路由器分組過濾

❶ 請描述路由器處理一個IP分組的過程 挺急的 先謝謝了

當IP子網中的一抄台主機發襲送IP分組給同一IP子網的另一台主機時，它將直接把IP分組送到網路上，對方就能收到。而要送給不同IP於網上的主機時，它要選擇一個能到達目的子網上的路由器，把IP分組送給該路由器，由路由器負責把IP分組送到目的地。如果沒有找到這樣的路由器，主機就把IP分組送給一個稱為「預設網關（default gateway）」的路由器上。「預設網關」是每台主機上的一個配置參數，它是接在同一個網路上的某個路由器埠的IP地址。

❷ 簡述包過濾路由器防火牆的基本工作原理。

包過濾路由器防抄火牆是將過濾器安裝在襲路由器上或包過濾軟體安裝在PC機上的防火牆。它工作在網路層(IP)，並對每個進入的IP分組使用一個規則集合。包過濾規則是基於所收到的數據包的源地址、目的地址、TCP/UDP、源埠號及目的埠號、分組出入介面、協議類型和數據包中的各種標志位等參數，與管理者預定的訪問控製表(擬定一個提供接收和服務對象的清單，一個不接受訪問或服務對象的清單)進行比較，按所定安全政策允許或拒絕訪問，決定數據是否符合預先制定的安全策略，決定數據分組的轉發或丟棄，即實施信息過濾。

❸ 在防火牆中的分組過濾和MPLS標記交換是否兼容請說明理由。

兼容的。防火牆中基本都是三層防火牆。而MPLS是2.5層的。所以大部分防火牆是不支持過濾MPLS標簽的。相反，在路由器上可以設置標簽過濾。

❹ 包過濾路由器的優點有哪些

（1）簡單實用。
（2）速度快、效率高。
（3）對用戶和應用來講是透明的。

例子自己想吧

❺ 請教欣向路由器的分組策略問題

哥們抄！這個問題我也可以回答你襲呀！

1、有很多電影網站可以以網頁的形式播放視頻，這樣的話 他的埠不固定，這樣的情況路由器很難限制到，能看電影的網站太多了，網路設備的策略有限，如果要限制他們看所有的電影的話建議你不讓他們上網算了，在線看電影一般下載在65KB以上的話比較流暢，穩定，如果你把他限速限制在50以內這樣他們看電影要緩沖很長時間，這個速度一般的郵件是沒什麼問題的，這樣也不影響其他人網速

2、看看你是用的FOXMAILA之類的軟體發郵件的還是以網頁的形式如果是這一種的話。可以在外網ip埠裡面開啟白名單，把郵件埠給留著，

3、你可以再分組管理，成員管理裡面把經理的ip添加成一個組，把其他人放在一個組，然後再分組策略裡面設定經理組不做限制，其他組開啟內網埠過濾，開啟白名單，把QQ埠留著，就行了。

這些都是我平時自己測試，有問題咨詢欣向廠家工程師學到的。

❻ 說明路由器為IP分組選擇路由的過程

2 路由原理

——當IP子網中的一台主機發送IP分組給同一IP子網的另一台主機時，它將直接把IP分組送到網路上，對方就能收到。而要送給不同IP於網上的主機時，它要選擇一個能到達目的子網上的路由器，把IP分組送給該路由器，由路由器負責把IP分組送到目的地。如果沒有找到這樣的路由器，主機就把IP分組送給一個稱為「預設網關（default gateway）」的路由器上。「預設網關」是每台主機上的一個配置參數，它是接在同一個網路上的某個路由器埠的IP地址。

——路由器轉發IP分組時，只根據IP分組目的IP地址的網路號部分，選擇合適的埠，把IP分組送出去。同主機一樣，路由器也要判定埠所接的是否是目的子網，如果是，就直接把分組通過埠送到網路上，否則，也要選擇下一個路由器來傳送分組。路由器也有它的預設網關，用來傳送不知道往哪兒送的IP分組。這樣，通過路由器把知道如何傳送的IP分組正確轉發出去，不知道的IP分組送給「預設網關」路由器，這樣一級級地傳送，IP分組最終將送到目的地，送不到目的地的IP分組則被網路丟棄了。

——目前TCP／IP網路，全部是通過路由器互連起來的，Internet就是成千上萬個IP子網通過路由器互連起來的國際性網路。這種網路稱為以路由器為基礎的網路（router based network），形成了以路由器為節點的「網間網」。在「網間網」中，路由器不僅負責對IP分組的轉發，還要負責與別的路由器進行聯絡，共同確定「網間網」的路由選擇和維護路由表。

——路由動作包括兩項基本內容：尋徑和轉發。尋徑即判定到達目的地的最佳路徑，由路由選擇演算法來實現。由於涉及到不同的路由選擇協議和路由選擇演算法，要相對復雜一些。為了判定最佳路徑，路由選擇演算法必須啟動並維護包含路由信息的路由表，其中路由信息依賴於所用的路由選擇演算法而不盡相同。路由選擇演算法將收集到的不同信息填入路由表中，根據路由表可將目的網路與下一站（nexthop）的關系告訴路由器。路由器間互通信息進行路由更新，更新維護路由表使之正確反映網路的拓撲變化，並由路由器根據量度來決定最佳路徑。這就是路由選擇協議（routing protocol），例如路由信息協議（RIP）、開放式最短路徑優先協議（OSPF）和邊界網關協議（BGP）等。

——轉發即沿尋徑好的最佳路徑傳送信息分組。路由器首先在路由表中查找，判明是否知道如何將分組發送到下一個站點（路由器或主機），如果路由器不知道如何發送分組，通常將該分組丟棄；否則就根據路由表的相應表項將分組發送到下一個站點，如果目的網路直接與路由器相連，路由器就把分組直接送到相應的埠上。這就是路由轉發協議（routed protocol）。

——路由轉發協議和路由選擇協議是相互配合又相互獨立的概念，前者使用後者維護的路由表，同時後者要利用前者提供的功能來發布路由協議數據分組。下文中提到的路由協議，除非特別說明，都是指路由選擇協議，這也是普遍的習慣。

3。 路由協議

——典型的路由選擇方式有兩種：靜態路由和動態路由。
——靜態路由是在路由器中設置的固定的路由表。除非網路管理員干預，否則靜態路由不會發生變化。由於靜態路由不能對網路的改變作出反映，一般用於網路規模不大、拓撲結構固定的網路中。靜態路由的優點是簡單、高效、可靠。在所有的路由中，靜態路由優先順序最高。當動態路由與靜態路由發生沖突時，以靜態路由為准。

——動態路由是網路中的路由器之間相互通信，傳遞路由信息，利用收到的路由信息更新路由器表的過程。它能實時地適應網路結構的變化。如果路由更新信息表明發生了網路變化，路由選擇軟體就會重新計算路由，並發出新的路由更新信息。這些信息通過各個網路，引起各路由器重新啟動其路由演算法，並更新各自的路由表以動態地反映網路拓撲變化。動態路由適用於網路規模大、網路拓撲復雜的網路。當然，各種動態路由協議會不同程度地佔用網路帶寬和CPU資源。

——靜態路由和動態路由有各自的特點和適用范圍，因此在網路中動態路由通常作為靜態路由的補充。當一個分組在路由器中進行尋徑時，路由器首先查找靜態路由，如果查到則根據相應的靜態路由轉發分組；否則再查找動態路由。

——根據是否在一個自治域內部使用，動態路由協議分為內部網關協議（IGP）和外部網關協議（EGP）。這里的自治域指一個具有統一管理機構、統一路由策略的網路。自治域內部採用的路由選擇協議稱為內部網關協議，常用的有RIP、OSPF；外部網關協議主要用於多個自治域之間的路由選擇，常用的是BGP和BGP-4。下面分別進行簡要介紹。

❼ 路由器IP地址過濾規則怎麼設置 需要有截圖的詳細說明 公司有8台電腦 允許其中2台完全不受限制上網

這樣設置你死定了 網路很不安全
你外網可內網共用！
你這個水星路由器太低檔了，無法版分組實現控制，去換一權個DLINK-7200吧。那個可以分組控制和MAC綁定，機器自帶圖文說明。很方便 我們現在就用這個。不過建議你還是考慮網路安全

❽ 路由器進行路由選擇和路由器進行分組轉發有什麼關系

尊敬的用戶您好：當IP子網中的一台主機發送IP分組給同一IP子網的另一台主機時，它將直接回把IP分 組送到網路上，對方答就能收到。而要送給不同IP子網上的主機時，它要選擇一個能到達
目的子網上的路由器，把IP分組送給該路由器，由路由器負責把IP分組送到目的地。如
果沒有找到這樣的路由器，主機就把IP分組送給一個稱為「預設網關（default
gateway）」的路由器上。「預設網關」是每台主機上的一個配置參數，它是接在同一
個網路上的某個路由器埠的IP地址。
中國電信提供最優質的網路通訊服務，如需相關業務，可以直接通過電信網上營業廳或者實體營業廳查詢。
安徽電信竭誠為您服務。

❾ 路由器如何進行數據包過濾

數據包是TCP/IP協議通信傳輸中的數據單位，區域網中傳輸的不是「幀」嗎?
但是TCP/IP協議是工作在OSI模型第三層(網路層)、第四層(傳輸層)上的，而幀是工作在第二層(數據鏈路層)。
上一層的內容由下一層的內容來傳輸，所以在區域網中，「包」是包含在「幀」里的。
一、數據包過濾有時也稱為靜態數據包過濾，它通過分析傳入和傳出的數據包以及根據既定標准傳遞或阻止數據包來控制對網路的訪問，當路由器根據過濾規則轉發或拒絕數據包時，它便充當了一種數據包過濾器。
當數據包到達過濾數據包的路由器時，路由器會從數據包報頭中提取某些信息，根據過濾規則決定該數據包是應該通過還是應該丟棄。數據包過濾工作在開放式系統互聯 (OSI) 模型的網路層，或是 TCP/IP 的 Internet 層。
二、作為第3層設備，數據包過濾路由器根據源和目的 IP 地址、源埠和目的埠以及數據包的協議，利用規則來決定是應該允許還是拒絕流量。這些規則是使用訪問控制列表 (ACL) 定義的。
三、相信您還記得，ACL 是一系列 permit 或 deny 語句組成的順序列表，應用於 IP 地址或上層協議。ACL 可以從數據包報頭中提取以下信息，根據規則進行測試，然後決定是「允許」還是「拒絕」。
四、簡單的說，你上網打開網頁，這個簡單的動作，就是你先發送數據包給網站，它接收到了之後，根據你發送的數據包的IP地址，返回給你網頁的數據包，也就是說，網頁的瀏覽，實際上就是數據包的交換。
1、數據鏈路層對數據幀的長度都有一個限制，也就是鏈路層所能承受的最大數據長度，這個值稱為最大傳輸單元，即MTU。以乙太網為例，這個值通常是1500位元組。
2、對於IP數據包來講，也有一個長度，在IP包頭中，以16位來描述IP包的長度。一個IP包，最長可能是65535位元組。
3、結合以上兩個概念，第一個重要的結論就出來了，如果IP包的大小，超過了MTU值，那麼就需要分片，也就是把一個IP包分為多個。
數據包的結構與我們平常寫信非常類似，目的IP地址是說明這個數據包是要發給誰的，相當於收信人地址;
源IP地址是說明這個數據包是發自哪裡的，相當於發信人地址，而凈載數據相當於信件的內容，正是因為數據包具有這樣的結構，安裝了TCP/IP協議的計算機之間才能相互通信。
在使用基於TCP/IP協議的網路時，網路中其實傳遞的就是數據包。

❿ 路由器處理分組的過程（簡答）

當路由器收到一數據分組（我習慣叫數據包）後，先檢查源地址和目的地址，然後參照目的地址去比對路由表，如果如有表中有和目的地址匹配的條目，則按路由表的路徑轉發，如果不匹配則把該數據分組丟棄！