包過濾配置

『壹』 做包過濾防火牆及NAT功能配置，完全按照老師給的代碼做的，但是就是不通啊

沒有到達目的網路200.1.1.2的路由，直連介面 fa2/0介面IP是 200.1.1.14/29 ，很明顯200.1.1.2 跟 200.1.1.8/29 不在同一個網段， 檢查是否子網掩碼配置錯誤？

『貳』 簡單分析nat技術的種類及應用場景以及域間包過濾規則配置應該注意哪些

簡單分析這個技術的種類及應用場景，其遇上培養。我看不懂。

『叄』 求一份烽火S4800基本配置

• 豐富的業務控制

  S4800支持基於不同欄位劃分VLAN，並支持VLAN映射和基本QinQ，可基於埠、VLAN、流等不同關鍵欄位對包進行分類，實現更加靈活的業務分流和多業務承載。

  S4800提供擴展的ACL功能，具備L2～L4包過濾能力，支持帶寬限速、優先順序調度和映射，以及靈活的隊列調度演算法，能夠通過多樣化的方法實現對業務的豐富的管理功能。

  S4800支持豐富的組播協議，支持IGMP Snooping、IGMP Proxy、IGMP Fast Leave等。

• 完備的QoS策略

  S4800每個埠支持高達8個優先順序隊列，支持DiffServ區分服務，能夠根據源MAC、目的MAC、源IP、目的IP及TCP/UDP埠等規則智能地區分不同的應用流，並支持基於埠、流、VLAN等的帶寬限制，支持SP、WRR、SP +WRR等模式的調度演算法及WRED丟棄演算法，滿足實時多媒體應用的需求，為視頻、語音等實時性業務的發展提供網路基礎。

• 可靠的網路質量

  S4800支持STP/RSTP/MSTP生成樹協議， 支持R-Link、G.8032以太環網保護，構建環型、樹型等多種拓撲結構，並可實現以太環網的50毫秒級快速保護倒換，保證高可靠性的網路質量。

• 完善的安全機制

  S4800提供多種安全保護功能，支持防ARP攻擊，可以防止因ARP欺騙攻擊將交換機ARP表項占滿，導致正常用戶無法上網。

  同時，S4800支持IP Source Guard特性，防止包括MAC 欺騙、IP欺騙、MAC/IP欺騙在內的非法地址仿冒帶來的DoS攻擊。

  S4800支持802.1X認證、RADIUS認證、用戶綁定（埠+源MAC+源IP地址訪問控制），可有效識別安全用戶，防範用戶的非法侵入和未經授權的訪問。

  S4800支持基於埠的源MAC地址學習限制功能，有效防止用戶源MAC欺騙沖擊設備MAC表項，導致正常用戶無法學到MAC表而泛洪的問題等。

  S4800還可以通過配置ACL來清除網路流量中的非法攻擊，最大程度的保護網路的安全性。

• 靈活的PoE特性

  S4800-PE嚴格符合IEEE 802.3af 標准及IEEE 802.3at標准，支持30W大功率網路設備長距離供電，很好的滿足了用戶的大功率供電需求。

  此外，S4800-PE支持自動功率調節、分時供電，滿足用戶靈活供電配置需求。設備高效散熱、靜音降噪，支持綠色節能。

• 高效的綠色節能

  S4800電口設備採用無風扇設計，大幅降低設備功耗，實現設備運行無噪音，減少機械故障點，同時免除凝露腐蝕和塵土侵害。

  S4800採用新一代高集成晶元節能電路設計，散熱均衡，支持空閑埠休眠，充分節省電源功耗。

  S4800輻射低，達到家用電器標准，對人體無危害。

『肆』 配置訪問控制列表必須作的配置是什麼

配置訪問控制抄列表必須作的配置是：定義訪問控制列表；在介面上應用訪問控制列表；啟動防火牆對數據包過濾。

訪問控制列表(ACL)是一種基於包過濾的訪問控制技術，它可以根據設定的條件對介面上的數據包進行過濾，允許其通過或丟棄。訪問控制列表被廣泛地應用於路由器和三層交換機，藉助於訪問控制列表，可以有效地控制用戶對網路的訪問，從而最大程度地保障網路安全。

(4)包過濾配置擴展閱讀：

訪問控制列表具有許多作用，如限制網路流量、提高網路性能；通信流量的控制，例如ACL可以限定或簡化路由更新信息的長度，從而限制通過路由器某一網段的通信流量；提供網路安全訪問的基本手段；在路由器埠處決定哪種類型的通信流量被轉發或被阻塞，例如，用戶可以允許E-mail通信流量被路由，拒絕所有的 Telnet通信流量等。

ARG3系列路由器支持兩種匹配順序：配置順序和自動排序。配置順序按ACL規則編號（rule-id）從小到大的順序進行匹配。通過設置步長，使規則之間留有一定的空間。默認步長是5。路由器匹配規則時默認採用配置順序。自動排序使用「深度優先」的原則進行匹配，即根據規則的精確度排序。

『伍』 迪普防火牆配置包過濾日誌存儲到本地，本地查詢不到，怎麼回事

包過濾策略的動作是否勾選命中日誌，本地存儲日誌條數有限，查詢當天日誌確認是否正常，建議日誌發送迪普的統一管理平台UMC上存儲。

『陸』 防火牆策略配置下的包過濾策略默認狀態是什麼

好像有防火牆上有默認設置,自己點開看啊

『柒』 我用ensp模擬器練習配置命令，想學習QoS或者包過濾命令，敲到老是提示錯誤，是不是模擬沒有這些命令，

華為的模擬器我以前用過，有的命令敲不出來，後來就沒用了，你說的qos這個，估計數敲不出來的，或許換個更高的版本可以

『捌』 怎麼配置飛塔防火牆

飛塔防火牆默認管理地址為192.168.1.99 ，配置好你終端地址後可以通過https://192.168.1.99訪問防火牆web管理界版面，用戶名admin密碼默認為權空。
如果要實現內網用戶訪問公網的話需要以下幾步：
1、配置內外網介面地址
2、配置相應內外網路由
3、配置NAT規則和相應包過濾允許規則

網上應該有相應配置教程，可以搜索下載參考配置。

『玖』 華為usg怎麼配置域間包過濾策略

web方式配置比較簡單，創建兩個域間的策略，然後選擇相應的包就行了

『拾』 靜態包過濾技術主要用在什麼樣的網路路由器上

路由器
要解釋路由器的概念，首先要介紹什麼是路由。所謂「路由」，是指把數據從一個地方傳送到另一個地方的行為和動作，而路由器，正是執行這種行為動作的機器，它的英文名稱為Router。

簡單的講，路由器主要有以下幾種功能：

第一，網路互連，路由器支持各種區域網和廣域網介面，主要用於互連區域網和廣域網，實現不同網路互相通信；

第二，數據處理，提供包括分組過濾、分組轉發、優先順序、復用、加密、壓縮和防火牆等功能；

第三，網路管理，路由器提供包括配置管理、性能管理、容錯管理和流量控制等功能。

為了完成「路由」的工作，在路由器中保存著各種傳輸路徑的相關數據－－路由表（Routing Table），供路由選擇時使用。路由表中保存著子網的標志信息、網上路由器的個數和下一個路由器的名字等內容。路由表可以是由系統管理員固定設置好的，也可以由系統動態修改，可以由路由器自動調整，也可以由主機控制。在路由器中涉及到兩個有關地址的名字概念，那就是：靜態路由表和動態路由表。由系統管理員事先設置好固定的路由表稱之為靜態（static）路由表，一般是在系統安裝時就根據網路的配置情況預先設定的，它不會隨未來網路結構的改變而改變。動態（Dynamic）路由表是路由器根據網路系統的運行情況而自動調整的路由表。路由器根據路由選擇協議（Routing Protocol）提供的功能，自動學習和記憶網路運行情況，在需要時自動計算數據傳輸的最佳路徑。

為了簡單地說明路由器的工作原理，現在我們假設有這樣一個簡單的網路。如圖所示，A、B、C、D四個網路通過路由器連接在一起。

現在我們來看一下在如圖所示網路環境下路由器又是如何發揮其路由、數據轉發作用的。現假設網路A中一個用戶A1要向C網路中的C3用戶發送一個請求信號時，信號傳遞的步驟如下：

第1步：用戶A1將目的用戶C3的地址C3，連同數據信息以數據幀的形式通過集線器或交換機以廣播的形式發送給同一網路中的所有節點，當路由器A5埠偵聽到這個地址後，分析得知所發目的節點不是本網段的，需要路由轉發，就把數據幀接收下來。

第2步：路由器A5埠接收到用戶A1的數據幀後，先從報頭中取出目的用戶C3的IP地址，並根據路由表計算出發往用戶C3的最佳路徑。因為從分析得知到C3的網路ID號與路由器的C5網路ID號相同，所以由路由器的A5埠直接發向路由器的C5埠應是信號傳遞的最佳途經。

第3步：路由器的C5埠再次取出目的用戶C3的IP地址，找出C3的IP地址中的主機ID號，如果在網路中有交換機則可先發給交換機，由交換機根據MAC地址表找出具體的網路節點位置；如果沒有交換機設備則根據其IP地址中的主機ID直接把數據幀發送給用戶C3，這樣一個完整的數據通信轉發過程也完成了。

從上面可以看出，不管網路有多麼復雜，路由器其實所作的工作就是這么幾步，所以整個路由器的工作原理基本都差不多。當然在實際的網路中還遠比上圖所示的要復雜許多，實際的步驟也不會像上述那麼簡單，但總的過程是這樣的。

增加路由器涉及的基本協議

路由器英文名稱為Router，是一種用於連接多個網路或網段的網路設備。這些網路可以是幾個使用不同協議和體系結構的網路(比如互聯網與區域網)，可以是幾個不同網段的網路(比如大型互聯網中不同部門的網路)，當數據信息從一個部門網路傳輸到另外一個部門網路時，可以用路由器完成。現在，家庭區域網也越來越多地採用路由器寬頻共享的方式上網。

路由器在連接不同網路或網段時，可以對這些網路之間的數據信息進行「翻譯」，然後「翻譯」成雙方都能「讀」懂的數據，這樣就可以實現不同網路或網段間的互聯互通。同時，它還具有判斷網路地址和選擇路徑的功能以及過濾和分隔網路信息流的功能。目前，路由器已成為各種骨幹網路內部之間、骨幹網之間以及骨幹網和互聯網之間連接的樞紐。

NAT:全稱Network Address Translation(網路地址轉換)，路由器通過NAT功能可以將區域網內部的IP地址轉換為合法的IP地址並進行Internet的訪問。比如，區域網內部有個IP地址為192.168.0.1的計算機，當然通過該IP地址可以和內網其他的計算機通信;但是如果該計算機要訪問外部Internet網路，那麼就需要通過NAT功能將192.168.0.1轉換為合法的廣域網IP地址，比如210.113.25.100。

DHCP:全稱Dynamic Host Configuration Protocol(動態主機配置協議)，通過DHCP功能，路由器可以為網路內的主機動態指定IP地址，而不需要每個用戶去設置靜態IP地址，並將TCP/IP配置參數分發給區域網內合法的網路客戶端。

DDNS:全稱Dynamic Domain Name Server(動態域名解析系統)，通常稱為「動態DNS」，因為對於普通的寬頻上網使用的都是ISP(網路服務商)提供的動態IP地址。如果在區域網內建立了某個伺服器需要Internet用戶進行訪問，那麼，可以通過路由器的DDNS功能將動態IP地址解析為一個固定的域名，比如www.cpcw.com，這樣Internet用戶就可以通過該固定域名對內網伺服器進行訪問。

PPPoE:全稱PPP over Ethernet(乙太網上的點對點協議)，通過PPPoE技術，可以讓寬頻數據機(比如ADSL Modem)用戶獲得寬頻網的個人身份驗證訪問，能為每個用戶創建虛擬撥號連接，這樣就可以高速連接到Internet。路由器具備該功能，可以實現PPPoE的自動撥號連接，這樣與路由器連接的用戶可以自動連接到Internet。

ICMP:全稱Internet Control Message Protocol(Internet控制消息協議)，該協議是TCP/IP協議集中的一個子協議，主要用於在主機與路由器之間傳遞控制信息，包括報告錯誤、交換受限控制和狀態信息等。
總的來說，路由器與交換機的主要區別體現在以下幾個方面：

（1）工作層次不同

最初的的交換機是工作在OSI／RM開放體系結構的數據鏈路層，也就是第二層，而路由器一開始就設計工作在OSI模型的網路層。由於交換機工作在OSI的第二層（數據鏈路層），所以它的工作原理比較簡單，而路由器工作在OSI的第三層（網路層），可以得到更多的協議信息，路由器可以做出更加智能的轉發決策。

（2）數據轉發所依據的對象不同

交換機是利用物理地址或者說MAC地址來確定轉發數據的目的地址。而路由器則是利用不同網路的ID號（即IP地址）來確定數據轉發的地址。IP地址是在軟體中實現的，描述的是設備所在的網路，有時這些第三層的地址也稱為協議地址或者網路地址。MAC地址通常是硬體自帶的，由網卡生產商來分配的，而且已經固化到了網卡中去，一般來說是不可更改的。而IP地址則通常由網路管理員或系統自動分配。

（3）傳統的交換機只能分割沖突域，不能分割廣播域；而路由器可以分割廣播域

由交換機連接的網段仍屬於同一個廣播域，廣播數據包會在交換機連接的所有網段上傳播，在某些情況下會導致通信擁擠和安全漏洞。連接到路由器上的網段會被分配成不同的廣播域，廣播數據不會穿過路由器。雖然第三層以上交換機具有VLAN功能，也可以分割廣播域，但是各子廣播域之間是不能通信交流的，它們之間的交流仍然需要路由器。

（4）路由器提供了防火牆的服務

路由器僅僅轉發特定地址的數據包，不傳送不支持路由協議的數據包傳送和未知目標網路數據包的傳送，從而可以防止廣播風暴。

交換機一般用於LAN-WAN的連接，交換機歸於網橋，是數據鏈路層的設備，有些交換機也可實現第三層的交換。 路由器用於WAN-WAN之間的連接，可以解決異性網路之間轉發分組，作用於網路層。他們只是從一條線路上接受輸入分組，然後向另一條線路轉發。這兩條線路可能分屬於不同的網路，並採用不同協議。相比較而言，路由器的功能較交換機要強大，但速度相對也慢，價格昂貴，第三層交換機既有交換機線速轉發報文能力，又有路由器良好的控制功能，因此得以廣泛應用。

目前個人比較多寬頻接入方式就是ADSL，因此筆者就ADSL的接入來簡單的說明一下。現在購買的ADSL貓大多具有路由功能（很多的時候廠家在出廠時將路由功能屏蔽了，因為電信安裝時大多是不啟用路由功能的，啟用DHCP。打開ADSL的路由功能），如果個人上網或少數幾台通過ADSL本身就可以了，如果電腦比較多你只需要再購買一個或多個集線器或者交換機。考慮到如今集線器與交換機的 價格相差十分小，不是特殊的原因，請購買一個交換機。不必去追求高價，因為如今產品同質化十分嚴重，我最便宜的交換機現在沒有任 何問題。給你一個參考報價，建議你購買一個8口的，以滿足擴充需求，一般的價格100元左右。接上交換機，所有電腦再接到交換機上就行了。餘下所要做的事情就只有把各個機器的網線插入交換機的介面，將貓的網線插入uplink介面。然後設置路由功能，DHCP等， 就可以共享上網了。

看完以上的解說讀者應該對交換機、集線器、路由器有了一些了解，目前的使用主要還是以交換機、路由器的組合使用為主，具體的組合方式可根據具體的網路情況和需求來確定。
路由器是互聯網路中必不可少的網路設備之一，路由器是一種連接多個網路或網段的網路設備，它能將不同網路或網段之間的數據信息進行「翻譯」，以使它們能夠相互「讀」懂對方的數據，從而構成一個更大的網路。 路由器有兩大典型功能，即數據通道功能和控制功能。數據通道功能包括轉發決定、背板轉發以及輸出鏈路調度等，一般由特定的硬體來完成；控制功能一般用軟體來實現，包括與相鄰路由器之間的信息交換、系統配置、系統管理等。