网桥"下，右键单击要删除的适配器，然后单击"从网桥删除"；如果从网桥删除适配器，而且保留的适配器不足两个，则网桥不会执行预期的功能，不过将继续使用系统资源。使用无线或 IEEE-1394 连接的网桥只支持使用网际协议版本 4 (IPv4) 的通信；Internet 连接共享、Internet 连接防火墙、发现和控制，以及网桥在 Windows XP 64-Bit Edition 中都是可用的。
那么网桥到底能够达到何种效果和有何应用价值呢？其实通过网桥可以进行网桥的组策略，其大意就是"网桥"使计算机管理员可跨两个或多个网络连接创建桥，使网络通信可通过桥中包括的所有网络连接，就好像所有这些连接都是同一网络子网的一部分。"组策略"设置将定义系统管理员需要管理的用户桌面环境的各种组件。禁止在您的 DNS 域网络上安装和配置，使用网桥确定具有管理权限的计算机用户是否可在 DNS 域网络上启用"网桥"。
只有存在两个或多个网络适配器时，"网桥"菜单命令"桥接"才是可用的。默认情况下，"网桥"被禁用，但是管理员可以使用网络连接图标上的菜单启用它。如果启?quot;禁止在您的 DNS 域网络上安装，配置，使用网桥"设置以禁止在域网络上使用"网桥"，则因为"桥接"命令已从网络连接图标的菜单上删除，所以无法创建"网桥"。禁止权限有限的计算机用户配置"网桥"，而不管该设置是什么。
如果在启用该策略前网络上的计算机中已经存在"网桥"，则因为该设置知道位置，所以此桥将继续存在。只有当计算机连接到该设置最后一次刷新时所连接到的同一 DNS 域网络时，才应用该设置。

热心网友 时间：2022-04-14 06:12

一、什么是网桥？

网桥工作在数据链路层，将两个LAN连起来，根据MAC地址来转发帧，可以看作一个“低层的路由器”（路由器工作在网络层，根据网络地址如IP地址进行转发）。

[img:a134876636]http://www.douzhe.com/blog/get/3/osi--device.jpg[/img:a134876636]
图一连接设备与OSI协议栈

远程网桥通过一个通常较慢的链路（如电话线）连接两个远程LAN，对本地网桥而言，性能比较重要，而对远程网桥而言，在长距离上可正常运行是更重要的。

网桥与路由器的比较

网桥并不了解其转发帧中高层协议的信息，这使它可以同时以同种凡是处理IP、IPX等协议，它还提供了将无路由协议的网络（如NetBEUI）分段的功能。

由于路由器处理网络层的数据，因此它们更容易互连不同的数据链路层，如令牌环网段和以太网段。网桥通常比路由器难控制。象IP等协议有复杂的路由协议，使网管易于管理路由；IP等协议还提供了较多的网络如何分段的信息（即使其地址也提供了此类信息）。而网桥则只用MAC地址和物理拓扑进行工作。因此网桥一般适于小型较简单的网络。

二、使用原因

许多单位都有多个局域网，并且希望能够将它们连接起来。之所以一个单位有多个局域网，有以下6个原因：

首先，许多大学的系或公司的部门都有各自的局域网，主要用于连接他们自己的个人计算机、工作站以及服务器。由于各系（或部门）的工作性质不同，因此选用了不同的局域网，这些系（或部门）之间早晚需相互交往，因而需要网桥。

其次，一个单位在地理位置上较分散，并且相距较远，与其安装一个遍布所有地点的同轴电缆网，不如在各个地点建立一个局域网，并用网桥和红外链路连接起来，这样费用可能会低一些。

第3，可能有必要将一个逻辑上单一的LAN分成多个局域网，以调节载荷。例如采用由网桥连接的多个局域网，每个局域网有一组工作站，并且有自己的文件服务器，因此大部分通信限于单个局域网内，减轻了主干网的负担。

第4，在有些情况下，从载荷上看单个局域网是毫无问题的，但是相距最远的机器之间的物理距离太远（比如超过802.3所规定的2.5km）。即使电缆铺设不成问题，但由于来回时延过长，网络仍将不能正常工作。唯一的办法是将局域网分段，在各段之间放置网桥。通过使用网桥，可以增加工作的总物理距离。

第5，可靠性问题。在一个单独的局域网中，一个有缺陷的节点不断地输出无用的信息流会严重地破坏局域网的运行。网桥可以设置在局域网中的关键部位，就像建筑物内的放火门一样，防止因单个节点失常而破坏整个系统。

第6，网桥有助于安全保密。大多数LAN接口都有一种混杂工作方式(promiscuousmode)，在这种方式下，计算机接收所有的帧，包括那些并不是编址发送给它的帧。如果网中多处设置网桥并谨慎地拦截无须转发的重要信息，那么就可以把网络分隔以防止信息被窃。

三、兼容性问题

有人可能会天真地认为从一个802局域网到另一个802局域网的网桥非常简单，但实际上并非如此。在802.x到802.y的九种组合中，每一种都有它自己的特殊问题要解决。在讨论这些特殊问题之前，先来看一看这些网桥共同面临的一般性问题。

首先，各种局域网采用了不同的帧格式。这种不兼容性并不是由技术上的原因造成的，而仅仅是由于支持三种标准的公司(Xerox,GM和IBM)，没有一家愿意改变自己所支持的标准。其结果是：在不同的局域网间复制帧要重排格式，这需要占用CPU时间，重新计算校验和，而且还有可能产生因网桥存储错误而造成的无法检测的错误。

第二个问题是互联的局域网并非必须按相同的数据传输速率运行。当快速的局域网向慢速的局域网发送一长串连续帧时，网桥处理帧的速度要比帧进入的速度慢。网桥必须用缓冲区存储来不及处理的帧，同时还得提防耗尽存储器。即使是10Mb/s的802.4到10Mb/s的802.3的网桥，在某种程度上也存在这样的问题。因为802.3的部分带宽耗费于冲突。802.3实际上并不是真的10Mb/s，而802.4(几乎)确实为10Mb/s。

与网桥瓶颈问题相关的一个细微而重要的问题是其上各层的计时器值。假如802.4局域网上的网络层想发送一段很长的报文(帧序列)。在发出最后一帧之后，它开启一个计时器，等待确认。如果此报文必须通过网桥转到慢速的802.5网络，那么在最后一帧被转发到低速局域网之前，计时器就有可能时间到。网络层可能会以为帧丢失而重新发送整个报文。几次传送失败后，网络层就会放弃传输并告诉传输层目的站点已经关机。

第三，在所有的问题中，可能最为严重的问题是三种802LAN有不同的最大帧长度。对于802.3，最大帧长度取决于配置参数，但对标准的10M/bs系统最大有效载荷为1500字节。802.4的最大帧长度固定为8191字节。802.5没有上限，只要站点的传输时间不超过令牌持有时间。如果令牌时间缺省为10ms，则最大帧长度为5000字节。一个显而易见的问题出现了：当必须把一个长帧转发给不能接收长帧的局域网时，将会怎么样？在本层中不考虑把帧分成小段。所有的协议都假定帧要么到达要么没有到达，没有条款规定把更小的单位重组成帧。这并不是说不能设计这样的协议，可以设计并已有这种协议，只是802不提供这种功能。这个问题基本上无法解决，必须丢弃因太长而无法转发的帧。其透明程度也就这样了。

由于各种802LAN的特殊性，如：802.4帧带有优先权位、802.5帧字节中有A和C位等，九种网桥都有其特殊的问题，见下表：

[img:a134876636]http://www.douzhe.com/blog/get/3/table.jpg[/img:a134876636]

1、重新格式化帧，并计算新的校验和。
2、反转比特顺序。
3、复制优先权值，不管有无意义。
4、产生一个假想的优先权。
5、丢弃优先权。
6、流向环（某种程度上）。
7、设置A位和C位。
8、担心拥塞（快速LAN至慢速LAN）。
9、担心令牌因为交换ACK延迟或不可能而脱手。
10、如果帧对目的LAN太长，则将其丢弃。

设定的参数：
802.3：1500字节帧10Mb/s(减去碰撞次数)
802.4：8191字节帧10Mb/s
802.5：5000字节帧4Mb/s
当IEEE802委员会开始制订LAN标准时，未能商定一个统一的标准，却产生了3个互不兼容的标准，这一失策已受到了严厉的抨击。后来，在制定互联这3种LAN的网桥的标准时，该委员会决心干得好一些。这一次确实较为成功，他们提出了2种互不兼容的网桥方案。直到目前为止，还无人要求该委员会制订连接它的2个不兼容网桥的网关标准。

--------------------------------------------------------------------------------
mazu 回复于：2004-09-21 15:47:50
四、两种网桥

1、透明网桥

第一种802网桥是透明网桥(transparentbridge)或生成树网桥(spanningtreebridge)。支持这种设计的人首要关心的是完全透明。按照他们的观点，装有多个LAN的单位在买回IEEE标准网桥之后，只需把连接插头插入网桥，就万事大吉。不需要改动硬件和软件，无需设置地址开关，无需装入路由表或参数。总之什么也不干，只须插入电缆就完事，现有LAN的运行完全不受网桥的任何影响。这真是不可思议，他们最终成功了。

透明网桥以混杂方式工作，它接收与之连接的所有LAN传送的每一帧。当一帧到达时，网桥必须决定将其丢弃还是转发。如果要转发，则必须决定发往哪个LAN。这需要通过查询网桥中一张大型散列表里的目的地址而作出决定。该表可列出每个可能的目的地，以及它属于哪一条输出线路(LAN)。在插入网桥之初，所有的散列表均为空。由于网桥不知道任何目的地的位置，因而采用扩散算法(floodingalgorithm)：把每个到来的、目的地不明的帧输出到连在此网桥的所有LAN中（除了发送该帧的LAN）。随着时间的推移，网桥将了解每个目的地的位置。一旦知道了目的地位置，发往该处的帧就只放到适当的LAN上，而不再散发。

透明网桥采用的算法是逆向学习法(backwardlearning)。网桥按混杂的方式工作，故它能看见所连接的任一LAN上传送的帧。查看源地址即可知道在哪个LAN上可访问哪台机器，于是在散列表中添上一项。

当计算机和网桥加电、断电或迁移时，网络的拓扑结构会随之改变。为了处理动态拓扑问题，每当增加散列表项时，均在该项中注明帧的到达时间。每当目的地已在表中的帧到达时，将以当前时间更新该项。这样，从表中每项的时间即可知道该机器最后帧到来的时间。网桥中有一个进程定期地扫描散列表，清除时间早于当前时间若干分钟的全部表项。于是，如果从LAN上取下一台计算机，并在别处重新连到LAN上的话，那么在几分钟内，它即可重新开始正常工作而无须人工干预。这个算法同时也意味着，如果机器在几分钟内无动作，那么发给它的帧将不得不散发，一直到它自己发送出一帧为止。

到达帧的路由选择过程取决于发送的LAN(源LAN)和目的地所在的LAN(目的LAN)，如下所示：

1、如果源LAN和目的LAN相同，则丢弃该帧。
2、如果源LAN和目的LAN不同，则转发该帧。
3、如果目的LAN未知，则进行扩散。
为了提高可靠性，有人在LAN之间设置了并行的两个或多个网桥，但是，这种配置引起了另外一些问题，因为在拓扑结构中产生了回路，可能引发无限循环。其解决方法就是下面要讲的生成树(spanningtree)算法。

生成树网桥

解决上面所说的无限循环问题的方法是让网桥相互通信，并用一棵到达每个LAN的生成树覆盖实际的拓扑结构。使用生成树，可以确保任两个LAN之间只有唯一一条路径。一旦网桥商定好生成树，LAN间的所有传送都遵从此生成树。由于从每个源到每个目的地只有唯一的路径，故不可能再有循环。

为了建造生成树，首先必须选出一个网桥作为生成树的根。实现的方法是每个网桥广播其序列号（该序列号由厂家设置并保证全球唯一），选序列号最小的网桥作为根。接着，按根到每个网桥的最短路径来构造生成树。如果某个网桥或LAN故障，则重新计算。

网桥通过BPDU(BridgeProtocolDataUnit)互相通信，在网桥做出配置自己的决定前，每个网桥和每个端口需要下列配置数据：

网桥：网桥ID(唯一的标识)
端口：端口ID(唯一的标识)
端口相对优先权
各端口的花费(高带宽=低花费)

配置好各个网桥后，网桥将根据配置参数自动确定生成树，这一过程有三个阶段：

1、选择根网桥
具有最小网桥ID的网桥被选作根网桥。网桥ID应为唯一的，但若两个网桥具有相同的最小ID，则MAC地址小的网桥被选作根。

2、在其它所有网桥上选择根端口
除根网桥外的各个网桥需要选一个根端口，这应该是最适合与根网桥通信的端口。通过计算各个端口到根网桥的花费，取最小者作为根端口。

3、选择每个LAN的“指定(designated)网桥”和“指定端口”
如果只有一个网桥连到某LAN，它必然是该LAN的指定网桥，如果多于一个，则到根网桥花费最小的被选为该LAN的指定网桥。指定端口连接指定网桥和相应的LAN(如果这样的端口多于一个，则低优先权的被选)。
一个端口必须为下列之一：

1、根端口
2、某LAN的指定端口
3、阻塞端口
当一个网桥加电后，它假定自己是根网桥，发送出一个CBPDU(ConfigurationBridgeProtocolDataUnit)，告知它认为的根网桥ID。一个网桥收到一个根网桥ID小于其所知ID的CBPDU，它将更新自己的表，如果该帧从根端口(上传)到达，则向所有指定端口(下传)分发。当一个网桥收到一个根网桥ID大于其所知ID的CBPDU，该信息被丢弃，如果该帧从指定端口到达，则回送一个帧告知真实根网桥的较低ID。

当有意地或由于线路故障引起网络重新配置，上述过程将重复，产生一个新的生成树。

2、源路由选择网桥

透明网桥的优点是易于安装，只需插进电缆即大功告成。但是从另一方面来说，这种网桥并没有最佳地利用带宽，因为它们仅仅用到了拓扑结构的一个子集(生成树)。这两个（或其他）因素的相对重要性导致了802委员会内部的*。支持CSMA/CD和令牌总线的人选择了透明网桥，而令牌环的支持者则偏爱一种称为源路由选择(sourcerouting)的网桥（受到IBM的鼓励）。

源路由选择的核心思想是假定每个帧的发送者都知道接收者是否在同一LAN上。当发送一帧到另外的LAN时，源机器将目的地址的高位设置成1作为标记。另外，它还在帧头加进此帧应走的实际路径。

源路由选择网桥只关心那些目的地址高位为1的帧，当见到这样的帧时，它扫描帧头中的路由，寻找发来此帧的那个LAN的编号。如果发来此帧的那个LAN编号后跟的是本网桥的编号，则将此帧转发到路由表中自己后面的那个LAN。如果该LAN编号后跟的不是本网桥，则不转发此帧。这一算法有3种可能的具体实现：软件、硬件、混合。这三种具体实现的价格和性能各不相同。第一种没有接口硬件开销，但需要速度很快的CPU处理所有到来的帧。最后一种实现需要特殊的VLSI芯片，该芯片分担了网桥的许多工作，因此，网桥可以采用速度较慢的CPU，或者可以连接更多的LAN。

源路由选择的前提是互联网中的每台机器都知道所有其他机器的最佳路径。如何得到这些路由是源路由选择算法的重要部分。获取路由算法的基本思想是：如果不知道目的地地址的位置，源机器就发布一广播帧，询问它在哪里。每个网桥都转发该查找帧(discoveryframe)，这样该帧就可到达互联网中的每一个LAN。当答复回来时，途经的网桥将它们自己的标识记录在答复帧中，于是，广播帧的发送者就可以得到确切的路由，并可从中选取最佳路由。

虽然此算法可以找到最佳路由（它找到了所有的路由），但同时也面临着帧爆炸的问题。透明网桥也会发生有点类似的状况，但是没有这么严重。其扩散是按生成树进行，所以传送的总帧数是网络大小的线性函数，而不象源路由选择是指数函数。一旦主机找到至某目的地的一条路由，它就将其存入到高速缓冲器之中，无需再作查找。虽然这种方法大大遏制了帧爆炸，但它给所有的主机增加了事务性负担，而且整个算法肯定是不透明的。

3、两种网桥的比较

[img:4f68bde7af]http://www.douzhe.com/blog/get/3/brige%20compare.jpg[/img:4f68bde7af]

透明网桥一般用于连接以太网段，而源路由选择网桥则一般用于连接令牌环网段。

五、远程网桥

网桥有时也被用来连接两个或多个相距较远的LAN。比如，某个公司分布在多个城市中，该公司在每个城市中均有一个本地的LAN，最理想的情况就是所有的LAN均连接起来，整个系统就像一个大型的LAN一样。

该目标可通过下述方法实现：每个LAN中均设置一个网桥，并且用点到点的连接（比如租用电话公司的电话线）将它们两个两个地连接起来。点到点连线可采用各种不同的协议。办法之一就是选用某种标准的点到点数据链路协议，将完整的MAC帧加到有效载荷中。如果所有的LAN均相同，这种办法的效果最好，它的唯一问题就是必须将帧送到正确的LAN中。另一种办法是在源网桥中去掉MAC的头部和尾部，并把剩下的部分加到点到点协议的有效载荷中，然后在目的网桥中产生新的头部和尾部。它的缺点是到达目的主机的校验和并非是源主机所计算的校验和，因此网桥存储器中某位损坏所产生的错误可能不会被检测到。

--------------------------------------------------------------------------------
mazu 回复于：2004-09-21 16:10:35
[size=24:b937eb119c][b:b937eb119c]网关[/b:b937eb119c][/size:b937eb119c]

网关曾经是很容易理解的概念。在早期的因特网中，术语网关即指路由器。路由器是网络中超越本地网络的标记，这个走向未知的“大门”曾经、现在仍然用于计算路由并把分组数据转发到源始网络之外的部分，因此，它被认为是通向因特网的大门。随着时间的推移，路由器不再神奇，公共的基于IP的广域网的出现和成熟促进了路由器的成长。现在路由功能也能由主机和交换集线器来行使，网关不再是神秘的概念。现在，路由器变成了多功能的网络设备，它能将局域网分割成若干网段、互连私有广域网中相关的局域网以及将各广域网互连而形成了因特网，这样路由器就失去了原有的网关概念。然而术语网关仍然沿用了下来，它不断地应用到多种不同的功能中，定义网关已经不再是件容易的事。目前，主要有三种网关：

协议网关
应用网关
安全网关
唯一保留的通用意义是作为两个不同的域或系统间中介的网关，要克服的差异本质决定了需要的网关类型。

一、协议网关

协议网关通常在使用不同协议的网络区域间做协议转换。这一转换过程可以发生在OSI参考模型的第2层、第3层或2、3层之间。但是有两种协议网关不提供转换的功能：安全网关和管道。由于两个互连的网络区域的逻辑差异，安全网关是两个技术上相似的网络区域间的必要中介。如私有广域网和公有的因特网。这一特例在后续的“组合过滤网关”中讨论，此部分中集中于实行物理的协议转换的协议网关。

1、管道网关

管道是通过不兼容的网络区域传输数据的比较通用的技术。数据分组被封装在可以被传输网络识别的帧中，到达目的地时，接收主机解开封装，把封装信息丢弃，这样分组就被恢复到了原先的格式。例如在下图中，IPv4数据由路由器A封装在IPv6分组中，通过IPv6网络传递给一个IPv4主机，路由器解开IPv6的封装，把还原的IPv4数据传递给目的主机。

[img:b937eb119c]http://www.douzhe.com/blog/get/3/网关1.jpg[/img:b937eb119c]

管道技术只能用于3层协议，从SNA到IPv6。虽然管道技术有能够克服特定网络拓扑*的优点，它也有缺点。管道的本质可以隐藏不该接受的分组，简单来说，管道可以通过封装来攻破防火墙，把本该过滤掉的数据传给私有的网络区域。

2、专用网关

很多的专用网关能够在传统的大型机系统和迅速发展的分布式处理系统间建立桥梁。典型的专用网关用于把基于PC的客户端连到局域网边缘的转换器。该转换器通过X.25网络提供对大型机系统的访问。下图演示了从PC客户端到网关的过程，网关将IP数据通过X.25广域网传送给大型机。

[img:b937eb119c]http://www.douzhe.com/blog/get/3/网关2.jpg[/img:b937eb119c]

这些网关通常是需要安装在连接到局域网的计算机上的便宜、单功能的电路板，这使其价格很低且很容易升级。在上图的例子中，该单功能的网关将大型机时代的硬连线的终端和终端服务器升级为PC机和局域网。

3、2层协议网关

2层协议网关提供局域网到局域网的转换，它们通常被称为翻译网桥而不是协议网关。在使用不同帧类型或时钟频率的局域网间互连可能就需要这种转换。

(1)帧格式差异

IEEE802兼容的局域网共享公共的介质访问层，但是它们的帧结构和介质访问机制使它们不能直接互通。如下图：

[img:b937eb119c]http://www.douzhe.com/blog/get/3/网关3.jpg[/img:b937eb119c]

翻译网桥利用了2层的共同点，如MAC地址，提供帧结构不同部分的动态翻译，使它们的互通成为了可能。第一代局域网需要独立的设备来提供翻译网桥，如今的多协议交换集线器通常提供高带宽主干，在不同帧类型间可作为翻译网桥，如下图所示：

[img:b937eb119c]http://www.douzhe.com/blog/get/3/网关4.jpg[/img:b937eb119c]

现在翻译网桥的幕后性质使这种协议转换变得模糊，独立的翻译设备不再需要，多功能交换集线器天生就具有2层协议转换网关的功能。

替代使用仅涉及2层的设备如翻译网桥或多协议交换集线器的另一种选择是使用3层设备：路由器。长期以来路由器就是局域网主干的重要组成部分，见下图。如果路由器用于互连局域网和广域网，它们通常都支持标准的局域网接口，经过适当的配置，路由器很容易提供不同帧类型的翻译。这种方案的缺点是如果使用3层设备路由器需要表查询，这是软件功能，而象交换机和集线器等2层设备的功能由硬件来实现，从而可以运行得更快。

[img:b937eb119c]http://www.douzhe.com/blog/get/3/网关5.jpg[/img:b937eb119c]

(2)传输率差异

很多过去的局域网技术已经提升了传输速率，例如，IEEE802.3以太网现在有10Mbps、100Mbps和1bps的版本，它们的帧结构是相同的，主要的区别在于物理层以及介质访问机制，在各种区别中，传输速率是最明显的差异。令牌环网也提升了传输速率，早期版本工作在4Mbps速率下，现在的版本速率为16Mbps，100Mbps的FDDI是直接从令牌环发展来的，通常用作令牌环网的主干。这些仅有时钟频率不同的局域网技术需要一种机制在两个其它方面都兼容的局域网间提供缓冲的接口，现今的多协议、高带宽的交换集线器提供了能够缓冲速率差异的健壮的背板，如下图：
[img:b937eb119c]http://www.douzhe.com/blog/get/3/网关6.jpg[/img:b937eb119c]

如今的多协议局域网可以为同一局域网技术的不同速率版本提供内部速率缓冲，还可以为不同的802兼容的局域网提供2层帧转换。路由器也可以做速率差异的缓冲工作，它们相对于交换集线器的长处是它们的内存是可扩展的。其内存缓存进入和流出分组到一定程度以决定是否有相应的访问列表（过滤）要应用，以及决定下一跳，该内存还可以用于缓存可能存在于各种网络拓扑间的速率差异，如下图：

[img:b937eb119c]http://www.douzhe.com/blog/get/3/网关7.jpg[/img:b937eb119c]

--------------------------------------------------------------------------------
mazu 回复于：2004-09-21 16:22:51
二、应用网关

应用网关是在使用不同数据格式间翻译数据的系统。典型的应用网关接收一种格式的输入，将之翻译，然后以新的格式发送，如下图。输入和输出接口可以是分立的也可以使用同一网络连接。
[img:43835c7fde]http://www.douzhe.com/blog/get/3/网关8.jpg[/img:43835c7fde]

一种应用可以有多种应用网关。如Email可以以多种格式实现，提供Email的服务器可能需要与各种格式的邮件服务器交互，实现此功能唯一的方法是支持多个网关接口。下图所示为一个邮件服务器可以支持的几种网关接口。

[img:43835c7fde]http://www.douzhe.com/blog/get/3/GW1.jpg[/img:43835c7fde]

应用网关也可以用于将局域网客户机与外部数据源相连，这种网关为本地主机提供了与远程交互式应用的连接。将应用的逻辑和执行代码置于局域网中客户端避免了低带宽、高延迟的广域网的缺点，这就使得客户端的响应时间更短。应用网关将请求发送给相应的计算机，获取数据，如果需要就把数据格式转换成客户机所要求的格式，见下图所示。

[img:43835c7fde]http://www.douzhe.com/blog/get/3/GW2.jpg[/img:43835c7fde]

本文不对所有的应用网关配置作详尽的描述，这些例子应该概括了应用网关的各种分支。它们通常位于网络数据的交汇点，为了充分地支持这样的交汇点，需要包括局域网、广域网在内的多种网络技术的结合。

三、安全网关

安全网关是各种技术有趣的融合，具有重要且独特的保护作用，其范围从协议级过滤到十分复杂的应用级过滤。防火墙主要有三类：

分组过滤
电路网关
应用网关注意：三种中只有一种是过滤器，其余都是网关。

这三种机制通常结合使用。过滤器是映射机制，可区分合法的和欺骗包。每种方法都有各自的能力和*，要根据安全的需要仔细评价。

1、包过滤器

包过滤是安全映射最基本的形式，路由软件可根据包的源地址、目的地址或端口号建立许可权，对众所周知的端口号的过滤可以阻止或允许网际协议如FTP、rlogin等。过滤器可对进入和/或流出的数据操作，在网络层实现过滤意味着路由器可以为所有应用提供安全映射功能。作为（逻辑意义上的）路由器的常驻部分，这种过滤可在任何可路由的网络中自由使用，但不要把它误解为万能的，包过滤有很多弱点，但总比没有好。

包过滤很难做好，尤其当安全需求定义得不好且不细致的时候更是如此。这种过滤也很容易被攻破。包过滤比较每个数据包，基于包头信息与路由器的访问列表的比较来做出通过/不通过的决定，这种技术存在许多潜在的弱点。首先，它直接依赖路由器管理员正确地编制权限集，这种情况下，拼写的错误是致命的，可以在防线中造成不需要任何特殊技术就可以攻破的漏洞。即使管理员准确地设计了权限，其逻辑也必须毫无破绽才行。虽然设计路由似乎很简单，但开发和维护一长套复杂的权限也是很麻烦的，必须根据防火墙的权限集理解和评估每天的变化，新添加的服务器如果没有明确地被保护，可能就会成为攻破点。

随着时间的推移，访问权限的查找会降低路由器的转发速度。每当路由器收到一个分组，它必须识别该分组要到达目的地需经由的下一跳地址，这必将伴随着另一个很耗费CPU的工作：检查访问列表以确定其是否被允许到达该目的地。访问列表越长，此过程要花的时间就越多。

包过滤的第二个缺陷是它认为包头信息是有效的，无法验证该包的源头。头信息很容易被精通网络的人篡改，这种篡改通常称为“欺骗”。

包过滤的种种弱点使它不足以保护你的网络资源，最好与其它更复杂的过滤机制联合使用，而不要单独使用。

2、链路网关

链路级网关对于保护源自私有、安全的网络环境的请求是很理想的。这种网关拦截TCP请求，甚至某些UDP请求，然后代表数据源来获取所请求的信息。该代理服务器接收对万维网上的信息的请求，并

热心网友 时间：2022-04-14 09:43

1，网关，通过字面意思解释就是网络的关口。从技术角度来解释，就是连接两个不同网络的接口。
比如局域网的共享上网服务器就是局域网和广域网的接口。
网关工作在第三层，并且有不可逆性。也就是说，局域网用户可以通过网关直接访问广域网；而广域网用户却无法通过该网关来直接访问局域网用户，如果想访问，必须另行采用其它技术。

2，网桥，即网络的桥接。也是用来连接两个网络的，但是网桥有一个特点，就是网桥有自己独立的IP地址。既然这样那么它就可以达到路由的作用。也就是说，通过网桥的连接（在设置正确的情况下），可是使两个网络的互相访问是对等的。

热心网友 时间：2022-04-14 13:31

简单的理解就是 交换机的前身，就是一个二层设备，不看IP ，MAC转发 ，其实MAC 也不怎么用到，因为就两个端口！来自：求助得到的回答

热心网友 时间：2022-04-14 17:36

网络就是个大目录
难免有重名的，所以就把一个大目录分成无数个小目录
网关就像是一个传达室，你如果想访问别人的小网络，就得通过网关，否则过不去
这么解释比较清楚了吧

网桥这个概念已经过时了~~

热心网友 时间：2022-04-14 21:57

网关就是网络和网络间的中转。网桥也是，不同点在于网关工作在第三层（或者更高），网桥工作在第二层。

另外，现在几乎没有人用网桥这种产品了。要用就用switch了

热心网友 时间：2022-04-15 02:52

你说的是商桥嘛，这个百度的一个商品吧，用来做产品的推广用的。