网关冗余协议

1. 怎么实现网关冗余

配置HSRP、VRRP或者GLBP
具体怎么配置，可以网络。
HSRP是cisco私有协议，只有cisco设备支持；VRRP和GLBP是公用协议

2. 华为的VRRP是什么主要干些什么

虚拟路由器冗余协议nbsp;nbsp;nbsp;（VRRP：Virtualnbsp;Routernbsp;Rendancynbsp;Protocol）nbsp;nbsp;nbsp;虚拟路由器冗余协议（VRRP）是一种选择协议，它可以把一个虚拟路由器的责任动态分配到局域网上的nbsp;VRRPnbsp;路由器中的一台。控制虚拟路由器nbsp;IPnbsp;地址的nbsp;VRRPnbsp;路由器称为主路由器，它负责转发数据包到这些虚拟nbsp;IPnbsp;地址。一旦主路由器不可用，这种选择过程就提供了动态的故障转移机制，这就允许虚拟路由器的nbsp;IPnbsp;地址可以作为终端主机的默认第一跳路由器。使用nbsp;VRRPnbsp;的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。nbsp;VRRPnbsp;包封装在nbsp;IPnbsp;包中发送。nbsp;nbsp;使用nbsp;VRRPnbsp;，可以通过手动或nbsp;DHCPnbsp;设定一个虚拟nbsp;IPnbsp;地址作为默认路由器。虚拟nbsp;IPnbsp;地址在路由器间共享，其中一个指定为主路由器而其它的则为备份路由器。如果主路由器不可用，这个虚拟nbsp;IPnbsp;地址就会映射到一个备份路由器的nbsp;IPnbsp;地址（这个备份路由器就成为了主路由器）。nbsp;VRRPnbsp;也可用于负载均衡。nbsp;VRRPnbsp;是nbsp;IPv4nbsp;和nbsp;IPv6nbsp;的一部分。nbsp;nbsp;nbsp;VRRP（Virtualnbsp;Routernbsp;Rendancynbsp;Protocol，虚拟路由冗余协议）是一种容错协nbsp;nbsp;议。通常，一个网络内的所有主机都设置一条缺省路由（如图3-1所示，10.100.10.1），nbsp;nbsp;这样，主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器nbsp;nbsp;RouterA，从而实现了主机与外部网络的通信。当路由器RouterAnbsp;坏掉时，本网段nbsp;nbsp;内所有以RouterAnbsp;为缺省路由下一跳的主机将断掉与外部的通信。nbsp;nbsp;VRRPnbsp;就是为解决上述问题而提出的，它为具有多播或广播能力的局域网（如：以nbsp;nbsp;太网）设计。我们结合下图来看一下VRRPnbsp;的实现原理。VRRPnbsp;将局域网的一组路nbsp;nbsp;由器（包括一个Masternbsp;即活动路由器和若干个Backupnbsp;即备份路由器）组织成一个nbsp;nbsp;虚拟路由器，称之为一个备份组。nbsp;nbsp;这个虚拟的路由器拥有自己的IPnbsp;地址10.100.10.1（这个IPnbsp;地址可以和备份组内的nbsp;nbsp;某个路由器的接口地址相同），备份组内的路由器也有自己的IPnbsp;地址（如Masternbsp;nbsp;的IPnbsp;地址为10.100.10.2，Backupnbsp;的IPnbsp;地址为10.100.10.3）。局域网内的主机仅nbsp;nbsp;仅知道这个虚拟路由器的IPnbsp;地址10.100.10.1，而并不知道具体的Masternbsp;路由器的nbsp;nbsp;IPnbsp;地址10.100.10.2nbsp;以及Backupnbsp;路由器的IPnbsp;地址10.100.10.3，它们将自己的缺省nbsp;nbsp;路由下一跳地址设置为该虚拟路由器的IPnbsp;地址10.100.10.1。于是，网络内的主机nbsp;nbsp;就通过这个虚拟的路由器来与其它网络进行通信。如果备份组内的Masternbsp;路由器坏nbsp;nbsp;掉，Backupnbsp;路由器将会通过选举策略选出一个新的Masternbsp;路由器，继续向网络内nbsp;nbsp;的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。nbsp;nbsp;关于VRRPnbsp;协议的详细信息，可以参考RFCnbsp;2338。nbsp;nbsp;一、nbsp;应用实例nbsp;nbsp;nbsp;最典型的VRRP应用：RTA、RTB组成一个VRRP路由器组，假设RTB的处理能力高于RTA，则将RTB配置成IP地址所有者，H1、H2、H3的默认网关设定为RTB。则RTB成为主控路由器，负责ICMP重定向、ARP应答和IP报文的转发；一旦RTB失败，RTA立即启动切换，成为主控，从而保证了对客户透明的安全切换。nbsp;nbsp;nbsp;在VRRP应用中，RTA在线时RTB只是作为后备，不参与转发工作，闲置了路由器RTA和链路L1。通过合理的网络设计，可以到达备份和负载分担双重效果。让RTA、RTB同时属于互为备份的两个VRRP组：在组1中RTA为IP地址所有者；组2中RTB为IP地址所有者。将H1的默认网关设定为RTA；H2、H3的默认网关设定为RTB。这样，既分担了设备负载和网络流量，又提高了网络可靠性。nbsp;nbsp;nbsp;VRRP协议的工作机理与CISCO公司的HSRP（Hotnbsp;Standbynbsp;Routingnbsp;Protocol）有许多相似之处。但二者主要的区别是在CISCO的HSRP中，需要单独配置一个IP地址作为虚拟路由器对外体现的地址，这个地址不 查看原帖>>

3. 虚拟路由器冗余协议VRRP的缺陷

做网关冗余，可以虚拟出一个网关ip地址给下游pc使用。
当有多条冗余路径的时候，下游pc的网关地址指定起来比较麻烦，这时候只需要指定虚拟的网关ip，由vrrp协议来选择流量所使用的网关，可以起到网关自动切换，但下游pc不需要更改网关ip等作用。

4. 两个核心交换机上，MSTP已经实现了冗余链路的负载均衡和网关备份,为什么还要VRRP呢

mstp实现"多实例STP“，这个名字可能不标准，是我自己的理解。
其实就是可以实现每内个vlan，单独运行一个stp，互不干扰容
很明显，这是个2层协议的容易，它只能定义root根桥的位置。
而vrrp是3层IP的冗余，vrrp可以让一个虚IP，在2个mac地址直接切换，显然功能上是不一样的。

如果局域网内没有三层的数据流，那就没必要配置vrrp。
如果局域网内没有二层的数据流，那就没必要配置mstp
这2个要根据实际情况来看，当然，二层、三层混用的话，还是应该都配起来。

5. 面试网络维护工程师会被问到哪些问题

-物理层

物理层定义了设备接口上的一些电子电气化的标准，比如RJ45接口，光纤接口。传输介质双绞线，无线，光，电。等

--数据链路层

二层定义了一个重要的表示，MAC地址，准确的说他必须在一个LAN内是唯一的。他又48位的十六进制组成，前24位是厂商表示，后24位 是厂商自定义的序列号。有时候 MAC地址就是表示了一个设备的位置。

--网络层

网络层是用来逻辑上选路寻址的，这一层最重要的一个协议就是IP协议。基于ip 又分为 ARP,RARP,ICMP,IGMP等

--传输层

这一层定义类了 两个重要的协议 TCP和UDP 。还有就是端口号的概念。这一层关联的是一个主机上的某个程序或者是服务。比如 tcp 80 的web服务 udp 4000的QQ 程序等。

--会话层

主要作用是建立会话和管理会话。我一般这样理解 会话的 比如 telnet 一台主机，是一次会话的链接。打开网络的网页，就和网络的服务器建立了一次会话。

--表示层

因为底层传输的是二进制，应用层无法直接识别。所以根据这一层的名字可以直接理解为他是一个翻译。比如把一长串的数据“翻译”成rmvb格式，交给上层的 快播 这个程序，把另一串数据“翻译成”MP3格式交给 音乐播放器。其实这一层的工作很多。

压缩，解压缩，加密，解密等

--应用层

为用户提供了一个可以操所的界面，如windows的桌面化或UNIX的字符界面。

OSI七层的每一层是独立工作的，但是层与层之间是相互“合作”“兼容”的关系。

1.2 [三层交换和路由器的不同]

虽说三层交换机和路由器都可以工作在三层，但本质上还是有所区别。

一 在设计的功能上不同

现在有很多的多功能路由器，又能实现三层的路由功能，包括NAT地址转换。有提供了二层的端口，有的还配置了无线功能。再有就是还具备防火墙的功能。但是你不能它单独的划分为交换机或者是防火墙吧。只能说是个多功能的路由器。防火墙二层交换只是他的附加功能。三层交换也一样，主要功能还是解决局域网内数据频繁的通信，三层功能也有，但不见得和路由器差很多。

二 应用的环境不同

三层交换的路由功能比较简单，因为更多的把他应用到局域网内部的通信上，主要功能还是数据的交换

路由器的主要功能就是选路寻址，更适合于不同网络之间，比如局域网和广域网之间，或者是不同的协议之间。

三 实现方式不同

路由器能够实现三层的路由（或转发） 是基于软件的实现方式，当收到一个数据包要转发的时候，要经过查看路由表，最长匹配原则等一系列复杂的过程最终实现数据包的转发，相比三层交换效率略低。而三层交换是基于硬件的方式实现三层的功能，他成功转发一个数据包后，就会记录相应的IP和MAC的对应关系，当数据再次转发是根据之前的记录的表项直接转发。这个过程成为“一次路由，多次交换”。

总之，三层交换和路由器的最大区别是路由器可以基于端口做NAT，而三层交换机不能。路由器直接接入光纤可以直接上网，而三层交换机不能。主要是三层交换机的每一个接口都有专有的MAC地址和特定的ASIC集成电路。

.

1.3 [静态路由和动态路由的区别]

静态路由特点

静态路由是管理员手工配置，精确。但是不够灵活，是单向性的。考虑到静态路由稳定，节省资源（内存，cpu，链路带宽）。在网络TOP不是很大的环境中常用。

动态路由的特点

动态路由的好处就是路由器本身通过运行动态路由协议来互相学习路由条目，在大型的网络环境中，一定程度上减少了工程师的工作量。动态路由协议分为很多种，IGP和EGP，IGP中根据工作的原理分为链路状态型和距离矢量型的。但是不管哪一种动态协议，他都要经过以下几个过程。

1.“说话” 向其他的路由器发送路由信息

2.“收听” 接收其他路由器发来的路由信息

3.“计算”不同的动态路由协议有不同的算法，每种路由协议通过自己特有的算法把收到的路由信息计算，得出最好的路由条目，加载到路由表中。

4.“维护” 维护路由表，当TOP发生变化的时候，及时的更新自己的路由表，并发送变更的消息

在生产环境下，应当更具不同的网络规模，选择不同的路由协议。

1.4 [描述一下ACL和NAT]

ACL：acl访问控制列表是用来制定规则的一种机制。他用来告诉路由器那些数据包访问那些资源是允许的，那些是拒绝的。他可以分为两种方式，一是标准的访问控制列表，只能基于源地址进行限制。而是扩展的访问控制列表，他不仅可以基于源地址和目标地址进行过滤，还可以根据端口来进行限制。ACL的工作原理就是读取数据包的三层和四层，和访问控制列表中的条目进行匹配，如有相符的，直接按照策略（允许或拒绝），不在往下匹配。如没有匹配的条目则按照默认规则。

NAT：nat网络地址转换，是为了解决ipv4地址空间不足产生的。

Nat的原理就是替换掉数据包中的源ip+端口或目标ip+端口，以达到私有地址不能再公网上传播的这种情况，或者是局域网中服务器的发布。Nat一定程度上提高了局域网用户的安全性。

实现方式大概可以分成 静态NAT，动态NAT PAT(端口复用）

1.5 [描述一下VLAN]

VLAN 是为了避免二层出现广播风暴给大面积用户带来影响，所采取的一种手段。

Vlan 带来的好处

减少广播风暴

提高一定的安全

简化网络的管理，有易于故障排查

Vlan 是把局域网进行逻辑上的分割，实现方式有两种

1.静态vlan 基于端口的vlan （常用）

2.基于MAC地址的vlan （适合于移动用户）

Vlan之间的通信需要配置TRUNK链路（中继） 封装模式有两种

Isl 思科私有的技术，在数据帧的头部和尾部添加30字节的标示符

Dot1q 通过 在mac地址后面打标记的方式 标识vlan 共4个字节 公有协议

1.6 [RIP和OSPF的区别]

两者都属于IGP协议，rip是典型的距离矢量动态路由协议。Ospf是链路状态型的协议

Rip是整张路由表进行广播更新（v2是组播），学习未知的路由条目，有存在环路的情况

并且没有邻居表，网络收敛速度比较慢。因为有环路的缺陷，不适合较大的网络使用。

Ospf组播更新，并且只有TOP发生变化的时候才出发更新，把收到更新的路由会放置在LSDB中，并生成路由。Ospf本身没有环路的产生，并且是有分层的结构，而rip是平面的没有层次化。所以ospf比rip收敛速度快。在NBMA网络中还会有DR和BDR的概念，促进了ospf的收敛。

Rip 管理距离 120 ospf 管理距离 110

1.7 [解释以下术语的意思]

LAN 本地局域网

WAN 广域网

VLAN 虚拟局域网

WLAN 无线局域网

VPN 虚拟专用网

AD 管理距离，用来衡量不同路由协议生成去往同一目标的可信值

Metric 度量值，用来判断同一种路由协议生成去往同一目标的优先级

1.8 [简述一下stp是什么]

Stp 生成树协议。

一个良好的网络应该要考虑到链路的冗余，比如二层的交换机做冗余，来防范单点故障带来的问题。但是二层做冗余的话会带来一些问题：

1.广播风暴，因为二层对未知数据帧的处理是进行广播，而且二层的封装结构又不像三层那样有TTL 的机制来防护。所以一旦广播风暴产生，其他的交换机就会跟着广播，造成链路的堵塞瘫痪。

2.MAC地址的重复。因为二层的工作原理，会造成交换机对一个MAC的多次重复的去学习，造成不必要的资源浪费，直到设备瘫痪

3.MAC地址表的不稳定，因为要重复去学习一些地址。造成转发效率缓慢。

二层环路带来的后果是严重的 ，stp协议就是在冗余的环境下，逻辑上去DOWN掉一个借口，打破环路的产生，同时做到冗余。当环境变化时，会自动跳转down的接口。

1.9 [STP计算的过程]

1.选择根网桥

2.选择根端口

3.选择指定端口

4.指定阻塞端口

2.0 [描述一下HSRP]

热备路由协议 是Cisco私有的网关冗余协议。它是由一组路由器（最低2台）构成的一个热备组 作用是为用户提供一个不间断的网关ip，用户通过这个ip访问互联网，即使真实的网关设备DOWN掉一台，也不会影响客户的正常工作。

原理： 热备组中包含4中路由器的角色，

活跃路由器：负责承载发往虚拟ip地址的流量，是真正转发用户数据流量的路由器，

同时向UDP1985发送hello包 表明自己的状态，一个组中只有一台

备份路由器：监听整个HSRP组的状态，是成为下一个活跃路由器之前的状态，一个组中只有一个 同时向组中发送

其他路由器：静听整个HSRP组的状态，是备份路由器的候选者

虚拟路由器：为客户端提供一个虚拟的ip和MAC 能够然活跃路由器转发。

当活跃路由器Down后 备份路由器收不到hello包 就会成为活跃路由器。而这个转换的过程用户是感觉不到的。

6. STP和VRRP有什么区别

STP主要是防止出现线路环路。也有备份的功能，但常用做二层备份。
VRRP主要是设备直接的备份专，它可以根据配置中监属控某个端口的状态来决定是否改变自己的优先级，从而改变工作状态（Master或Backup），通常用于设备中网关的备份（多用于备份三层接口）
STP是解决交换网络中循环问题.vrrp是解决网关冗余的问题.

7. 网关ping不通前端，前端已经开启冗余协议

你好，你已经分析到原因了，是跟计算机名有关系，如果同一组中有相专同的计算机名，属就会出现本地联系受限或ping不通的问题，这就是为什么你们大部分的笔记本都没事的原因。一般机房内的电脑计算机名有可能没有设置，出现重名现象很正常。记得修改计算机名后，重启下。OK

8. HART modbus profibus 这三种协议有什么区别这几种协议都是干什么用的

一、定义及作用：

1、HART(Highway Addressable Remote Transcer)，可寻址远程传感器高速通道的开放通信协议，是美国ROSEMOUNT公司于1985年推出的一种用于现场智能仪表和控制室设备之间的通信协议。

2、PROFIBUS是一个用在自动化技术的现场总线标准，在1987年由德国西门子公司等十四家公司及五个研究机构所推动，PROFIBUS是程序总线网络（PROcess FIeld BUS）的简称。PROFIBUS和用在工业以太网的PROFINET是二种不同的通信协议。

3、Modbus 协议是应用于电子控制器上的一种通用语言。通过此协议，控制器相互之间、控制器经由网络（例如以太网）和其它设备之间可以通信。

二、应用场景：

odbus和profibus 都是应用是工业现场的总线协议，主站控制系统合现场设备用的都比较多。

HART在过程控制中用的比较多，比如一些流量计，变送器，传感器等，要把它们的数据采集到主控系统中就需要用的一些转换产品。

三、传输方式不同；

1、HART通信采用的是半双工的通信方式，属于模拟系统向数字系统转变过程中过渡性产品。

2、PROFIBUS依据EIA-485规范的电气传输方式会使用阻抗150欧姆的双绞线，比特率范围可以从9.6 kbit/s到12 Mbit/s。

3、Modbus已经成为工业领域通信协议的业界标准（De facto），并且现在是工业电子设备之间常用的连接方式。

(8)网关冗余协议扩展阅读：

PROFIBUS协议及其网络组成：

1、Profibus协议的三个主要部分：

Profibus DP（Distributed I/Os）：在主站和从站之间采用轮循的通讯方式，主要应用于制造业自动化系统中单元级和现场级通信。

PROFIBUS PA(Process Automation)：电源和通信数据通过总线并行传输，主要用于面向过程自动化系统中单元级和现场级通讯。

PROFIBUS FMS(Fieldbus Message Specification)：定义主站和主站之间的通讯模型，主要用于自动化系统中系统级和车间级的过程数据交换。

2、Profibus网络由主站，从站，网络部件等构成：

主站也被称做主动节点。包括SIMATIC PLC，SIMATICWinAC控制器，支持主站功能的通讯处理器，IE／PB链路模块以及ET200S／ET200X的主站模块

典型的从站为传感器，执行器以及变频器。从站不会拥有总线访问的授权。

Profibus的传输速度为9.6/19.2/93.75/187.5/500/1500Kbit／s以及3/6/12Mbit／s。

最大节点数127(地址0-126)。

9. 计算机里那个术语代表网关

唯一保留的通用意义是作为两个不同的域或系统间中介的网关，要克服的差异本质决定了需要的网关类型。 什么是网关 网关曾经是很容易理解的概念。在早期的因特网中，术语网关即指路由器。路由器是网络中超越本地网络的标记， 这个走向未知的“大门”曾经、现在仍然用于计算路由并把分组数据转发到源始网络之外的部分，因此， 它被认为是通向因特网的大门。随着时间的推移，路由器不再神奇，公共的基于IP的广域网的出现和成熟促进了路由器的成长。 现在路由功能也能由主机和交换集线器来行使，网关不再是神秘的概念。现在，路由器变成了多功能的网络设备， 它能将局域网分割成若干网段、互连私有广域网中相关的局域网以及将各广域网互连而形成了因特网， 这样路由器就失去了原有的网关概念。然而术语网关仍然沿用了下来，它不断地应用到多种不同的功能中， 定义网关已经不再是件容易的事。 目前，主要有三种网关： ·协议网关 WNx"N ·应用网关 o:JWN ·安全网关 E-c 唯一保留的通用意义是作为两个不同的域或系统间中介的网关，要克服的差异本质决定了需要的网关类型。 一、协议网关 协议网关通常在使用不同协议的网络区域间做协议转换。这一转换过程可以发生在OSI参考模型的第2层、第3层或2、3层之间。 但是有两种协议网关不提供转换的功能：安全网关和管道。由于两个互连的网络区域的逻辑差异， 安全网关是两个技术上相似的网络区域间的必要中介。如私有广域网和公有的因特网。这一特例在后续的“组合过滤网关”中讨论， 此部分中集中于实行物理的协议转换的协议网关。 1、管道网关 管道是通过不兼容的网络区域传输数据的比较通用的技术。数据分组被封装在可以被传输网络识别的帧中，到达目的地时， 接收主机解开封装，把封装信息丢弃，这样分组就被恢复到了原先的格式。 管道技术只能用于3层协议，从SNA到IPv6。虽然管道技术有能够克服特定网络拓扑限制的优点，它也有缺点。 管道的本质可以隐藏不该接受的分组，简单来说，管道可以通过封装来攻破防火墙，把本该过滤掉的数据传给私有的网络区域。 2、专用网关 很多的专用网关能够在传统的大型机系统和迅速发展的分布式处理系统间建立桥梁。 典型的专用网关用于把基于PC的客户端连到局域网边缘的转换器。该转换器通过X.25网络提供对大型机系统的访问。 shoO 这些网关通常是需要安装在连接到局域网的计算机上的便宜、单功能的电路板，这使其价格很低且很容易升级。在上图的例子中， 该单功能的网关将大型机时代的硬连线的终端和终端服务器升级为PC机和局域网。 3、2层协议网关 2层协议网关提供局域网到局域网的转换，它们通常被称为翻译网桥而不是协议网关。 在使用不同帧类型或时钟频率的局域网间互连可能就需要这种转换。 (1)帧格式差异 IEEE802兼容的局域网共享公共的介质访问层，但是它们的帧结构和介质访问机制使它们不能直接互通。 翻译网桥利用了2层的共同点，如MAC地址，提供帧结构不同部分的动态翻译，使它们的互通成为了可能。 第一代局域网需要独立的设备来提供翻译网桥，如今的多协议交换集线器通常提供高带宽主干， 在不同帧类型间可作为翻译网桥，现在翻译网桥的幕后性质使这种协议转换变得模糊，独立的翻译设备不再需要， 多功能交换集线器天生就具有2层协议转换网关的功能。 替代使用仅涉及2层的设备如翻译网桥或多协议交换集线器的另一种选择是使用3层设备：路由器。 长期以来路由器就是局域网主干的重要组成部分。如果路由器用于互连局域网和广域网， 它们通常都支持标准的局域网接口，经过适当的配置，路由器很容易提供不同帧类型的翻译。 这种方案的缺点是如果使用3层设备路由器需要表查询，这是软件功能，而象交换机和集线器等2层设备的功能由硬件来实现， 从而可以运行得更快。 (2)传输率差异 很多过去的局域网技术已经提升了传输速率，例如，IEEE 802.3以太网现在有10Mbps、100Mbps和1bps的版本， 它们的帧结构是相同的， 主要的区别在于物理层以及介质访问机制，在各种区别中，传输速率是最明显的差异。令牌环网也提升了传输速率， 早期版本工作在4Mbps速率下，现在的版本速率为16Mbps，100Mbps的FDDI是直接从令牌环发展来的，通常用作令牌环网的主干。 这些仅有时钟频率不同的局域网技术需要一种机制在两个其它方面都兼容的局域网间提供缓冲的接口，现今的多协议、 高带宽的交换集线器提供了能够缓冲速率差异的健壮的背板.1494! 2 什么是网关 如今的多协议局域网可以为同一局域网技术的不同速率版本提供内部速率缓冲，还可以为不同的802兼容的局域网提供2层帧转换。 路由器也可以做速率差异的缓冲工作，它们相对于交换集线器的长处是它们的内存是可扩展的。 其内存缓存进入和流出分组到一定程度以决定是否有相应的访问列表（过滤）要应用，以及决定下一跳， 该内存还可以用于缓存可能存在于各种网络拓扑间的速率差异. 二、应用网关 应用网关是在使用不同数据格式间翻译数据的系统。典型的应用网关接收一种格式的输入，将之翻译， 然后以新的格式发送。输入和输出接口可以是分立的也可以使用同一网络连接。 一种应用可以有多种应用网关。如Email可以以多种格式实现，提供Email的服务器可能需要与各种格式的邮件服务器交互， 实现此功能唯一的方法是支持多个网关接口。 应用网关也可以用于将局域网客户机与外部数据源相连，这种网关为本地主机提供了与远程交互式应用的连接。 将应用的逻辑和执行代码置于局域网中客户端避免了低带宽、高延迟的广域网的缺点，这就使得客户端的响应时间更短。 应用网关将请求发送给相应的计算机，获取数据，如果需要就把数据格式转换成客户机所要求的格式。 本文不对所有的应用网关配置作详尽的描述，这些例子应该概括了应用网关的各种分支。它们通常位于网络数据的交汇点， 为了充分地支持这样的交汇点，需要包括局域网、广域网在内的多种网络技术的结合。Tys 三、安全网关 安全网关是各种技术有趣的融合，具有重要且独特的保护作用，其范围从协议级过滤到十分复杂的应用级过滤。防火墙主要有三类： 分组过滤 电路网关 应用网关 注意：三种中只有一种是过滤器，其余都是网关。 这三种机制通常结合使用。过滤器是映射机制，可区分合法的和欺骗包。每种方法都有各自的能力和限制，要根据安全的需要仔细评价。 1、包过滤器 包过滤是安全映射最基本的形式，路由软件可根据包的源地址、目的地址或端口号建立许可权， 对众所周知的端口号的过滤可以阻止或允许网际协议如FTP、rlogin等。过滤器可对进入和/或流出的数据操作， 在网络层实现过滤意味着路由器可以为所有应用提供安全映射功能。作为（逻辑意义上的）路由器的常驻部分， 这种过滤可在任何可路由的网络中自由使用，但不要把它误解为万能的，包过滤有很多弱点，但总比没有好。 包过滤很难做好，尤其当安全需求定义得不好且不细致的时候更是如此。这种过滤也很容易被攻破。包过滤比较每个数据包， 基于包头信息与路由器的访问列表的比较来做出通过/不通过的决定，这种技术存在许多潜在的弱点。首先， 它直接依赖路由器管理员正确地编制权限集，这种情况下，拼写的错误是致命的， 可以在防线中造成不需要任何特殊技术就可以攻破的漏洞。即使管理员准确地设计了权限，其逻辑也必须毫无破绽才行。 虽然设计路由似乎很简单，但开发和维护一长套复杂的权限也是很麻烦的， 必须根据防火墙的权限集理解和评估每天的变化，新添加的服务器如果没有明确地被保护，可能就会成为攻破点。 随着时间的推移，访问权限的查找会降低路由器的转发速度。每当路由器收到一个分组， 它必须识别该分组要到达目的地需经由的下一跳地址，这必将伴随着另一个很耗费CPU的工作： 检查访问列表以确定其是否被允许到达该目的地。访问列表越长，此过程要花的时间就越多。 包过滤的第二个缺陷是它认为包头信息是有效的，无法验证该包的源头。 头信息很容易被精通网络的人篡改， 这种篡改通常称为“欺骗”。 包过滤的种种弱点使它不足以保护你的网络资源，最好与其它更复杂的过滤机制联合使用，而不要单独使用。 2、链路网关 链路级网关对于保护源自私有、安全的网络环境的请求是很理想的。这种网关拦截TCP请求，甚至某些UDP请求， 然后代表数据源来获取所请求的信息。该代理服务器接收对万维网上的信息的请求，并代表数据源完成请求。实际上， 此网关就象一条将源与目的连在一起的线，但使源避免了穿过不安全的网络区域所带来的风险。 3 什么是网关 这种方式的请求代理简化了边缘网关的安全管理，如果做好了访问控制，除了代理服务器外所有出去的数据流都被阻塞。 理想情况下，此服务器有唯一的地址，不属于任何内部使用的网段。这绝对使无意中微妙地暴露给不安全区域的信息量最小化， 只有代理服务器的网络地址可被外部得到，而不是安全区域中每个联网的计算机的网络地址。 3、应用网关 应用网关是包过滤最极端的反面。包过滤实现的是对所有穿过网络层包过滤设备的数据的通用保护， 而应用网关在每个需要保护的主机上放置高度专用的应用软件，它防止了包过滤的陷阱，实现了每个主机的坚固的安全。 应用网关的一个例子是病毒扫描器，这种专用软件已经成了桌面计算的主要产品之一。它在启动时调入内存并驻留在后台， 持续地监视文件不受已知病毒的感染，甚至是系统文件的改变。 病毒扫描器被设计用于在危害可能产生前保护用户不受到病毒的潜在损害。 这种保护级别不可能在网络层实现，那将需要检查每个分组的内容，验证其来源，确定其正确的网络路径， 并确定其内容是有意义的还是欺骗性的。这一过程将产生无法负担的过载，严重影响网络性能。 4、组合过滤网关 使用组合过滤方案的网关通过冗余、重叠的过滤器提供相当坚固的访问控制，可以包括包、链路和应用级的过滤机制。 这样的安全网关最普通的实现是象岗哨一样保护私有网段边缘的出入点，通常称为边缘网关或防火墙。 这一重要的责任通常需要多种过滤技术以提供足够的防卫。下图所示为由两个组件构成的安全网关：一个路由器和一个处理机。 结合在一起后，它们可以提供协议、链路和应用级保护。 这种专用的网关不象其它种类的网关一样，需要提供转换功能。作为网络边缘的网关，它们的责任是控制出入的数据流。 显然的，由这种网关联接的内网与外网都使用IP协议，因此不需要做协议转换，过滤是最重要的。 保护内网不被非授权的外部网络访问的原因是显然的。控制向外访问的原因就不那么明显了。在某些情况下， 是需要过滤发向外部的数据的。例如，用户基于浏览的增值业务可能产生大量的WAN流量，如果不加控制， 很容易影响网络运载其它应用的能力，因此有必要全部或部分地阻塞此类数据。 联网的主要协议IP是个开放的协议，它被设计用于实现网段间的通信。这既是其主要的力量所在，同时也是其最大的弱点。 为两个IP网提供互连在本质上创建了一个大的IP网， 保卫网络边缘的卫士--防火墙--的任务就是在合法的数据和欺骗性数据之间进行分辨。

10. 虚拟路由器冗余协议vrrp有什么用，如何配置互为备份的路由器

提供虚拟的网关来，为多条自路径做基于vrrp协议的冗余
基于VRRP协议控制网关自动切换的同时，下游PC不需要更改网关IP地址
下面是一些VRRP的基本配置：
｝配置虚拟网关
(config-if)#vrrp 1 ip x.x.x.x
｝开启抢占（ 默认打开）
(config-if)#vrrp 1 preempt
｝配置优先级
(config-if)#vrrp 1 priority <0-255>