包过滤配置

『壹』 做包过滤防火墙及NAT功能配置，完全按照老师给的代码做的，但是就是不通啊

没有到达目的网络200.1.1.2的路由，直连接口 fa2/0接口IP是 200.1.1.14/29 ，很明显200.1.1.2 跟 200.1.1.8/29 不在同一个网段， 检查是否子网掩码配置错误？

『贰』 简单分析nat技术的种类及应用场景以及域间包过滤规则配置应该注意哪些

简单分析这个技术的种类及应用场景，其遇上培养。我看不懂。

『叁』 求一份烽火S4800基本配置

• 丰富的业务控制

  S4800支持基于不同字段划分VLAN，并支持VLAN映射和基本QinQ，可基于端口、VLAN、流等不同关键字段对包进行分类，实现更加灵活的业务分流和多业务承载。

  S4800提供扩展的ACL功能，具备L2～L4包过滤能力，支持带宽限速、优先级调度和映射，以及灵活的队列调度算法，能够通过多样化的方法实现对业务的丰富的管理功能。

  S4800支持丰富的组播协议，支持IGMP Snooping、IGMP Proxy、IGMP Fast Leave等。

• 完备的QoS策略

  S4800每个端口支持高达8个优先级队列，支持DiffServ区分服务，能够根据源MAC、目的MAC、源IP、目的IP及TCP/UDP端口等规则智能地区分不同的应用流，并支持基于端口、流、VLAN等的带宽限制，支持SP、WRR、SP +WRR等模式的调度算法及WRED丢弃算法，满足实时多媒体应用的需求，为视频、语音等实时性业务的发展提供网络基础。

• 可靠的网络质量

  S4800支持STP/RSTP/MSTP生成树协议， 支持R-Link、G.8032以太环网保护，构建环型、树型等多种拓扑结构，并可实现以太环网的50毫秒级快速保护倒换，保证高可靠性的网络质量。

• 完善的安全机制

  S4800提供多种安全保护功能，支持防ARP攻击，可以防止因ARP欺骗攻击将交换机ARP表项占满，导致正常用户无法上网。

  同时，S4800支持IP Source Guard特性，防止包括MAC 欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒带来的DoS攻击。

  S4800支持802.1X认证、RADIUS认证、用户绑定（端口+源MAC+源IP地址访问控制），可有效识别安全用户，防范用户的非法侵入和未经授权的访问。

  S4800支持基于端口的源MAC地址学习限制功能，有效防止用户源MAC欺骗冲击设备MAC表项，导致正常用户无法学到MAC表而泛洪的问题等。

  S4800还可以通过配置ACL来清除网络流量中的非法攻击，最大程度的保护网络的安全性。

• 灵活的PoE特性

  S4800-PE严格符合IEEE 802.3af 标准及IEEE 802.3at标准，支持30W大功率网络设备长距离供电，很好的满足了用户的大功率供电需求。

  此外，S4800-PE支持自动功率调节、分时供电，满足用户灵活供电配置需求。设备高效散热、静音降噪，支持绿色节能。

• 高效的绿色节能

  S4800电口设备采用无风扇设计，大幅降低设备功耗，实现设备运行无噪音，减少机械故障点，同时免除凝露腐蚀和尘土侵害。

  S4800采用新一代高集成芯片节能电路设计，散热均衡，支持空闲端口休眠，充分节省电源功耗。

  S4800辐射低，达到家用电器标准，对人体无危害。

『肆』 配置访问控制列表必须作的配置是什么

配置访问控制抄列表必须作的配置是：定义访问控制列表；在接口上应用访问控制列表；启动防火墙对数据包过滤。

访问控制列表(ACL)是一种基于包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机，借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大程度地保障网络安全。

(4)包过滤配置扩展阅读：

访问控制列表具有许多作用，如限制网络流量、提高网络性能；通信流量的控制，例如ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量；提供网络安全访问的基本手段；在路由器端口处决定哪种类型的通信流量被转发或被阻塞，例如，用户可以允许E-mail通信流量被路由，拒绝所有的 Telnet通信流量等。

ARG3系列路由器支持两种匹配顺序：配置顺序和自动排序。配置顺序按ACL规则编号（rule-id）从小到大的顺序进行匹配。通过设置步长，使规则之间留有一定的空间。默认步长是5。路由器匹配规则时默认采用配置顺序。自动排序使用“深度优先”的原则进行匹配，即根据规则的精确度排序。

『伍』 迪普防火墙配置包过滤日志存储到本地，本地查询不到，怎么回事

包过滤策略的动作是否勾选命中日志，本地存储日志条数有限，查询当天日志确认是否正常，建议日志发送迪普的统一管理平台UMC上存储。

『陆』 防火墙策略配置下的包过滤策略默认状态是什么

好像有防火墙上有默认设置,自己点开看啊

『柒』 我用ensp模拟器练习配置命令，想学习QoS或者包过滤命令，敲到老是提示错误，是不是模拟没有这些命令，

华为的模拟器我以前用过，有的命令敲不出来，后来就没用了，你说的qos这个，估计数敲不出来的，或许换个更高的版本可以

『捌』 怎么配置飞塔防火墙

飞塔防火墙默认管理地址为192.168.1.99 ，配置好你终端地址后可以通过https://192.168.1.99访问防火墙web管理界版面，用户名admin密码默认为权空。
如果要实现内网用户访问公网的话需要以下几步：
1、配置内外网接口地址
2、配置相应内外网路由
3、配置NAT规则和相应包过滤允许规则

网上应该有相应配置教程，可以搜索下载参考配置。

『玖』 华为usg怎么配置域间包过滤策略

web方式配置比较简单，创建两个域间的策略，然后选择相应的包就行了

『拾』 静态包过滤技术主要用在什么样的网络路由器上

路由器
要解释路由器的概念，首先要介绍什么是路由。所谓“路由”，是指把数据从一个地方传送到另一个地方的行为和动作，而路由器，正是执行这种行为动作的机器，它的英文名称为Router。

简单的讲，路由器主要有以下几种功能：

第一，网络互连，路由器支持各种局域网和广域网接口，主要用于互连局域网和广域网，实现不同网络互相通信；

第二，数据处理，提供包括分组过滤、分组转发、优先级、复用、加密、压缩和防火墙等功能；

第三，网络管理，路由器提供包括配置管理、性能管理、容错管理和流量控制等功能。

为了完成“路由”的工作，在路由器中保存着各种传输路径的相关数据－－路由表（Routing Table），供路由选择时使用。路由表中保存着子网的标志信息、网上路由器的个数和下一个路由器的名字等内容。路由表可以是由系统管理员固定设置好的，也可以由系统动态修改，可以由路由器自动调整，也可以由主机控制。在路由器中涉及到两个有关地址的名字概念，那就是：静态路由表和动态路由表。由系统管理员事先设置好固定的路由表称之为静态（static）路由表，一般是在系统安装时就根据网络的配置情况预先设定的，它不会随未来网络结构的改变而改变。动态（Dynamic）路由表是路由器根据网络系统的运行情况而自动调整的路由表。路由器根据路由选择协议（Routing Protocol）提供的功能，自动学习和记忆网络运行情况，在需要时自动计算数据传输的最佳路径。

为了简单地说明路由器的工作原理，现在我们假设有这样一个简单的网络。如图所示，A、B、C、D四个网络通过路由器连接在一起。

现在我们来看一下在如图所示网络环境下路由器又是如何发挥其路由、数据转发作用的。现假设网络A中一个用户A1要向C网络中的C3用户发送一个请求信号时，信号传递的步骤如下：

第1步：用户A1将目的用户C3的地址C3，连同数据信息以数据帧的形式通过集线器或交换机以广播的形式发送给同一网络中的所有节点，当路由器A5端口侦听到这个地址后，分析得知所发目的节点不是本网段的，需要路由转发，就把数据帧接收下来。

第2步：路由器A5端口接收到用户A1的数据帧后，先从报头中取出目的用户C3的IP地址，并根据路由表计算出发往用户C3的最佳路径。因为从分析得知到C3的网络ID号与路由器的C5网络ID号相同，所以由路由器的A5端口直接发向路由器的C5端口应是信号传递的最佳途经。

第3步：路由器的C5端口再次取出目的用户C3的IP地址，找出C3的IP地址中的主机ID号，如果在网络中有交换机则可先发给交换机，由交换机根据MAC地址表找出具体的网络节点位置；如果没有交换机设备则根据其IP地址中的主机ID直接把数据帧发送给用户C3，这样一个完整的数据通信转发过程也完成了。

从上面可以看出，不管网络有多么复杂，路由器其实所作的工作就是这么几步，所以整个路由器的工作原理基本都差不多。当然在实际的网络中还远比上图所示的要复杂许多，实际的步骤也不会像上述那么简单，但总的过程是这样的。

增加路由器涉及的基本协议

路由器英文名称为Router，是一种用于连接多个网络或网段的网络设备。这些网络可以是几个使用不同协议和体系结构的网络(比如互联网与局域网)，可以是几个不同网段的网络(比如大型互联网中不同部门的网络)，当数据信息从一个部门网络传输到另外一个部门网络时，可以用路由器完成。现在，家庭局域网也越来越多地采用路由器宽带共享的方式上网。

路由器在连接不同网络或网段时，可以对这些网络之间的数据信息进行“翻译”，然后“翻译”成双方都能“读”懂的数据，这样就可以实现不同网络或网段间的互联互通。同时，它还具有判断网络地址和选择路径的功能以及过滤和分隔网络信息流的功能。目前，路由器已成为各种骨干网络内部之间、骨干网之间以及骨干网和互联网之间连接的枢纽。

NAT:全称Network Address Translation(网络地址转换)，路由器通过NAT功能可以将局域网内部的IP地址转换为合法的IP地址并进行Internet的访问。比如，局域网内部有个IP地址为192.168.0.1的计算机，当然通过该IP地址可以和内网其他的计算机通信;但是如果该计算机要访问外部Internet网络，那么就需要通过NAT功能将192.168.0.1转换为合法的广域网IP地址，比如210.113.25.100。

DHCP:全称Dynamic Host Configuration Protocol(动态主机配置协议)，通过DHCP功能，路由器可以为网络内的主机动态指定IP地址，而不需要每个用户去设置静态IP地址，并将TCP/IP配置参数分发给局域网内合法的网络客户端。

DDNS:全称Dynamic Domain Name Server(动态域名解析系统)，通常称为“动态DNS”，因为对于普通的宽带上网使用的都是ISP(网络服务商)提供的动态IP地址。如果在局域网内建立了某个服务器需要Internet用户进行访问，那么，可以通过路由器的DDNS功能将动态IP地址解析为一个固定的域名，比如www.cpcw.com，这样Internet用户就可以通过该固定域名对内网服务器进行访问。

PPPoE:全称PPP over Ethernet(以太网上的点对点协议)，通过PPPoE技术，可以让宽带调制解调器(比如ADSL Modem)用户获得宽带网的个人身份验证访问，能为每个用户创建虚拟拨号连接，这样就可以高速连接到Internet。路由器具备该功能，可以实现PPPoE的自动拨号连接，这样与路由器连接的用户可以自动连接到Internet。

ICMP:全称Internet Control Message Protocol(Internet控制消息协议)，该协议是TCP/IP协议集中的一个子协议，主要用于在主机与路由器之间传递控制信息，包括报告错误、交换受限控制和状态信息等。
总的来说，路由器与交换机的主要区别体现在以下几个方面：

（1）工作层次不同

最初的的交换机是工作在OSI／RM开放体系结构的数据链路层，也就是第二层，而路由器一开始就设计工作在OSI模型的网络层。由于交换机工作在OSI的第二层（数据链路层），所以它的工作原理比较简单，而路由器工作在OSI的第三层（网络层），可以得到更多的协议信息，路由器可以做出更加智能的转发决策。

（2）数据转发所依据的对象不同

交换机是利用物理地址或者说MAC地址来确定转发数据的目的地址。而路由器则是利用不同网络的ID号（即IP地址）来确定数据转发的地址。IP地址是在软件中实现的，描述的是设备所在的网络，有时这些第三层的地址也称为协议地址或者网络地址。MAC地址通常是硬件自带的，由网卡生产商来分配的，而且已经固化到了网卡中去，一般来说是不可更改的。而IP地址则通常由网络管理员或系统自动分配。

（3）传统的交换机只能分割冲突域，不能分割广播域；而路由器可以分割广播域

由交换机连接的网段仍属于同一个广播域，广播数据包会在交换机连接的所有网段上传播，在某些情况下会导致通信拥挤和安全漏洞。连接到路由器上的网段会被分配成不同的广播域，广播数据不会穿过路由器。虽然第三层以上交换机具有VLAN功能，也可以分割广播域，但是各子广播域之间是不能通信交流的，它们之间的交流仍然需要路由器。

（4）路由器提供了防火墙的服务

路由器仅仅转发特定地址的数据包，不传送不支持路由协议的数据包传送和未知目标网络数据包的传送，从而可以防止广播风暴。

交换机一般用于LAN-WAN的连接，交换机归于网桥，是数据链路层的设备，有些交换机也可实现第三层的交换。 路由器用于WAN-WAN之间的连接，可以解决异性网络之间转发分组，作用于网络层。他们只是从一条线路上接受输入分组，然后向另一条线路转发。这两条线路可能分属于不同的网络，并采用不同协议。相比较而言，路由器的功能较交换机要强大，但速度相对也慢，价格昂贵，第三层交换机既有交换机线速转发报文能力，又有路由器良好的控制功能，因此得以广泛应用。

目前个人比较多宽带接入方式就是ADSL，因此笔者就ADSL的接入来简单的说明一下。现在购买的ADSL猫大多具有路由功能（很多的时候厂家在出厂时将路由功能屏蔽了，因为电信安装时大多是不启用路由功能的，启用DHCP。打开ADSL的路由功能），如果个人上网或少数几台通过ADSL本身就可以了，如果电脑比较多你只需要再购买一个或多个集线器或者交换机。考虑到如今集线器与交换机的 价格相差十分小，不是特殊的原因，请购买一个交换机。不必去追求高价，因为如今产品同质化十分严重，我最便宜的交换机现在没有任 何问题。给你一个参考报价，建议你购买一个8口的，以满足扩充需求，一般的价格100元左右。接上交换机，所有电脑再接到交换机上就行了。余下所要做的事情就只有把各个机器的网线插入交换机的接口，将猫的网线插入uplink接口。然后设置路由功能，DHCP等， 就可以共享上网了。

看完以上的解说读者应该对交换机、集线器、路由器有了一些了解，目前的使用主要还是以交换机、路由器的组合使用为主，具体的组合方式可根据具体的网络情况和需求来确定。
路由器是互联网络中必不可少的网络设备之一，路由器是一种连接多个网络或网段的网络设备，它能将不同网络或网段之间的数据信息进行“翻译”，以使它们能够相互“读”懂对方的数据，从而构成一个更大的网络。 路由器有两大典型功能，即数据通道功能和控制功能。数据通道功能包括转发决定、背板转发以及输出链路调度等，一般由特定的硬件来完成；控制功能一般用软件来实现，包括与相邻路由器之间的信息交换、系统配置、系统管理等。