网关的概念及分类详解

网关的概念和分类什么是网关？顾名思义，网关是一个网络连接到另一个网络的“网关”。根据不同的分类标准，也有许多网关。TCP/IP协议中的网关是最常用的，我们这里所指的“网关”都是指TCP/IP协议下的网关。那么什么是入口呢？网关本质上是一个网络到其他网络的IP地址。例如，有网络a和网络b，网络a的IP地址范围为“54”，子网掩码为255 . 255 . 255 . 0；网络B的IP地址范围为“54”，子网掩码为。没有路由器，两个网络之间就无法进行TCP/IP通信。即使两个网络连接到同一个交换机(或集线器)，TCP/IP协议也会根据子网掩码()确定两个网络中的主机位于不同的网络中。为了实现两个网络之间的通信，必须使用网关。如果网络A中的主机发现数据包的目的主机不在本地网络中，它会将数据包转发到自己的网关，网关再将数据包转发到网络B的网关，网关再将数据包转发到网络B中的主机。网络B将数据包转发到网络A的过程也是如此。这里提到的网关是我们使用的路由器。因此，只有通过设置网关的IP地址，TCP/IP协议才能实现不同网络之间的相互通信。那么哪个机器的IP地址是这个IP地址呢？网关的IP地址是具有路由功能的设备的IP地址。具有路由功能的设备包括路由器、启用了路由协议的服务器(本质上相当于路由器)和代理服务器(也相当于路由器)。第二，什么是默认网关如果您知道什么是网关，默认网关将很容易理解。正如一个房间可以有多个门一样，一个主机也可以有多个网关。默认网关意味着，如果主机找不到可用的网关，它会将数据包发送到默认的指定网关，该网关会处理数据包。主机使用的网关现在通常指默认网关。如何设置默认网关计算机的默认网关不能随便分配，必须正确分配，否则计算机将向不是网关的计算机发送数据包，从而无法与其他网络上的计算机通信。默认网关可以手动或自动设置。1.手调手动设置适用于计算机数量相对较少且TCP/IP参数基本不变的情况，例如，只有几台到几十台计算机。因为这种方法需要在连接到网络的每台计算机上设置一个“默认网关”，所以非常费力。由于迁移等原因，默认网关的IP地址一旦被修改，将会给网络管理带来很大的麻烦，所以不推荐使用。在Windows 9x中，设置默认网关的方法是右键单击“网络邻居”，在弹出菜单中单击“属性”，在网络属性对话框中选择“TCP/IP协议”，单击“属性”，在“默认网关”选项卡中填写新默认网关的IP地址。应特别注意：默认网关必须是计算机所在网段中的IP地址，其他网段中的IP地址不能填写。2.自动调整自动设置是使用DHCP服务器自动为网络中的计算机分配IP地址、子网掩码和默认网关。这样做的好处是，一旦网络的默认网关发生变化，只要更改了DHCP服务器中的默认网关设置，网络中的所有计算机都将获得新的默认网关的IP地址。这种方法适用于网络规模较大且TCP/IP参数可能发生变化的网络。另一种自动获取网关的方法是安装代理服务器软件(如移动台代理)的客户端程序，其原理和方法类似于DHCP。三。网关的分类网关曾经是一个容易理解的概念。在互联网的早期，术语网关指的是路由器。路由器是网络中超越本地网络的标志。这个通向未知的“门”过去和现在都用来计算路由，并将数据包转发到源网络之外的部分。因此，它被认为是通往互联网的大门。随着时间的推移，路由器不再有魔力。基于公共IP的广域网的出现和成熟促进了路由器的发展。现在，路由功能也可以由主机和交换集线器执行。网关不再是一个神秘的概念。现在，路由器已经成为一种多功能的网络设备，它可以将局域网分成几个网段，将相关的局域网互连到专用广域网中，并将各种广域网互连起来形成互联网，从而使路由器失去了原有的网关概念。然而，术语网关仍然在使用。它经常应用于许多不同的功能。定义网关不再容易。目前，主要有三种网关：协议网关应用网关安全网关唯一保留的共同含义是作为两个不同域或系统之间的网关。需要克服的差异的性质决定了所需网关的类型。一、协议网关协议网关通常在使用不同协议的网络区域之间转换协议。这种转换过程可以发生在现场视察参考模型的第2、3层或第2、3层之间。然而，有两种类型的协议网关不提供转换功能：安全网关和管道。由于两个互连网络区域之间的逻辑差异，安全网关是两个技术相似的网络区域之间的必要中介。例如专用广域网和公共互联网。这种特殊情况将在下面的“组合过滤网关”中讨论。本节重点介绍实现物理协议转换的协议网关。1.管道网关管道是通过不兼容的网络区域传输数据的相对常见的技术。数据包被封装在传输网络可以识别的帧中。到达目的地后，接收主机解包并丢弃封装的信息，从而将数据包恢复到其原始格式。例如，在下图中，路由器A将IPv4数据封装在IPv6数据包中，并通过IPv6网络传输到IPv4主机。路由器解包IPv6，并将恢复的IPv4数据传输到目的主机。/blog/get/3/网关1.jpg管道技术只能用于从网络体系结构到IPv6的三层协议。尽管管道技术具有克服特定网络拓扑限制的优点，但它也有缺点。管道的性质可以隐藏不应被接受的数据包。简而言之，管道可以通过封装突破防火墙，将应该过滤掉的数据传输到专用网络区域。2.特殊网关许多专用网关可以在传统主机系统和快速发展的分布式处理系统之间建立桥梁。典型的专用网关是一个转换器，用于将基于个人电脑的客户端连接到局域网的边缘。该转换器通过x25网络提供对主机系统的访问。下图说明了从电脑客户端到网关的过程，网关通过x25广域网将IP数据传输到主机。/blog/get/3/网关2.jpg这些网关通常是便宜的单功能电路板，需要安装在连接到局域网的计算机上，这使得它们便宜且易于升级。在上面的例子中，单一功能网关将大型机时代的硬连线终端和终端服务器升级为个人电脑和局域网。第3层和第2层协议网关第2层协议网关提供局域网到局域网的转换，通常被称为转换桥，而不是协议网关。使用不同帧类型或时钟频率的局域网之间的互连可能需要这种转换。(1)帧格式差异兼容IEEE802的局域网共享一个公共的媒体接入层，但是它们的帧结构和媒体接入机制阻止它们直接通信。下图：/blog/get/3/网关3.jpg转换桥利用两层的公共点(如媒体访问控制地址)来提供帧结构不同部分的动态转换，使它们能够相互通信。第一代局域网需要独立的设备来提供翻译桥。今天的多协议交换/blog/get/3/网关4.jpg现在，转换桥的幕后性质使得这种协议转换不明确，不再需要独立的转换设备，并且多功能交换集线器固有地具有2层协议转换网关的功能。除了仅使用第2层设备(如转换桥或多协议交换集线器)之外，另一种方法是使用第3层设备：路由器。路由器一直是局域网主干的重要组成部分，如下图所示。如果路由器用于互连局域网和广域网，它们通常支持标准局域网接口。通过适当的配置，路由器可以轻松提供不同帧类型的转换。该方案的缺点是，如果使用第3层设备的路由器需要表查询，这是一个软件功能，而第2层设备的功能如交换机和集线器是由硬件实现的，因此它可以运行得更快。/blog/get/3/网关5.jpg(2)传输速率差异许多过去的局域网技术已经提高了传输速率。例如，IEEE802.3以太网现在有10兆位/秒、10兆位/秒和1兆位/秒的版本。它们的框架结构是一样的。主要区别在于物理层和介质访问机制。在各种差异中，传输速率是最明显的差异。令牌环网也提高了传输速率。早期版本的工作速度为4Mbps。当前版本为16Mbps。100兆比特的频分双工直接从令牌环网发展而来，通常用作令牌环网的主干。这些具有不同时钟频率的局域网技术只需要一种机制来提供在其他两个方面兼容的局域网之间的缓冲接口。当今的多协议、高带宽交换集线器提供了强大的背板，能够缓冲速率差异，如下图所示：/blog/get/3/网关6.jpg今天的多协议局域网可以为同一局域网技术的不同速率版本提供内部速率缓冲，也可以为不同的802兼容局域网提供第2层帧转换。路由器也可以缓冲速率差异。与交换集线器相比，它们的优势在于它们的内存是可扩展的。它的内存在一定程度上缓存传入和传出的数据包，以确定是否有相应的访问列表(过滤器)要应用，并确定下一跳。内存还可用于缓存各种网络拓扑之间可能存在的速率差异，如下图所示：/blog/get/3/网关7.jpg-二。应用网关应用网关是一个在不同数据格式之间转换数据的系统。典型的应用程序网关接收一种格式的输入，翻译它，然后以新的格式发送它，如下图所示。输入和输出接口可以是独立的，也可以使用相同的网络连接。/blog/get/3/网关8.jpg一个应用程序可以有多个应用程序网关。例如，电子邮件可以以各种格式实现。提供电子邮件的服务器可能需要与各种格式的邮件服务器进行交互。实现此功能的唯一方法是支持多个网关接口。下图显示了邮件服务器可以支持的几个网关接口。/blog/get/3/GW1.jpg应用程序网关还可以用于将局域网客户端连接到外部数据源。这种网关为本地主机提供了到远程交互应用程序的连接。将应用逻辑和执行代码放置在局域网客户端避免了低带宽和高延迟广域网的缺点，这使得客户端的响应时间更短。应用网关将请求发送到相应的计算机以获取数据，并在必要时将数据格式转换为客户端所需的格式，如下图所示。/blog/get/3/GW2.jpg本文不会详细描述所有应用程序网关配置。这些示例应该总结应用程序网关的各个分支。它们通常位于网络数据的交叉点。为了完全支持这种交叉，需要结合各种网络技术，包括局域网和广域网。三。安全网关安全网关是各种技术的有趣融合，具有重要而独特的保护功能，从协议级过滤到非常复杂的应用级过滤。有三种主要类型的防火墙：分组过滤器电路网关应用网关注意：三种类型中只有一种是过滤器，其余的是网关。这三种机制通常结合使用。过滤器是区分合法和欺骗数据包的映射机制。每种方法都有其自身的能力和局限性，应根据安全需求进行仔细评估。1.包装过滤器包过滤是最基本的安全映射形式。路由软件可以根据数据包的源地址、目的地址或端口号建立权限。过滤已知的端口号可以阻止或允许互联网协议，如FTP、rlogin等。过滤器可以对传入和/或传出的数据进行操作。在网络层实施过滤意味着路由器可以为所有应用程序提供安全映射功能。作为路由器的常驻部分(在逻辑意义上)，这种过滤可以在任何可路由网络中自由使用，但不要误认为它是万能的。包过滤有许多缺点，但总比没有强。包过滤很难做好，特别是当安全需求没有很好的定义和详细的时候。这种过滤也很容易被破坏。包过滤比较每个数据包，并根据数据包报头信息和路由器访问列表的比较做出通过/失败决定。这项技术有许多潜在的弱点。首先，它直接依赖于路由器管理员来正确编译权限集。在这种情况下，拼写错误是致命的，并且会在防御中产生漏洞，无需任何特殊技术就可以攻破。即使管理员已经准确地设计了权限，它的逻辑也必须是完美的。虽然设计路线看起来很简单，但是开发和维护一长串复杂的权限也很麻烦。必须根据防火墙的权限集来理解和评估日常更改。如果新添加的服务器没有受到明确保护，它们可能会成为突破口。随着时间的推移，对访问权限的搜索会降低路由器的转发速度。每次路由器收到数据包时，它都必须确定数据包到达目的地需要经过的下一跳地址