網關冗餘協議

1. 怎麼實現網關冗餘

配置HSRP、VRRP或者GLBP
具體怎麼配置，可以網路。
HSRP是cisco私有協議，只有cisco設備支持；VRRP和GLBP是公用協議

2. 華為的VRRP是什麼主要幹些什麼

虛擬路由器冗餘協議nbsp;nbsp;nbsp;（VRRP：Virtualnbsp;Routernbsp;Rendancynbsp;Protocol）nbsp;nbsp;nbsp;虛擬路由器冗餘協議（VRRP）是一種選擇協議，它可以把一個虛擬路由器的責任動態分配到區域網上的nbsp;VRRPnbsp;路由器中的一台。控制虛擬路由器nbsp;IPnbsp;地址的nbsp;VRRPnbsp;路由器稱為主路由器，它負責轉發數據包到這些虛擬nbsp;IPnbsp;地址。一旦主路由器不可用，這種選擇過程就提供了動態的故障轉移機制，這就允許虛擬路由器的nbsp;IPnbsp;地址可以作為終端主機的默認第一跳路由器。使用nbsp;VRRPnbsp;的好處是有更高的默認路徑的可用性而無需在每個終端主機上配置動態路由或路由發現協議。nbsp;VRRPnbsp;包封裝在nbsp;IPnbsp;包中發送。nbsp;nbsp;使用nbsp;VRRPnbsp;，可以通過手動或nbsp;DHCPnbsp;設定一個虛擬nbsp;IPnbsp;地址作為默認路由器。虛擬nbsp;IPnbsp;地址在路由器間共享，其中一個指定為主路由器而其它的則為備份路由器。如果主路由器不可用，這個虛擬nbsp;IPnbsp;地址就會映射到一個備份路由器的nbsp;IPnbsp;地址（這個備份路由器就成為了主路由器）。nbsp;VRRPnbsp;也可用於負載均衡。nbsp;VRRPnbsp;是nbsp;IPv4nbsp;和nbsp;IPv6nbsp;的一部分。nbsp;nbsp;nbsp;VRRP（Virtualnbsp;Routernbsp;Rendancynbsp;Protocol，虛擬路由冗餘協議）是一種容錯協nbsp;nbsp;議。通常，一個網路內的所有主機都設置一條預設路由（如圖3-1所示，10.100.10.1），nbsp;nbsp;這樣，主機發出的目的地址不在本網段的報文將被通過預設路由發往路由器nbsp;nbsp;RouterA，從而實現了主機與外部網路的通信。當路由器RouterAnbsp;壞掉時，本網段nbsp;nbsp;內所有以RouterAnbsp;為預設路由下一跳的主機將斷掉與外部的通信。nbsp;nbsp;VRRPnbsp;就是為解決上述問題而提出的，它為具有多播或廣播能力的區域網（如：以nbsp;nbsp;太網）設計。我們結合下圖來看一下VRRPnbsp;的實現原理。VRRPnbsp;將區域網的一組路nbsp;nbsp;由器（包括一個Masternbsp;即活動路由器和若干個Backupnbsp;即備份路由器）組織成一個nbsp;nbsp;虛擬路由器，稱之為一個備份組。nbsp;nbsp;這個虛擬的路由器擁有自己的IPnbsp;地址10.100.10.1（這個IPnbsp;地址可以和備份組內的nbsp;nbsp;某個路由器的介面地址相同），備份組內的路由器也有自己的IPnbsp;地址（如Masternbsp;nbsp;的IPnbsp;地址為10.100.10.2，Backupnbsp;的IPnbsp;地址為10.100.10.3）。區域網內的主機僅nbsp;nbsp;僅知道這個虛擬路由器的IPnbsp;地址10.100.10.1，而並不知道具體的Masternbsp;路由器的nbsp;nbsp;IPnbsp;地址10.100.10.2nbsp;以及Backupnbsp;路由器的IPnbsp;地址10.100.10.3，它們將自己的預設nbsp;nbsp;路由下一跳地址設置為該虛擬路由器的IPnbsp;地址10.100.10.1。於是，網路內的主機nbsp;nbsp;就通過這個虛擬的路由器來與其它網路進行通信。如果備份組內的Masternbsp;路由器壞nbsp;nbsp;掉，Backupnbsp;路由器將會通過選舉策略選出一個新的Masternbsp;路由器，繼續向網路內nbsp;nbsp;的主機提供路由服務。從而實現網路內的主機不間斷地與外部網路進行通信。nbsp;nbsp;關於VRRPnbsp;協議的詳細信息，可以參考RFCnbsp;2338。nbsp;nbsp;一、nbsp;應用實例nbsp;nbsp;nbsp;最典型的VRRP應用：RTA、RTB組成一個VRRP路由器組，假設RTB的處理能力高於RTA，則將RTB配置成IP地址所有者，H1、H2、H3的默認網關設定為RTB。則RTB成為主控路由器，負責ICMP重定向、ARP應答和IP報文的轉發；一旦RTB失敗，RTA立即啟動切換，成為主控，從而保證了對客戶透明的安全切換。nbsp;nbsp;nbsp;在VRRP應用中，RTA在線時RTB只是作為後備，不參與轉發工作，閑置了路由器RTA和鏈路L1。通過合理的網路設計，可以到達備份和負載分擔雙重效果。讓RTA、RTB同時屬於互為備份的兩個VRRP組：在組1中RTA為IP地址所有者；組2中RTB為IP地址所有者。將H1的默認網關設定為RTA；H2、H3的默認網關設定為RTB。這樣，既分擔了設備負載和網路流量，又提高了網路可靠性。nbsp;nbsp;nbsp;VRRP協議的工作機理與CISCO公司的HSRP（Hotnbsp;Standbynbsp;Routingnbsp;Protocol）有許多相似之處。但二者主要的區別是在CISCO的HSRP中，需要單獨配置一個IP地址作為虛擬路由器對外體現的地址，這個地址不 查看原帖>>

3. 虛擬路由器冗餘協議VRRP的缺陷

做網關冗餘，可以虛擬出一個網關ip地址給下游pc使用。
當有多條冗餘路徑的時候，下游pc的網關地址指定起來比較麻煩，這時候只需要指定虛擬的網關ip，由vrrp協議來選擇流量所使用的網關，可以起到網關自動切換，但下游pc不需要更改網關ip等作用。

4. 兩個核心交換機上，MSTP已經實現了冗餘鏈路的負載均衡和網關備份,為什麼還要VRRP呢

mstp實現"多實例STP「，這個名字可能不標准，是我自己的理解。
其實就是可以實現每內個vlan，單獨運行一個stp，互不幹擾容
很明顯，這是個2層協議的容易，它只能定義root根橋的位置。
而vrrp是3層IP的冗餘，vrrp可以讓一個虛IP，在2個mac地址直接切換，顯然功能上是不一樣的。

如果區域網內沒有三層的數據流，那就沒必要配置vrrp。
如果區域網內沒有二層的數據流，那就沒必要配置mstp
這2個要根據實際情況來看，當然，二層、三層混用的話，還是應該都配起來。

5. 面試網路維護工程師會被問到哪些問題

-物理層

物理層定義了設備介面上的一些電子電氣化的標准，比如RJ45介面，光纖介面。傳輸介質雙絞線，無線，光，電。等

--數據鏈路層

二層定義了一個重要的表示，MAC地址，准確的說他必須在一個LAN內是唯一的。他又48位的十六進制組成，前24位是廠商表示，後24位 是廠商自定義的序列號。有時候 MAC地址就是表示了一個設備的位置。

--網路層

網路層是用來邏輯上選路定址的，這一層最重要的一個協議就是IP協議。基於ip 又分為 ARP,RARP,ICMP,IGMP等

--傳輸層

這一層定義類了 兩個重要的協議 TCP和UDP 。還有就是埠號的概念。這一層關聯的是一個主機上的某個程序或者是服務。比如 tcp 80 的web服務 udp 4000的QQ 程序等。

--會話層

主要作用是建立會話和管理會話。我一般這樣理解 會話的 比如 telnet 一台主機，是一次會話的鏈接。打開網路的網頁，就和網路的伺服器建立了一次會話。

--表示層

因為底層傳輸的是二進制，應用層無法直接識別。所以根據這一層的名字可以直接理解為他是一個翻譯。比如把一長串的數據「翻譯」成rmvb格式，交給上層的 快播 這個程序，把另一串數據「翻譯成」MP3格式交給 音樂播放器。其實這一層的工作很多。

壓縮，解壓縮，加密，解密等

--應用層

為用戶提供了一個可以操所的界面，如windows的桌面化或UNIX的字元界面。

OSI七層的每一層是獨立工作的，但是層與層之間是相互「合作」「兼容」的關系。

1.2 [三層交換和路由器的不同]

雖說三層交換機和路由器都可以工作在三層，但本質上還是有所區別。

一 在設計的功能上不同

現在有很多的多功能路由器，又能實現三層的路由功能，包括NAT地址轉換。有提供了二層的埠，有的還配置了無線功能。再有就是還具備防火牆的功能。但是你不能它單獨的劃分為交換機或者是防火牆吧。只能說是個多功能的路由器。防火牆二層交換只是他的附加功能。三層交換也一樣，主要功能還是解決區域網內數據頻繁的通信，三層功能也有，但不見得和路由器差很多。

二 應用的環境不同

三層交換的路由功能比較簡單，因為更多的把他應用到區域網內部的通信上，主要功能還是數據的交換

路由器的主要功能就是選路定址，更適合於不同網路之間，比如區域網和廣域網之間，或者是不同的協議之間。

三 實現方式不同

路由器能夠實現三層的路由（或轉發） 是基於軟體的實現方式，當收到一個數據包要轉發的時候，要經過查看路由表，最長匹配原則等一系列復雜的過程最終實現數據包的轉發，相比三層交換效率略低。而三層交換是基於硬體的方式實現三層的功能，他成功轉發一個數據包後，就會記錄相應的IP和MAC的對應關系，當數據再次轉發是根據之前的記錄的表項直接轉發。這個過程成為「一次路由，多次交換」。

總之，三層交換和路由器的最大區別是路由器可以基於埠做NAT，而三層交換機不能。路由器直接接入光纖可以直接上網，而三層交換機不能。主要是三層交換機的每一個介面都有專有的MAC地址和特定的ASIC集成電路。

.

1.3 [靜態路由和動態路由的區別]

靜態路由特點

靜態路由是管理員手工配置，精確。但是不夠靈活，是單向性的。考慮到靜態路由穩定，節省資源（內存，cpu，鏈路帶寬）。在網路TOP不是很大的環境中常用。

動態路由的特點

動態路由的好處就是路由器本身通過運行動態路由協議來互相學習路由條目，在大型的網路環境中，一定程度上減少了工程師的工作量。動態路由協議分為很多種，IGP和EGP，IGP中根據工作的原理分為鏈路狀態型和距離矢量型的。但是不管哪一種動態協議，他都要經過以下幾個過程。

1.「說話」 向其他的路由器發送路由信息

2.「收聽」 接收其他路由器發來的路由信息

3.「計算」不同的動態路由協議有不同的演算法，每種路由協議通過自己特有的演算法把收到的路由信息計算，得出最好的路由條目，載入到路由表中。

4.「維護」 維護路由表，當TOP發生變化的時候，及時的更新自己的路由表，並發送變更的消息

在生產環境下，應當更具不同的網路規模，選擇不同的路由協議。

1.4 [描述一下ACL和NAT]

ACL：acl訪問控制列表是用來制定規則的一種機制。他用來告訴路由器那些數據包訪問那些資源是允許的，那些是拒絕的。他可以分為兩種方式，一是標準的訪問控制列表，只能基於源地址進行限制。而是擴展的訪問控制列表，他不僅可以基於源地址和目標地址進行過濾，還可以根據埠來進行限制。ACL的工作原理就是讀取數據包的三層和四層，和訪問控制列表中的條目進行匹配，如有相符的，直接按照策略（允許或拒絕），不在往下匹配。如沒有匹配的條目則按照默認規則。

NAT：nat網路地址轉換，是為了解決ipv4地址空間不足產生的。

Nat的原理就是替換掉數據包中的源ip+埠或目標ip+埠，以達到私有地址不能再公網上傳播的這種情況，或者是區域網中伺服器的發布。Nat一定程度上提高了區域網用戶的安全性。

實現方式大概可以分成 靜態NAT，動態NAT PAT(埠復用）

1.5 [描述一下VLAN]

VLAN 是為了避免二層出現廣播風暴給大面積用戶帶來影響，所採取的一種手段。

Vlan 帶來的好處

減少廣播風暴

提高一定的安全

簡化網路的管理，有易於故障排查

Vlan 是把區域網進行邏輯上的分割，實現方式有兩種

1.靜態vlan 基於埠的vlan （常用）

2.基於MAC地址的vlan （適合於移動用戶）

Vlan之間的通信需要配置TRUNK鏈路（中繼） 封裝模式有兩種

Isl 思科私有的技術，在數據幀的頭部和尾部添加30位元組的標示符

Dot1q 通過 在mac地址後面打標記的方式 標識vlan 共4個位元組 公有協議

1.6 [RIP和OSPF的區別]

兩者都屬於IGP協議，rip是典型的距離矢量動態路由協議。Ospf是鏈路狀態型的協議

Rip是整張路由表進行廣播更新（v2是組播），學習未知的路由條目，有存在環路的情況

並且沒有鄰居表，網路收斂速度比較慢。因為有環路的缺陷，不適合較大的網路使用。

Ospf組播更新，並且只有TOP發生變化的時候才出發更新，把收到更新的路由會放置在LSDB中，並生成路由。Ospf本身沒有環路的產生，並且是有分層的結構，而rip是平面的沒有層次化。所以ospf比rip收斂速度快。在NBMA網路中還會有DR和BDR的概念，促進了ospf的收斂。

Rip 管理距離 120 ospf 管理距離 110

1.7 [解釋以下術語的意思]

LAN 本地區域網

WAN 廣域網

VLAN 虛擬區域網

WLAN 無線區域網

VPN 虛擬專用網

AD 管理距離，用來衡量不同路由協議生成去往同一目標的可信值

Metric 度量值，用來判斷同一種路由協議生成去往同一目標的優先順序

1.8 [簡述一下stp是什麼]

Stp 生成樹協議。

一個良好的網路應該要考慮到鏈路的冗餘，比如二層的交換機做冗餘，來防範單點故障帶來的問題。但是二層做冗餘的話會帶來一些問題：

1.廣播風暴，因為二層對未知數據幀的處理是進行廣播，而且二層的封裝結構又不像三層那樣有TTL 的機制來防護。所以一旦廣播風暴產生，其他的交換機就會跟著廣播，造成鏈路的堵塞癱瘓。

2.MAC地址的重復。因為二層的工作原理，會造成交換機對一個MAC的多次重復的去學習，造成不必要的資源浪費，直到設備癱瘓

3.MAC地址表的不穩定，因為要重復去學習一些地址。造成轉發效率緩慢。

二層環路帶來的後果是嚴重的 ，stp協議就是在冗餘的環境下，邏輯上去DOWN掉一個借口，打破環路的產生，同時做到冗餘。當環境變化時，會自動跳轉down的介面。

1.9 [STP計算的過程]

1.選擇根網橋

2.選擇根埠

3.選擇指定埠

4.指定阻塞埠

2.0 [描述一下HSRP]

熱備路由協議 是Cisco私有的網關冗餘協議。它是由一組路由器（最低2台）構成的一個熱備組 作用是為用戶提供一個不間斷的網關ip，用戶通過這個ip訪問互聯網，即使真實的網關設備DOWN掉一台，也不會影響客戶的正常工作。

原理： 熱備組中包含4中路由器的角色，

活躍路由器：負責承載發往虛擬ip地址的流量，是真正轉發用戶數據流量的路由器，

同時向UDP1985發送hello包 表明自己的狀態，一個組中只有一台

備份路由器：監聽整個HSRP組的狀態，是成為下一個活躍路由器之前的狀態，一個組中只有一個 同時向組中發送

其他路由器：靜聽整個HSRP組的狀態，是備份路由器的候選者

虛擬路由器：為客戶端提供一個虛擬的ip和MAC 能夠然活躍路由器轉發。

當活躍路由器Down後 備份路由器收不到hello包 就會成為活躍路由器。而這個轉換的過程用戶是感覺不到的。

6. STP和VRRP有什麼區別

STP主要是防止出現線路環路。也有備份的功能，但常用做二層備份。
VRRP主要是設備直接的備份專，它可以根據配置中監屬控某個埠的狀態來決定是否改變自己的優先順序，從而改變工作狀態（Master或Backup），通常用於設備中網關的備份（多用於備份三層介面）
STP是解決交換網路中循環問題.vrrp是解決網關冗餘的問題.

7. 網關ping不通前端，前端已經開啟冗餘協議

你好，你已經分析到原因了，是跟計算機名有關系，如果同一組中有相專同的計算機名，屬就會出現本地聯系受限或ping不通的問題，這就是為什麼你們大部分的筆記本都沒事的原因。一般機房內的電腦計算機名有可能沒有設置，出現重名現象很正常。記得修改計算機名後，重啟下。OK

8. HART modbus profibus 這三種協議有什麼區別這幾種協議都是干什麼用的

一、定義及作用：

1、HART(Highway Addressable Remote Transcer)，可定址遠程感測器高速通道的開放通信協議，是美國ROSEMOUNT公司於1985年推出的一種用於現場智能儀表和控制室設備之間的通信協議。

2、PROFIBUS是一個用在自動化技術的現場匯流排標准，在1987年由德國西門子公司等十四家公司及五個研究機構所推動，PROFIBUS是程序匯流排網路（PROcess FIeld BUS）的簡稱。PROFIBUS和用在工業乙太網的PROFINET是二種不同的通信協議。

3、Modbus 協議是應用於電子控制器上的一種通用語言。通過此協議，控制器相互之間、控制器經由網路（例如乙太網）和其它設備之間可以通信。

二、應用場景：

odbus和profibus 都是應用是工業現場的匯流排協議，主站控制系統合現場設備用的都比較多。

HART在過程式控制制中用的比較多，比如一些流量計，變送器，感測器等，要把它們的數據採集到主控系統中就需要用的一些轉換產品。

三、傳輸方式不同；

1、HART通信採用的是半雙工的通信方式，屬於模擬系統向數字系統轉變過程中過渡性產品。

2、PROFIBUS依據EIA-485規范的電氣傳輸方式會使用阻抗150歐姆的雙絞線，比特率范圍可以從9.6 kbit/s到12 Mbit/s。

3、Modbus已經成為工業領域通信協議的業界標准（De facto），並且現在是工業電子設備之間常用的連接方式。

(8)網關冗餘協議擴展閱讀：

PROFIBUS協議及其網路組成：

1、Profibus協議的三個主要部分：

Profibus DP（Distributed I/Os）：在主站和從站之間採用輪循的通訊方式，主要應用於製造業自動化系統中單元級和現場級通信。

PROFIBUS PA(Process Automation)：電源和通信數據通過匯流排並行傳輸，主要用於面向過程自動化系統中單元級和現場級通訊。

PROFIBUS FMS(Fieldbus Message Specification)：定義主站和主站之間的通訊模型，主要用於自動化系統中系統級和車間級的過程數據交換。

2、Profibus網路由主站，從站，網路部件等構成：

主站也被稱做主動節點。包括SIMATIC PLC，SIMATICWinAC控制器，支持主站功能的通訊處理器，IE／PB鏈路模塊以及ET200S／ET200X的主站模塊

典型的從站為感測器，執行器以及變頻器。從站不會擁有匯流排訪問的授權。

Profibus的傳輸速度為9.6/19.2/93.75/187.5/500/1500Kbit／s以及3/6/12Mbit／s。

最大節點數127(地址0-126)。

9. 計算機里那個術語代表網關

唯一保留的通用意義是作為兩個不同的域或系統間中介的網關，要克服的差異本質決定了需要的網關類型。 什麼是網關 網關曾經是很容易理解的概念。在早期的網際網路中，術語網關即指路由器。路由器是網路中超越本地網路的標記， 這個走向未知的「大門」曾經、現在仍然用於計算路由並把分組數據轉發到源始網路之外的部分，因此， 它被認為是通向網際網路的大門。隨著時間的推移，路由器不再神奇，公共的基於IP的廣域網的出現和成熟促進了路由器的成長。 現在路由功能也能由主機和交換集線器來行使，網關不再是神秘的概念。現在，路由器變成了多功能的網路設備， 它能將區域網分割成若干網段、互連私有廣域網中相關的區域網以及將各廣域網互連而形成了網際網路， 這樣路由器就失去了原有的網關概念。然而術語網關仍然沿用了下來，它不斷地應用到多種不同的功能中， 定義網關已經不再是件容易的事。 目前，主要有三種網關： ·協議網關 WNx"N ·應用網關 o:JWN ·安全網關 E-c 唯一保留的通用意義是作為兩個不同的域或系統間中介的網關，要克服的差異本質決定了需要的網關類型。 一、協議網關 協議網關通常在使用不同協議的網路區域間做協議轉換。這一轉換過程可以發生在OSI參考模型的第2層、第3層或2、3層之間。 但是有兩種協議網關不提供轉換的功能：安全網關和管道。由於兩個互連的網路區域的邏輯差異， 安全網關是兩個技術上相似的網路區域間的必要中介。如私有廣域網和公有的網際網路。這一特例在後續的「組合過濾網關」中討論， 此部分中集中於實行物理的協議轉換的協議網關。 1、管道網關 管道是通過不兼容的網路區域傳輸數據的比較通用的技術。數據分組被封裝在可以被傳輸網路識別的幀中，到達目的地時， 接收主機解開封裝，把封裝信息丟棄，這樣分組就被恢復到了原先的格式。 管道技術只能用於3層協議，從SNA到IPv6。雖然管道技術有能夠克服特定網路拓撲限制的優點，它也有缺點。 管道的本質可以隱藏不該接受的分組，簡單來說，管道可以通過封裝來攻破防火牆，把本該過濾掉的數據傳給私有的網路區域。 2、專用網關 很多的專用網關能夠在傳統的大型機系統和迅速發展的分布式處理系統間建立橋梁。 典型的專用網關用於把基於PC的客戶端連到區域網邊緣的轉換器。該轉換器通過X.25網路提供對大型機系統的訪問。 shoO 這些網關通常是需要安裝在連接到區域網的計算機上的便宜、單功能的電路板，這使其價格很低且很容易升級。在上圖的例子中， 該單功能的網關將大型機時代的硬連線的終端和終端伺服器升級為PC機和區域網。 3、2層協議網關 2層協議網關提供區域網到區域網的轉換，它們通常被稱為翻譯網橋而不是協議網關。 在使用不同幀類型或時鍾頻率的區域網間互連可能就需要這種轉換。 (1)幀格式差異 IEEE802兼容的區域網共享公共的介質訪問層，但是它們的幀結構和介質訪問機制使它們不能直接互通。 翻譯網橋利用了2層的共同點，如MAC地址，提供幀結構不同部分的動態翻譯，使它們的互通成為了可能。 第一代區域網需要獨立的設備來提供翻譯網橋，如今的多協議交換集線器通常提供高帶寬主幹， 在不同幀類型間可作為翻譯網橋，現在翻譯網橋的幕後性質使這種協議轉換變得模糊，獨立的翻譯設備不再需要， 多功能交換集線器天生就具有2層協議轉換網關的功能。 替代使用僅涉及2層的設備如翻譯網橋或多協議交換集線器的另一種選擇是使用3層設備：路由器。 長期以來路由器就是區域網主幹的重要組成部分。如果路由器用於互連區域網和廣域網， 它們通常都支持標準的區域網介面，經過適當的配置，路由器很容易提供不同幀類型的翻譯。 這種方案的缺點是如果使用3層設備路由器需要表查詢，這是軟體功能，而象交換機和集線器等2層設備的功能由硬體來實現， 從而可以運行得更快。 (2)傳輸率差異 很多過去的區域網技術已經提升了傳輸速率，例如，IEEE 802.3乙太網現在有10Mbps、100Mbps和1bps的版本， 它們的幀結構是相同的， 主要的區別在於物理層以及介質訪問機制，在各種區別中，傳輸速率是最明顯的差異。令牌環網也提升了傳輸速率， 早期版本工作在4Mbps速率下，現在的版本速率為16Mbps，100Mbps的FDDI是直接從令牌環發展來的，通常用作令牌環網的主幹。 這些僅有時鍾頻率不同的區域網技術需要一種機制在兩個其它方面都兼容的區域網間提供緩沖的介面，現今的多協議、 高帶寬的交換集線器提供了能夠緩沖速率差異的健壯的背板.1494! 2 什麼是網關 如今的多協議區域網可以為同一區域網技術的不同速率版本提供內部速率緩沖，還可以為不同的802兼容的區域網提供2層幀轉換。 路由器也可以做速率差異的緩沖工作，它們相對於交換集線器的長處是它們的內存是可擴展的。 其內存緩存進入和流出分組到一定程度以決定是否有相應的訪問列表（過濾）要應用，以及決定下一跳， 該內存還可以用於緩存可能存在於各種網路拓撲間的速率差異. 二、應用網關 應用網關是在使用不同數據格式間翻譯數據的系統。典型的應用網關接收一種格式的輸入，將之翻譯， 然後以新的格式發送。輸入和輸出介面可以是分立的也可以使用同一網路連接。 一種應用可以有多種應用網關。如Email可以以多種格式實現，提供Email的伺服器可能需要與各種格式的郵件伺服器交互， 實現此功能唯一的方法是支持多個網關介面。 應用網關也可以用於將區域網客戶機與外部數據源相連，這種網關為本地主機提供了與遠程互動式應用的連接。 將應用的邏輯和執行代碼置於區域網中客戶端避免了低帶寬、高延遲的廣域網的缺點，這就使得客戶端的響應時間更短。 應用網關將請求發送給相應的計算機，獲取數據，如果需要就把數據格式轉換成客戶機所要求的格式。 本文不對所有的應用網關配置作詳盡的描述，這些例子應該概括了應用網關的各種分支。它們通常位於網路數據的交匯點， 為了充分地支持這樣的交匯點，需要包括區域網、廣域網在內的多種網路技術的結合。Tys 三、安全網關 安全網關是各種技術有趣的融合，具有重要且獨特的保護作用，其范圍從協議級過濾到十分復雜的應用級過濾。防火牆主要有三類： 分組過濾 電路網關 應用網關 注意：三種中只有一種是過濾器，其餘都是網關。 這三種機制通常結合使用。過濾器是映射機制，可區分合法的和欺騙包。每種方法都有各自的能力和限制，要根據安全的需要仔細評價。 1、包過濾器 包過濾是安全映射最基本的形式，路由軟體可根據包的源地址、目的地址或埠號建立許可權， 對眾所周知的埠號的過濾可以阻止或允許網際協議如FTP、rlogin等。過濾器可對進入和/或流出的數據操作， 在網路層實現過濾意味著路由器可以為所有應用提供安全映射功能。作為（邏輯意義上的）路由器的常駐部分， 這種過濾可在任何可路由的網路中自由使用，但不要把它誤解為萬能的，包過濾有很多弱點，但總比沒有好。 包過濾很難做好，尤其當安全需求定義得不好且不細致的時候更是如此。這種過濾也很容易被攻破。包過濾比較每個數據包， 基於包頭信息與路由器的訪問列表的比較來做出通過/不通過的決定，這種技術存在許多潛在的弱點。首先， 它直接依賴路由器管理員正確地編制許可權集，這種情況下，拼寫的錯誤是致命的， 可以在防線中造成不需要任何特殊技術就可以攻破的漏洞。即使管理員准確地設計了許可權，其邏輯也必須毫無破綻才行。 雖然設計路由似乎很簡單，但開發和維護一長套復雜的許可權也是很麻煩的， 必須根據防火牆的許可權集理解和評估每天的變化，新添加的伺服器如果沒有明確地被保護，可能就會成為攻破點。 隨著時間的推移，訪問許可權的查找會降低路由器的轉發速度。每當路由器收到一個分組， 它必須識別該分組要到達目的地需經由的下一跳地址，這必將伴隨著另一個很耗費CPU的工作： 檢查訪問列表以確定其是否被允許到達該目的地。訪問列表越長，此過程要花的時間就越多。 包過濾的第二個缺陷是它認為包頭信息是有效的，無法驗證該包的源頭。 頭信息很容易被精通網路的人篡改， 這種篡改通常稱為「欺騙」。 包過濾的種種弱點使它不足以保護你的網路資源，最好與其它更復雜的過濾機制聯合使用，而不要單獨使用。 2、鏈路網關 鏈路級網關對於保護源自私有、安全的網路環境的請求是很理想的。這種網關攔截TCP請求，甚至某些UDP請求， 然後代表數據源來獲取所請求的信息。該代理伺服器接收對萬維網上的信息的請求，並代表數據源完成請求。實際上， 此網關就象一條將源與目的連在一起的線，但使源避免了穿過不安全的網路區域所帶來的風險。 3 什麼是網關 這種方式的請求代理簡化了邊緣網關的安全管理，如果做好了訪問控制，除了代理伺服器外所有出去的數據流都被阻塞。 理想情況下，此伺服器有唯一的地址，不屬於任何內部使用的網段。這絕對使無意中微妙地暴露給不安全區域的信息量最小化， 只有代理伺服器的網路地址可被外部得到，而不是安全區域中每個聯網的計算機的網路地址。 3、應用網關 應用網關是包過濾最極端的反面。包過濾實現的是對所有穿過網路層包過濾設備的數據的通用保護， 而應用網關在每個需要保護的主機上放置高度專用的應用軟體，它防止了包過濾的陷阱，實現了每個主機的堅固的安全。 應用網關的一個例子是病毒掃描器，這種專用軟體已經成了桌面計算的主要產品之一。它在啟動時調入內存並駐留在後台， 持續地監視文件不受已知病毒的感染，甚至是系統文件的改變。 病毒掃描器被設計用於在危害可能產生前保護用戶不受到病毒的潛在損害。 這種保護級別不可能在網路層實現，那將需要檢查每個分組的內容，驗證其來源，確定其正確的網路路徑， 並確定其內容是有意義的還是欺騙性的。這一過程將產生無法負擔的過載，嚴重影響網路性能。 4、組合過濾網關 使用組合過濾方案的網關通過冗餘、重疊的過濾器提供相當堅固的訪問控制，可以包括包、鏈路和應用級的過濾機制。 這樣的安全網關最普通的實現是象崗哨一樣保護私有網段邊緣的出入點，通常稱為邊緣網關或防火牆。 這一重要的責任通常需要多種過濾技術以提供足夠的防衛。下圖所示為由兩個組件構成的安全網關：一個路由器和一個處理機。 結合在一起後，它們可以提供協議、鏈路和應用級保護。 這種專用的網關不象其它種類的網關一樣，需要提供轉換功能。作為網路邊緣的網關，它們的責任是控制出入的數據流。 顯然的，由這種網關聯接的內網與外網都使用IP協議，因此不需要做協議轉換，過濾是最重要的。 保護內網不被非授權的外部網路訪問的原因是顯然的。控制向外訪問的原因就不那麼明顯了。在某些情況下， 是需要過濾發向外部的數據的。例如，用戶基於瀏覽的增值業務可能產生大量的WAN流量，如果不加控制， 很容易影響網路運載其它應用的能力，因此有必要全部或部分地阻塞此類數據。 聯網的主要協議IP是個開放的協議，它被設計用於實現網段間的通信。這既是其主要的力量所在，同時也是其最大的弱點。 為兩個IP網提供互連在本質上創建了一個大的IP網， 保衛網路邊緣的衛士--防火牆--的任務就是在合法的數據和欺騙性數據之間進行分辨。

10. 虛擬路由器冗餘協議vrrp有什麼用，如何配置互為備份的路由器

提供虛擬的網關來，為多條自路徑做基於vrrp協議的冗餘
基於VRRP協議控制網關自動切換的同時，下游PC不需要更改網關IP地址
下面是一些VRRP的基本配置：
｝配置虛擬網關
(config-if)#vrrp 1 ip x.x.x.x
｝開啟搶占（ 默認打開）
(config-if)#vrrp 1 preempt
｝配置優先順序
(config-if)#vrrp 1 priority <0-255>