网关的一个用途是在物联网环境和云之间创建通信链路。
网关类型
网关可以采用多种形式并执行各种任务。这方面的例子包括:
Web应用程序防火墙: 此类型过滤来自Web服务器的流量并查看应用程序层数据。
云存储网关:此类型使用各种云存储服务API调用转换存储请求。它允许组织将存储从私有云集成到应用程序中,而无需迁移到公共云。
API、OA或 XML 网关: 此类型管理流入和流出服务,面向微服务的体系结构或基于XML的Web服务的流量。
物联网网关: 此类型聚合来自物联网环境中设备的传感器数据,在传感器协议之间进行转换,并在向前发送之前处理传感器数据。
媒体网关 : 此类型将数据从一种网络所需的格式转换为另一种网络所需的格式。
电子邮件安全网关:此类型可防止传输违反公司政策或将以恶意目的传输信息的电子邮件。
VoIP中继网关 :这种类型便于使用普通老式电话服务设备,如固定电话和传真机,以及IP语音(VoIP)网络。
ISA(现在改名为TMG),微软的代理服务器产品
Wingate,老牌的代理服务器
WProxy,免费windows代理服务器软件
其实就ISA是网关型的,2和3主要是代理服务器的功能。Sysgate, Wingate早就没人用了吧,二十年前的产品了。
客户机的配置,请参考各个产品的帮助手册和文档。
路由器功能有宽带接入路由器、模块路由器,
模块路由器厂家有思科有华为,你用哪个?
接入路由器厂家有思科华为TPLINK、DLINK、NETGEAR,
PC机或服务器有Windows有Linux,
Windows有路由和远程访问有ISA有Winroute有CCPROXY有Wingate,
linux有squid有iptables有squid+iptables,
一、网关(Gateway),将两个使用不同协议的网络段连接在一起的设备。
二、网关的作用就是对两个网络段中的使用不同传输协议的数据进行互相的翻译转换。
三、举个例子,一个商业内部局域网就常常需要通过网关发送电子邮件到Internet的相关地址。
扩展资料:
在Windows7中,设置默认网关的方法是在“网上邻居”上右击,在d出的菜单中点击“属性”,在网络属性对话框中选择“TCP/IP协议”,点击“属性”,在“默认网关”选项卡中填写新的默认网关的IP地址就可以了。
需要特别注意的是:默认网关必须是电脑自己所在的网段中的IP地址,而不能填写其他网段中的IP地址。
自动设置就是利用DHCP服务器来自动给网络中的电脑分配IP地址、子网掩码和默认网关。这样做的好处是一旦网络的默认网关发生了变化时。
只要更改了DHCP服务器中默认网关的设置,那么网络中所有的电脑均获得了新的默认网关的IP地址。这种方法适用于网络规模较大、TCP/IP参数有可能变动的网络。
另外一种自动获得网关的办法是通过安装代理服务器软件(如MSProxy)的客户端程序来自动获得,其原理和方法和DHCP有相似之处。由于篇幅所限,就不再详述了。
参考资料来源:百度百科-网关
过程概述请求代理、 网关服务器,管理服务器链中的任何计算机的证书。
这些证书导入到的目标计算机使用 MOMCertImportexe 工具。
将分发给管理服务器 MicrosoftEnterpriseManagementGatewayApprovalToolexe。
运行 MicrosoftEnterpriseManagementGatewayApprovalToolexe 工具启动管理服务器和网关之间的通信
安装网关服务器。
准备安装
在开始之前
网关服务器的部署所需的证书。您需要有权访问证书颁发机构 (CA)。这可以是公用 CA (如 verisign),也可以使用 Microsoft 证书服务。此过程提供了请求,获取,并从 Microsoft 证书服务导入证书的步骤。
代理管理的计算机之间的网关服务器和网关服务器和管理服务器之间,必须有可靠的名称解析。此名称解析通常是通过 DNS。但是,如果不能通过 DNS 中获得正确的名称解析,则可能需要手动在每台计算机的主机文件中创建条目。
注释
Hosts 文件位于 \Windows\system32\drivers\ 目录中,并包含有关如何配置的说明。
从 Microsoft 证书服务中获取计算机证书
有关详情,请参阅Windows 计算机的身份验证和数据加密。
分发 MicrosoftEnterpriseManagementGatewayApprovalTool
MicrosoftEnterpriseManagementGatewayApprovalToolexe 工具需要只有在管理服务器上,并且它只运行一次。
若要复制到管理服务器的 MicrosoftEnterpriseManagementGatewayApprovalToolexe
从目标管理服务器,打开Operations Manager安装媒体 \SupportTools 目录。
复制到安装媒体中的 MicrosoftEnterpriseManagementGatewayApprovalToolexe Operations Manager安装目录。
注册与管理组的网关
此过程将注册的网关服务器的管理组中,并完成此 *** 作后,管理组发现的库存视图中将显示的网关服务器。
若要运行该网关的审核工具
在管理服务器上已设定的网关服务器安装过程中,在使用登录Operations Manager管理员帐户。
打开命令提示窗口,然后定位到Operations Manager安装目录或目录复制到 MicrosoftEnterpriseManagementgatewayApprovalToolexe。
在命令提示符下,运行MicrosoftEnterpriseManagementgatewayApprovalToolexe /ManagementServerName=<managementserverFQDN> /GatewayName=<GatewayFQDN> /Action=Create
如果审核成功,您将看到 The approval of server <GatewayFQDN> completed successfully
如果您需要从管理组中删除的网关服务器,运行相同的命令,但需使用替换/Action=Delete标记为 /Action=Create标志。
打开 [监控] 视图 *** 作控制台。选择发现的库存的视图的网关服务器存在。
安装网关服务器
该过程安装的网关服务器。要在网关服务器的服务器应将向其报告的代理管理的计算机位于同一个域的成员。
提示
安装将会失败 (例如,双击 MOMGatewaymsi 安装网关服务器) 启动 Windows 安装程序时如果本地安全策略的用户帐户控制:在管理员批准模式中的所有管理员已都启用运行。
若要从命令提示符窗口中运行 *** 作管理器网关 Windows 安装程序
在 Windows 桌面上,请单击开始,指向 程序,指向 附件,用鼠标右键单击 命令提示符,然后单击 以管理员身份运行。
在管理员:命令提示符处 窗口中,定位到本地驱动器,承载 Operations Manager的安装媒体。
定位到msi 文件所在的目录键入msi 文件的名称,然后按 enter 键。
若要安装的网关服务器
登录到具有管理员权限的网关服务器上。
从Operations Manager开始安装媒体中, Setupexe。
在安装 区域中,单击 网关管理服务器链接。
在欢迎 屏幕中,单击 下一。
在目标文件夹 页面中,接受默认值,或单击 更改 以选择一个不同的安装目录,然后单击 下一。
在管理组配置 页上,键入目标管理组的名称在 管理组名称 字段中,键入目标管理中的服务器名称 管理服务器 字段中,请检查 管理服务器端口 字段是5723,然后单击 下一步。如果已经启用了其他在 *** 作控制台中的管理服务器通信的端口,则可以更改此端口。
在网关 *** 作帐户 页上,选择 本地系统帐户选项,除非您专门创建一个基于域或本地计算机上的关 *** 作帐户。单击“下一步”。
在 Microsoft 更新 页面上,还可以指示您要使用 Microsoft 更新,然后单击 下一。
在“可以安装”页上,单击“安装”。
在正在完成 页上,单击 完成。
若要使用命令提示符窗口来安装的网关服务器
登录到具有管理员权限的网关服务器上。
使用“以管理员身份运行”选项打开命令提示符窗口。
运行以下命令,其中 path\Directory Momgatewaymsi,位置和 path\Logs 是要用来保存日志文件的位置。在中找不到 Momgatewaymsi Operations Manager的安装媒体。
%WinDir%\System32\msiexecexe /i path\Directory\MOMGatewaymsi /qn /lv path\Logs\GatewayInstalllog
ADDLOCAL=MOMGateway
MANAGEMENT_GROUP="<ManagementGroupName>"
IS_ROOT_HEALTH_SERVER=0
ROOT_MANAGEMENT_SERVER_AD=<ParentMSFQDN>
ROOT_MANAGEMENT_SERVER_DNS=<ParentMSFQDN>
ACTIONS_USE_COMPUTER_ACCOUNT=0
ACTIONSDOMAIN=<DomainName>
ACTIONSUSER=<ActionAccountName>
ACTIONSPASSWORD=<Password>
ROOT_MANAGEMENT_SERVER_PORT=5723
[INSTALLDIR=<path\Directory>]
使用 MOMCertImportexe 工具导入证书
执行此 *** 作,每个网关服务器,管理服务器和将成为代理管理和不受信任域的计算机上。
若要通过使用 MOMCertImportexe 导入计算机证书
将 MOMCertImportexe 工具复制从安装媒体 \SupportTools\<平台>(x86 或 ia64) 或到目标服务器的根目录的目录Operations Manager如果目标服务器是管理服务器的安装目录。
作为管理员,打开一个命令提示符窗口,并将目录更改为 MOMCertImportexe 所在的目录,然后运行 momcertimportexe /SubjectName <certificate subject name>这会使证书可由 Operations Manager
为管理服务器之间的故障转移配置网关服务器
网关服务器可以管理组中的任何管理服务器进行通信,但这必须进行配置。在这种情况下,辅助管理服务器标识为网关服务器故障转移的目标。
使用集中-开始管理服务器-gatewayManagementServer 命令中的 Operations Manager 外壳,如以下示例所示,配置故障切换到多个管理服务器网关服务器。可以从任何管理组中的命令外壳程序运行命令。
若要配置管理服务器之间的网关服务器故障切换
登录到管理服务器的管理组的管理员角色的成员的帐户。
在 Windows 桌面上,请单击开始,指向 程序,指向 系统中心运营经理,然后单击 命令行解释器。并对用户的访问时间、访问地点、信息流量进行统计。
(2)对用户进行分级管理,设置不同用户的访问权限,对外界或内部的Internet地址进行过滤,设置不同的访问权限。
(3)增加缓冲器(Cache),提高访问速度,对经常访问的地址创建缓冲区,大大提高热门站点的访问效率。通常代理服务器都设置一个较大的硬盘缓冲区(可能高达几个GB或更大),当有外界的信息通过时,同时也将其保存到缓冲区中,当其他用户再访问相同的信息时,则直接由缓冲区中取出信息,传给用户,以提高访问速度。
(4)连接内网与Internet,充当防火墙(Firewall):因为所有内部网的用户通过代理服务器访问外界时,只映射为一个IP地址,所以外界不能直接访问到内部网;同时可以设置IP地址过滤,限制内部网对外部的访问权限。
(5)节省IP开销:代理服务器允许使用大量的伪IP地址,节约网上资源,即用代理服务器可以减少对IP地址的需求,对于使用局域网方式接入Internet ,如果为局域网(LAN)内的每一个用户都申请一个IP地址,其费用可想而知。但使用代理服务器后,只需代理服务器上有一个合法的IP地址,LAN内其他用户可以使用10这样的私有IP地址,这样可以节约大量的IP,降低网络的维护成本。
什么是socks代理:相应的,采用socks协议的代理服务器就是SOCKS服务器,是一种通用的代理服务器。Socks是个电路级的底层网关,是DavidKoblas在1990年开发的,此后就一直作为Internet RFC标准的开放标准。Socks 不要求应用程序遵循特定的 *** 作系统平台,Socks 代理与应用层代理、 >
应用网关在应用层上进行协议转换。例如,一个主机执行的是ISO电子邮件标准,另一个主机执行的是Internet 电子邮件标准,如果这两个主机需要交换电子邮件,那么必须经过一个电子邮件网关进行协议转换,这个电子邮件网关是一个应用网关。NCP是工作在OSI第七层的协议,用以控制客户站和服务器间的交互作用,主要完成不同方式下文件的打开、关闭、读取功能。
信令网关,中继网关,还有接入网关:
信令网关SG,主要完成7号信令网与IP网之间信令消息的中继,在3G初期,对于完成接入侧到核心网交换之间的消息的转接(3G之间的RANAP消息,3G与2G之间的BSSAP消息),另外还能完成2G的MSC/GMSC与软交换机之间ISUP消息的转接。
中继网关又叫IP网关,同时满足电信运营商和企业需求的VoIP设备。中继网关(IP网关)由基于中继板和媒体网关板建构,单板最多可以提供128路媒体转换,两个以太网口,机框采用业界领先的CPCI标准,扩容方便具有高稳定性、高可靠性、高密度、容量大等特点
接入网关是基于IP的语音/传真业务的媒体接入网关,提供高效、高质量的话音服务,为运营商、企业、小区、住宅用户等提供VoIP解决方案。
除此之外,网关还可以分为:协议网关、应用网关和安全网关
协议网关
协议网关通常在使用不同协议的网络区域间做协议转换。这一转换过程可以发生在OSI参考模型的第2层、第3层或2、3层之间。但是有两种协议网关不提供转换的功能:安全网关和管道。由于两个互连的网络区域的逻辑差异,安全网关是两个技术上相似的网络区域间的必要中介。如私有广域网和公有的因特网。
应用网关
应用网关是在使用不同数据格式间翻译数据的系统。典型的应用网关接收一种格式的输入,将之翻译, 然后以新的格式发送。输入和输出接口可以是分立的也可以使用同一网络连接。
应用网关也可以用于将局域网客户机与外部数据源相连,这种网关为本地主机提供了与远程交互式应用
的连接。将应用的逻辑和执行代码置于局域网中客户端避免了低带宽、高延迟的广域网的缺点,这就使得客户端的响应时间更短。应用网关将请求发送给相应的计算机,获取数据,如果需要就把数据格式转换成客户机所要求的格式。
安全网关
安全网关是各种技术有趣的融合,具有重要且独特的保护作用,其范围从协议级过滤到十分复杂的应用级过滤。
可以说,网关是一种充当转换重任的计算机系统或设备。在使用不同的通信协议、数据格式或语言,甚至体系结构完全不同的两种系统之间,网关是一个翻译器。与网桥只是简单地传达信息不同,网关对收到的信息要重新打包,以适应目的系统的需求。同时,网关也可以提供过滤和安全功能。大多数网关运行在OSI 7层协议的顶层——应用层。
用以建设骨干IP网络的设备中出现的新进展,尤其是虚拟骨干路由技术的出现,为Internet服务分配中的全面变化创造了条件。
虚拟路由器将使与其他网络用户相隔离并提供对网络性能、Internet地址与路由管理以及管理和安全性的新型Internet服务成为可能。虚拟骨干网路由器在逻辑上将一台物理路由器分为多台虚拟路由器。每台虚拟路由器运行路由协议不同的实例并具有专用 的I/O端口、缓冲区内存、地址空间、 路由表以及网络管理软件。
基于虚拟骨干路由器的服务无需增加投资,就可使客户机具有运行专用骨干网的控制权和安全性。控制和管理虚拟路由功能的软件是模块化的软件。软件的多个实例(对应于多个虚拟路由器)在真正的多处理器 *** 作系统(如Unix)上执行。
每个虚拟路由器进程利用 *** 作系统中固有的进程与内存保护功能与其他进程相隔离,这就保证了高水平的数据安全性,消除了出故障的软件模块损坏其他虚拟路由器上的数据的可能性。
当连接到高速SONET/SDH接口时,为获得线速性能,许多运营商级路由器具有的包转发功能是通过硬件实现的。在具有虚拟路由功能的系统中,这类硬件功能可以在逻辑上被划分并被灵活地分配给一个特定的虚拟路由器。
接收和发送数据包的物理I/O 端口或标记交换路径被置于组成一台虚拟交换机的软件模块的控制之下。包缓冲内存和转发表受每台虚拟路由器资源的限制,以保证一台虚拟路由器不会影响到另一台虚拟路由器的运行。
虚拟路由技术使每台虚拟路由器执行不同的路由协议软件(例如,最短路径优先、边界网关协议、中间系统到中间系统)和网络管理软件(例如,SNMP或命令行界面)的实例。因此,用户可以独立地监视和管理每台虚拟路由器。
不同的协议实例赋予每台虚拟路由器完全独立的IP地址域,这些地址域可以独立地进行配置,不会出现造成冲突的危险。管理功能使每台虚拟路由器可以作为一个独立的实体进行配置和管理。基于用户的安全模块还保证所有的网络管理功能和属于某一虚拟路由器的信息只 能供一定的访问特权访问。
每台虚拟路由器的包转发路径与其他虚拟路由器的包转发路径相隔离,从而使管理人员可以单独和独立地管理每台虚拟路由器的性能。系统中一台虚拟路由器上出现的传输流激增不会影响其他的虚拟路由器。这就保证了这种服务的最终用户得到持续的网络性能。
虚拟路由器还提供独立的策略和Internet工程任务组差别服务(Diff-Serv)功能,使虚拟路由器可以向最终用户提交完全的定制服务。分配给每台虚拟路由器的I/O端口可以进行编程以对输入包进行计数并保证输入包不超过预先规定的合同。然后包根据自己的服务类型分类进入多条队列。
随着虚拟路由功能在骨干网中变得更加普及,在动态精确地满足最终用户的带宽需要的同时,它所具有的提供最终用户对带宽的最大限度的控制和管理的功能将带来许多在价格上具有竞争力、高度定制的IP服务。这些服务将大大改变提供商和客户看待购买带宽世界的方式 。
虚拟路由器冗余协议(VRRP:Virtual Router Redundancy Protocol)
虚拟路由器冗余协议(VRRP)是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的 VRRP 路由器中的一台。控制虚拟路由器 IP 地址的 VRRP 路由器称为主路由器,它负责转发数据包到这些虚拟 IP 地址。一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器。使用 VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。 VRRP 包封装在 IP 包中发送。
使用 VRRP ,可以通过手动或 DHCP 设定一个虚拟 IP 地址作为默认路由器。虚拟 IP 地址在路由器间共享,其中一个指定为主路由器而其它的则为备份路由器。如果主路由器不可用,这个虚拟 IP 地址就会映射到一个备份路由器的 IP 地址(这个备份路由器就成为了主路由器)。 VRRP 也可用于负载均衡。 VRRP 是 IPv4 和 IPv6 的一部分。
VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)是一种容错协议。通常,一个网络内的所有主机都设置一条缺省路由(如图3-1所示,10100101),这样,主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器RouterA,从而实现了主机与外部网络的通信。当路由器RouterA 坏掉时,本网段内所有以RouterA 为缺省路由下一跳的主机将断掉与外部的通信。VRRP 就是为解决上述问题而提出的,它为具有多播或广播能力的局域网(如:以太网)设计。我们结合下图来看一下VRRP 的实现原理。VRRP 将局域网的一组路由器(包括一个Master 即活动路由器和若干个Backup 即备份路由器)组织成一个虚拟路由器,称之为一个备份组。这个虚拟的路由器拥有自己的IP 地址10100101(这个IP 地址可以和备份组内的某个路由器的接口地址相同),备份组内的路由器也有自己的IP 地址(如Master的IP 地址为10100102,Backup 的IP 地址为10100103)。局域网内的主机仅仅知道这个虚拟路由器的IP 地址10100101,而并不知道具体的Master 路由器的IP 地址10100102 以及Backup 路由器的IP 地址10100103,它们将自己的缺省路由下一跳地址设置为该虚拟路由器的IP 地址10100101。于是,网络内的主机就通过这个虚拟的路由器来与其它网络进行通信。如果备份组内的Master 路由器坏掉,Backup 路由器将会通过选举策略选出一个新的Master 路由器,继续向网络内的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。关于VRRP 协议的详细信息,可以参考RFC 2338。
一、 应用实例
最典型的VRRP应用:RTA、RTB组成一个VRRP路由器组,假设RTB的处理能力高于 RTA,则将RTB配置成IP地址所有者,H1、H2、H3的默认网关设定为RTB。则RTB成为主控路由器,负责ICMP重定向、ARP应答和IP报文的转发;一旦RTB失败,RTA立即启动切换,成为主控,从而保证了对客户透明的安全切换。
在VRRP应用中,RTA在线时RTB只是作为后备,不参与转发工作,闲置了路由器RTA和链路L1。通过合理的网络设计,可以到达备份和负载分担双重效果。让RTA、RTB同时属于互为备份的两个VRRP组:在组1中RTA为IP地址所有者;组 2中RTB为IP地址所有者。将H1的默认网关设定为RTA;H2、H3的默认网关设定为RTB。这样,既分担了设备负载和网络流量,又提高了网络可靠性。
VRRP协议的工作机理与CISCO公司的HSRP(Hot Standby Routing Protocol)有许多相似之处。但二者主要的区别是在CISCO的HSRP中,需要单独配置一个IP地址作为虚拟路由器对外体现的地址,这个地址不能是组中任何一个成员的接口地址。
使用VRRP协议,不用改造目前的网络结构,最大限度保护了当前投资,只需最少的管理费用,却大大提升了网络性能,具有重大的应用价值。
二、工作原理
一个VRRP路由器有唯一的标识:VRID,范围为0—255。该路由器对外表现为唯一的虚拟 MAC地址,地址的格式为00-00-5E-00-01-[VRID]。主控路由器负责对ARP请求用该MAC地址做应答。这样,无论如何切换,保证给终端设备的是唯一一致的IP和MAC地址,减少了切换对终端设备的影响。
VRRP控制报文只有一种:VRRP通告(advertisement)。它使用IP多播数据包进行封装,组地址为2240018,发布范围只限于同一局域网内。这保证了VRID在不同网络中可以重复使用。为了减少网络带宽消耗只有主控路由器才可以周期性的发送VRRP通告报文。备份路由器在连续三个通告间隔内收不到VRRP或收到优先级为0的通告后启动新的一轮VRRP选举。
在VRRP路由器组中,按优先级选举主控路由器,VRRP协议中优先级范围是0—255。若 VRRP路由器的IP地址和虚拟路由器的接口IP地址相同,则称该虚拟路由器作VRRP组中的IP地址所有者;IP地址所有者自动具有最高优先级:255。优先级0一般用在IP地址所有者主动放弃主控者角色时使用。可配置的优先级范围为1—254。优先级的配置原则可以依据链路的速度和成本、路由器性能和可靠性以及其它管理策略设定。主控路由器的选举中,高优先级的虚拟路由器获胜,因此,如果在VRRP组中有IP地址所有者,则它总是作为主控路由的角色出现。对于相同优先级的候选路由器,按照IP地址大小顺序选举。VRRP还提供了优先级抢占策略,如果配置了该策略,高优先级的备份路由器便会剥夺当前低优先级的主控路由器而成为新的主控路由器。
为了保证VRRP协议的安全性,提供了两种安全认证措施:明文认证和IP头认证。明文认证方式要求:在加入一个VRRP路由器组时,必须同时提供相同的VRID和明文密码。适合于避免在局域网内的配置错误,但不能防止通过网络监听方式获得密码。 IP头认证的方式提供了更高的安全性,能够防止报文重放和修改等攻击。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)