Protocol简称VRRP)，是一个IP协议族我们知噵IP协议族里面有ICMP、OSPF，VRRP也是IP协议族的一员协议号为112。在VRRP里面设备有两种角色（Master,Backup），其中Master负责跑业务流量而Backup负责备份，当Master挂掉之后Backup自動抢占为Master，然后所有的数据从Master上走 VRRP主要是用来做出口链路的冗余备份的，可以有多个网关设备加入一个备份组但是只能有一个Master设备，當Master设备挂掉之后其他的Backup设备自动抢占为Master设备，以很好的避免静态指定网关的缺陷,保障网络的可靠性
在VRRP协议中,有两组重要的概念:VRRP路由器囷虚拟路由器,主控路由器和备份路由器?VRRP路由器是指运行VRRP的路由器,是物理实体,虚拟路由器是指VRRP协议创建的,是逻辑概念?一组VRRP路由器协同工莋,共同构成一台虚拟路由器?该虚拟路由器对外表现为一个具有唯一固定IP地址和MAC地址的逻辑路由器?处于同一个VRRP组中的路由器具有两种互斥的角色:主控路由器和备份路由器,一个VRRP组中有且只有一台处于主控角色的路由器,可以有一个或者多个处于备份角色的路由器?VRRP协议使用选擇策略从路由器组中选出一台作为主控,负责ARP相应和转发IP数据包,组中的其它路由器作为备份的角色处于待命状态?当由于某种原因主控路由器发生故障时,备份路由器能在几秒钟的时延后升级为主路由器?由于此切换非常迅速而且不用改变IP地址和MAC地址,故对终端使用者系统是透明嘚?

作用：在多个网关(接口)之间运行，形成网关的备份以及 3层 数据转发的负载均衡。

网关角色/状态：master :应该最多，只能出现1个用。于轉发用户的数据包backup :可以存在多个。master 选举原则：1.首先比较优先级越大越好；默认是100；

    路由器启动时，如果路由器的优先级是255(最高优先级路由器拥有路由器地址)，要发送VRRP通告信息并发送广播ARP信息通告路由器IP地址对应 的MAC地址为路由虚拟MAC，设置通告信息定时器准备定时发送VRRP通告信息转为MASTER状态；否则进入BACKUP状态，设置定时器检查定时 检查是否收到MASTER的通告信息

主机状态下的路由器要完成如下功能：

用VRRP虚拟MAC地址響应路由器IP地址的ARP请求；

转发目的MAC是VRRP虚拟MAC的数据包；

如果是虚拟路由器IP的拥有者，将接受目的地址是虚拟路由器IP的数据包否则丢弃；

当收到shutdown的事件时删除定时通告定时器，发送优先权级为0的通告包转初始化状态；

如果定时通告定时器超时时，发送VRRP通告信息；

收到VRRP通告信息时如果优先权为0，发送VRRP通告信息；否则判断数据的优先级是否高于本机或相等而且实际IP地址大于本地实际IP，设置定时通告定时器複位主机超时定时器，转BACKUP状态；否则的话丢弃该通告包；

备机状态下的路由器要实现以下功能：

不能响应针对虚拟路由器IP的ARP请求信息；

丟弃所有目的MAC地址是虚拟路由器MAC地址的数据包；

不接受目的是虚拟路由器IP的所有数据包；

当收到shutdown的事件时删除主机超时定时器，转初始化狀态；

主机超时定时器超时的时候发送VRRP通告信息，广播ARP地址信息转MASTER状态；

收到VRRP通告信息时，如果优先权为0表示进入MASTER选举；否则判断數据的优先级是否高于本机，如果高的话承认MASTER有效复位主机超时定时器；否则的话，丢弃该通告包；

1、考虑线序的问题主机和主机矗连应该用下列哪种线序的双胶线连接？

A、直连线；B、交叉线；C、全反线；D、各种线均可

2、、OSI是由哪一个机构提出的

3、屏蔽双绞线（STP）嘚最大传输距离是？

4、在OSI的七层模型中集线器工作在哪一层

5、下列哪些属于工作在物理层的网络设备?

6、网络按通信范围分为？

7、网络在組网构成中的形式多种多样在局域网中应用较广的有哪三种网络系统？

8、下列哪些属于局域网软件系统的有机组成部分

19、下列软件中,專门用于检测和清除病毒的软件或程序是 D

21、计算机病毒由网络传播给用户计算机系统的主要途径有三个，即 (   ).

22、目前被认为是最有效的安铨控制方法是 

23、为了预防计算机病毒应采取的最有效措施是

24、计算机病毒主要危害是 

2、HDLC协议工作在OSI七层模型中的哪一层？ 

5、下列描述正确嘚是 

D、 pap占用系统资源要小于chap

7、 如果线路速度是最重要的要素将选择什么样的封装类型？

11、下面哪种网络技术适合多媒体通信需求（）

12、无论是SLIP还是PPP的协议都是（）协议

13、 ISDN是目前广泛采用的一种网络接入技术，它能够提供两种数据通道以下说法正确的是：

A． B通道一般用來传输信令或分组信息

B． D通道一般用来传输话音、数据和图象

C． C通道一般用来传输分组信息

D． D通道一般用来传输信令或分组信息

14、 包交换昰一种广域网交换方式，网络设备共享一条点到点的线路将包从源经过通信网络传送到目的地址.交换网络可以传输长度不同的帧（包）戓长度固定的信元。下面哪种网络采用包交换

15、 当一台计算机发送E-mail信息给另外一台计算机时，下列的哪一个过程正确地描述了数据打包嘚5个转换步骤

A．数据、数据段、数据包、数据帧、比特

B．比特，数据帧数据包、数据段、数据

C．数据包、数据段、数据、比特、数据幀

D．数据段、数据包、数据帧、比特、数据

16、广域网工作在OSI参考模型中哪一层？

17、 广域网和局域网有哪些不同

A．广域网典型地存在于确萣的地理区域

B．广域网提供了高速多重接入服务

C．广域网使用令牌来调节网络流量

D．广域网使用通用的载波服务

D． pap占用系统资源要小于chap

20、 洳果线路速度是最重要的要素，将选择什么样的封装类型

1、安全问题是VPN的核心问题。目前VPN主要采用四项技术来保证安全这四项技术分別是：

1、无线局域网常用的传输协议有哪些？

2、双路双频三模中的三模是指

3、无线网络中使用的通信原理是：

4、无线接入设备AP是互联无线笁作站的设备其功能相当于有有线互联设备（  ）

5、无线网络中使用SSID是

7、无线基础组网模式包括

（a）迅驰是一种技术、一种新型的平台技術

 (b)  迅驰是三种部分的合成，这三个部分是处理器（CPU）、芯片组、无线模块

9、以下哪种材料对于无线信号的阻挡是最弱的_____,最强的是什么_______：

10、產品所支持的双路双频三模技术中双频指的是对哪两个工作频段的支持

（a）为了隐藏局域网内部服务器真实IP地址;

（b）为了缓解IP地址空间枯竭的速度;

(d) 一项专有技术，为了增加网络的可利用率而开发

2、常以私有地址出现在NAT技术当中的地址概念为：

3、将内部地址映射到外部网络嘚一个IP地址的不同接口上的技术是：

4、关于静态NAPT下列说法错误的是： 

（a）需要有向外网提供信息服务的主机;

（b）永久的一对一“IP地址＋端ロ”映射关系;

(c) 临时的的一对一“IP地址＋端口”映射关系;

6、在配置静态NAT时不是必须在路由器上配置的项目有：  

（a）静态路由; （b）默认路由; (c) 訪问控制列表; (d) 地址转换

7、查看静态NAT映射条目的命令为

9、下列配置中属于NAPT地址转换的是 

（a）缺乏全局IP地址;

（b）没有专门申请的全局IP地址，只囿一个连接ISP的全局IP地址;

1、下列所述的哪一个是无连接的传输层协议（ ）

2、不属于硬件防火墙基本配置端口的是（   ）。

5、TCP/IP协议栈的哪一层負责建立、维护和终止虚连接保证数据的安全可靠传输？

6、防火墙从工作方式上主要可以分为那几种类型

(A) 简单包过滤防火墙、状态检測包过滤防火墙、应用代理防火墙

(B) 普通防火墙、高级防火墙

(C) 软件防火墙、硬件防火墙

(D) 内部防火墙、外部防火墙

7、某单位在部署计算机网络時采用了一款硬件防火墙，该防火墙带有三个以太网络接口其网络拓扑如图所示。

【问题A】　防火墙包过滤规则的默认策略为拒绝下表给出防火墙的包过滤规则配置界面。若要求内部所有主机能使用IE浏览器访问外部IP地址202.117.118.23的Web 服务器为表中（7）-（10）空缺处选择正确答案，填写在答题纸相应位置

（7）备选答案：A.允许　　B.拒绝

【问题B】内部网络经由防火墙采用NAT 方式与外部网络通信，为图中（11）-（13）空缺处选擇正确答案填写在答题纸相应位置。

【问题C】　图中__(14)__ 适合设置为DMZ区

【问题D】 防火墙上的配置信息如下图所示。要求启动HTTP 代理服务通過HTTP 缓存提高浏览速度，代理服务端口为3128 要使主机PC1 使用HTTP代理服务，其中"地址"栏中的内容应填写为__(15)__"端口"栏中内容应填写为__(16)__ 。

　　（17）备选答案：A.网络层　　B.应用层　　C. 服务层

　　（18）备选答案：A.网络层　　B.应用层　　C. 服务层

1、  校园网设计中常采用三层结构它们是哪三层?

2、  丅列哪个系列的设备不适合做汇聚层设备？

3、  下列不属于核心层特征的是:

4、层次化网络设计模型的优点包括:

5、下列不属于汇聚层的特征的囿:

(d) 语音数据压缩比

一、不论是原理还是配置记住这彡个原则

二、学习原理看强叔侃墙（华为官方论坛连载）或华为防火墙技术漫谈（强叔侃墙实体书）作者（华为开发）先在华为官方论壇连载的技术贴，最后整理成书应该是国内第一本全方位深入讲解防火墙技术的书籍
学习配置和现有标准看官方手册（HedEx）
为什么要分开學习，很简单原理你光看手册和老师讲是不可能懂的，需要看书来理解原理书中的配置只看配置过程，不要看配置命令命令都是很咾的了，要想知道最新的命令肯定是要以官方手册为主
这里赞叹一下，华为防火墙的官方手册那真叫一个任性不知道都以为一个小版夲就换了一批研发人员似的，恨不得连下一代防火墙的名字都给改成次世代防火墙。

ENSP模拟器只适合入门和抓包，很多高级功能都有BUG雙机热备就是其中之一，如果只是学学技术倒也无所谓可要是考网络安全的IE就尽量用真机环境，因为你排错的时间可能要超过你实验的時间最后看不到效果不说还不知道到底哪里出的问题，这样的话就太没效率了

防火墙为什么需要有双机热备

解决防火墙的单点故障问題
双机---------华为目前只能支持两台
热备---------通过心跳线同步各种状态信息（比如会话表等）以及关键配置

基于VRRP的双机热备
基于动态路由的双机热备

VRRP 解决三层冗余网关（STP解决二层冗余环路）

1、比较优先级，越大越优默认为100，范围0-255可配置1-254
2、如果优先级相同，比较接口的IP地址越大越優

1. 设置超时定时器进行Master选举
2. Master发送免费ARP刷新交换机MAC地址表（引流）

还有一种情况，当Master路由器主动放弃Master地位（如Master路由器退出VRRP备份组）时会立即发送优先级为0的VRRP报文，使Backup路由器快速切换成Master路由器

默认开启抢占等待抢占延迟后（默认0s）成为Master (抢占时间建议大于当前网络的收敛时间）
不开启抢，保持Backup

只能针对单个备份组工作多个备份组同时工作的时候，会出现VRRP备份组的状态的不一致性

如果想了解更多VRRP相关知识请點击文章最下的扩展篇

VRRP组管理协议 (华为私有）
使VRRP所有的备份组统一管理，使用VGMP优先级来控制所有的VRRP备份组统一切换，保持状态一致性

1、兩台防火墙的VGMP组启用后都会短暂处于Standby状态并向对端发送VGMP报文，互相通告自己的优先级和状态
2、互相收到VGMP报文后，发现本端优先级与对端相等均将状态切换成Load Balance，就形成了负载分担状态
3、如果是主备备份方式（通过VRRP备份组状态或者hrp standby-device)，FW1就会收到FW2成为备用设备的VGMP报文
4、这時FW1成为主设备，引导上下行流量这样就形成了主备备份状态。

1、故障接口下的VRRP备份组状态变成init
2、主设备优先级降低2（故障接口下备份组數量*2）本端优先级小于对端，状态切换成Standby立刻发送VGMP报文，通知本端状态和优先级的变化
3、被设备收到报文后本端优先级大于对端，狀态变为Active
4、发送免费ARP报文刷新MAC地址表

备设备5个周期没有收到VGMP报文备设备切换为主设备。

备设备5个周期没有收到VGMP报文备设备切换为主设備, 而原主设备还是主设备，出现双Active（双活）

1、FW1故障恢复，恢复优先级本端优先级与对端相等
2、如果配置了抢占，抢占延迟(默认为60S)结束後状态恢复成Load Balance立刻发送VGMP报文，通知本端状态和优先级的变化
4、由于管理员指定了FW2为备用设备互相交互VGMP报文后确定各自身份，FW1成为主用設备发送免费ARP进行流量引导FW2成为备用设备

抢占延迟一般设定在多少合适？
抢占延迟设定的时间正常情况应大于当前网络的收敛时间

老版VGMP組播报文结构

标准VRRP报文中的“Priority”字段在VRRP报文头中被修改成“Type2”字段
Type2 =1 心跳链路探测报文 检测对端心跳接口状态
（主设备每隔24小时自动发起┅次配置一致性检查，主备都可以手动发起HRP configuration check）
当Type2=2时VRRP报文才会进一步封装VGMP报文头，并根据VGMP报文头中“vType”字段继续分成以下三种报文：
HRP数据報文 备份关键配置和状态信息

VGMP报文头的结构：
“mode”字段表示是请求类型报文还是应答类型报文

新版VGMP单播报文结构

新版只需要根据HRP（VGMP）扩展头的“Type”字段即可定义各种报文
VGMP报文 交互VGMP组信息，协商主备状态
HRP心跳报文 探测对端设备是否处于工作状态
HRP数据报文 主备之间备份关键配置和状态信息
HRP链路探测报文 探测对端心跳口状态
一致性检查报文 检查关键配置
HRP链路探测报文、HRP数据报文、一致性检查报文原理基本相同

新咾版VGMP报文有两点不同

（1）VGMP报文发送的方向和时间
主发备收而且是在有事件触发（开关双机热备、优先级增减，抢占超时）的时候才会发送
VGMP组会定时（每隔1秒）互相发送VGMP报文了解并记录对端的状态和优先级信息，去掉了中间状态（A TO SS TO A），并且事件触发（开关双机热备、优先级增减抢占超时、链路探测报文超时）的时候也会发送VGMP报文

（2）VGMP报文内容
1、本端VGMP组状态
2、本端VGMP组优先级
3、本端是否处于忙碌状态：
如果处于忙碌状态，例如正在加载补丁心跳报文可能发送不出去，这时本端设备会通过VGMP报文请求对端不要因为收不到心跳报文而进行状态切换既避免非故障切换
4、本端设备是否发送ARP报文：
如果本端设备配置了VRRP备份组且状态为Active时，本端要向上下行设备发送免费ARP报文进行流量引导这时会发送VGMP报文通知对端：本端即将发送免费ARP报文，既本端即将成为主用设备
5、管理员配置的设备角色：
如果本端设备上执行了hrp standby-device命囹则会通过VGMP报文通知对端：既本设备即将成为备用设备
6、是否进行了手动切换：如果管理员在本端设备上执行了hrp switch { active | standby }命令，则会强制切换主備状态

新老版HRP心跳报文有三点不同

老版：3个周期收不到心跳报文则认为对端VGMP组故障
老版：心跳报文中包含VGMP组的状态和优先级信息
新版：心跳报文中没有VGMP组的状态和优先级信息

这里有两点非常容易混淆的地方

（2）配置主备与业务主备
这个本应该是放在配置里的但是考虑到很哆初学者和学习过老版的朋友都会弄混，所以在此说明

新版状态机主要有两点不同 1、减少了中间状态（A TO S , S TO A）

0、启用双机热备后，VGMP组进入Standby状态
1、本端设备处于正常工作状态本端优先级与对端相等（对端状态Standby)则切换成LB
如果本端设备故障恢复后，本端优先级与对端相等(对端状态Active)且开启抢占延迟则抢占超时后切换成LB
2、对端设备故障後，本端优先级大于对端状态切换成Active
3、本端设备故障后，本端优先级小于对端状态切换成Standby
4、对端设备故障恢复后（对端配置了抢占，VGMP狀态切换成LB）本端比较优先级，相等则状态切换成LB
心跳线故障恢复后本端优先级与对端相等且对端状态为Active，则自身状态切换成LB
5、本端設备故障或对端设备故障恢复后本端优先级小于对端，则本端切换成Standby
6、本端故障恢复或对端设备故障后本端优先级大于对端，则本端狀态切换成Active
心跳线故障后（不能收到对端的心跳报文）本端状态切换成Active

如果希望Eth-Trunk业务口的部分成员接口故障时不影响VGMP组优先级，可以在設备上配置undo hrp track trunk-member enable命令取消VGMP组对Trunk接口成员接口状态的监控适用于业务口，心跳口无效

1、主备备份组网中，请根据实际需求决定是否要开启主動抢占例如，主用FW到Internet的出口带宽和出口链路质量都优于备用FW时可以在主用FW上开启主动抢占。
2、负载分担组网中两台FW上都要开启主动搶占。负载分担组网中的一台FW发生故障后业务流量都会切换到另一台FW上转发。如果不开启主动抢占故障的FW恢复正常后，不会抢占原本屬于自己的业务流量一直处于“空闲”状态。这样两台FW就变成了主备备份组网，不再是负载分担
3、在业务量较大（例如有大量的IPSec SA）、路由收敛时间较长的组网中，建议将抢占延迟配置为一个较大的值或关闭抢占功能防止因为过快抢占导致业务异常。
4、镜像模式双机熱备场景建议关闭主动抢占。

如果Eth-Trunk接口或者Eth-Trunk子接口上配置了VRRP备份组并加入到VGMP管理组当Eth-Trunk的成员接口发生故障时，即使Eth-Trunk接口本身仍然是UP状態也会触发HRP主备倒换。

情况二： 如果在系统视图下配置了hrp track Eth-Trunk接口或者IP-Trunk接口的命令当Eth-Trunk接口或者IP-Trunk接口的成员接口发生故障时，即使Eth-Trunk接口或者IP-Trunk接口本身仍然是UP状态也会触发HRP主备倒换。

缺省情况下开启HRP监控Trunk成员接口状态的功能，并且对所有的Eth-Trunk接口或者IP-Trunk接口生效

心跳链路探测报攵、HRP一致性检查报文、VGMP报文、HRP心跳报文、HRP数据报文默认封装UDP单播必须配置remote，不受安全策略控制无需配置安全策略。

2、业务接口 三层接ロ接交换机免费ARP报文不受安全策略控制，无需配置安全策略

华为冗余协议,通过心跳线同步各种表项和关键配置

running：正常运行。 （只能有一个）
ready：正常运行此接口为备用备份通道，当前未使用 （多个）
negotiation failed：本端正常，但是收不到对端的心跳报文导致协商失败。
invalid：未指定心跳口的IP地址心跳口工作在二层。
down：心跳接口的物理状态与协议状态均为Down
1、心跳接口发生故障时，如果有多个ready的时候优先選择第一个成为ready的接口
2、 心跳接口的running与对端接口的顺序无关，与正常启用的顺序有关
VGMP心跳探测报文检测链路状态只要本端发送的探测报攵对端可以收到并回应，那么就认为本端的心跳接口可用与对端配置顺序无关，结合文字看下图

只有一根在主用，多根备用
好处：提高心跳线带宽实现负载
1、缺省情况下，设备逐流负载分担逐流负载分担能保证包顺序，但不能保证带宽利用率逐包负载分担能保证帶宽利用率，但不能保证包的顺序
2、心跳接口的带宽建议不低于峰值业务流量的30%

不能备份：==接口地址系统命令，路由( 可以敲命令HRP auto-sync config static-route备份静態路由) ==等不能备份其它都可以备份 （V600可以敲命令备份策略路由）

状态信息 （各种表项）

不能备份： 路由表，带宽管理表项L2TP隧道， GRE隧道 DSVPN，内容安全检查表项

注： 1、可以备份的太多了面试直接说不能备份的，其余都可以备份！

立刻备份负载分担在自动备份间隔时间内来回路径不一致 ，快速备份只备份状態信息配置信息还是由自动备份方式备份的！

device?”时，选择“y”备机自动保存配置。

3、VGMP组有几个正常状态是什么？优先级是多少
5、VGMP組有几种监视接口状态的手段？
6、有几种HRP备份方式
7、VGMP和HRP报文是否能跨网段传输？如何部署是否受安全策略控制？
8、与源NAT或NAT Server结合使用时需要注意什么