路由器分组过滤

❶ 请描述路由器处理一个IP分组的过程 挺急的 先谢谢了

当IP子网中的一抄台主机发袭送IP分组给同一IP子网的另一台主机时，它将直接把IP分组送到网络上，对方就能收到。而要送给不同IP于网上的主机时，它要选择一个能到达目的子网上的路由器，把IP分组送给该路由器，由路由器负责把IP分组送到目的地。如果没有找到这样的路由器，主机就把IP分组送给一个称为“缺省网关（default gateway）”的路由器上。“缺省网关”是每台主机上的一个配置参数，它是接在同一个网络上的某个路由器端口的IP地址。

❷ 简述包过滤路由器防火墙的基本工作原理。

包过滤路由器防抄火墙是将过滤器安装在袭路由器上或包过滤软件安装在PC机上的防火墙。它工作在网络层(IP)，并对每个进入的IP分组使用一个规则集合。包过滤规则是基于所收到的数据包的源地址、目的地址、TCP/UDP、源端口号及目的端口号、分组出入接口、协议类型和数据包中的各种标志位等参数，与管理者预定的访问控制表(拟定一个提供接收和服务对象的清单，一个不接受访问或服务对象的清单)进行比较，按所定安全政策允许或拒绝访问，决定数据是否符合预先制定的安全策略，决定数据分组的转发或丢弃，即实施信息过滤。

❸ 在防火墙中的分组过滤和MPLS标记交换是否兼容请说明理由。

兼容的。防火墙中基本都是三层防火墙。而MPLS是2.5层的。所以大部分防火墙是不支持过滤MPLS标签的。相反，在路由器上可以设置标签过滤。

❹ 包过滤路由器的优点有哪些

（1）简单实用。
（2）速度快、效率高。
（3）对用户和应用来讲是透明的。

例子自己想吧

❺ 请教欣向路由器的分组策略问题

哥们抄！这个问题我也可以回答你袭呀！

1、有很多电影网站可以以网页的形式播放视频，这样的话 他的端口不固定，这样的情况路由器很难限制到，能看电影的网站太多了，网络设备的策略有限，如果要限制他们看所有的电影的话建议你不让他们上网算了，在线看电影一般下载在65KB以上的话比较流畅，稳定，如果你把他限速限制在50以内这样他们看电影要缓冲很长时间，这个速度一般的邮件是没什么问题的，这样也不影响其他人网速

2、看看你是用的FOXMAILA之类的软件发邮件的还是以网页的形式如果是这一种的话。可以在外网ip端口里面开启白名单，把邮件端口给留着，

3、你可以再分组管理，成员管理里面把经理的ip添加成一个组，把其他人放在一个组，然后再分组策略里面设定经理组不做限制，其他组开启内网端口过滤，开启白名单，把QQ端口留着，就行了。

这些都是我平时自己测试，有问题咨询欣向厂家工程师学到的。

❻ 说明路由器为IP分组选择路由的过程

2 路由原理

——当IP子网中的一台主机发送IP分组给同一IP子网的另一台主机时，它将直接把IP分组送到网络上，对方就能收到。而要送给不同IP于网上的主机时，它要选择一个能到达目的子网上的路由器，把IP分组送给该路由器，由路由器负责把IP分组送到目的地。如果没有找到这样的路由器，主机就把IP分组送给一个称为“缺省网关（default gateway）”的路由器上。“缺省网关”是每台主机上的一个配置参数，它是接在同一个网络上的某个路由器端口的IP地址。

——路由器转发IP分组时，只根据IP分组目的IP地址的网络号部分，选择合适的端口，把IP分组送出去。同主机一样，路由器也要判定端口所接的是否是目的子网，如果是，就直接把分组通过端口送到网络上，否则，也要选择下一个路由器来传送分组。路由器也有它的缺省网关，用来传送不知道往哪儿送的IP分组。这样，通过路由器把知道如何传送的IP分组正确转发出去，不知道的IP分组送给“缺省网关”路由器，这样一级级地传送，IP分组最终将送到目的地，送不到目的地的IP分组则被网络丢弃了。

——目前TCP／IP网络，全部是通过路由器互连起来的，Internet就是成千上万个IP子网通过路由器互连起来的国际性网络。这种网络称为以路由器为基础的网络（router based network），形成了以路由器为节点的“网间网”。在“网间网”中，路由器不仅负责对IP分组的转发，还要负责与别的路由器进行联络，共同确定“网间网”的路由选择和维护路由表。

——路由动作包括两项基本内容：寻径和转发。寻径即判定到达目的地的最佳路径，由路由选择算法来实现。由于涉及到不同的路由选择协议和路由选择算法，要相对复杂一些。为了判定最佳路径，路由选择算法必须启动并维护包含路由信息的路由表，其中路由信息依赖于所用的路由选择算法而不尽相同。路由选择算法将收集到的不同信息填入路由表中，根据路由表可将目的网络与下一站（nexthop）的关系告诉路由器。路由器间互通信息进行路由更新，更新维护路由表使之正确反映网络的拓扑变化，并由路由器根据量度来决定最佳路径。这就是路由选择协议（routing protocol），例如路由信息协议（RIP）、开放式最短路径优先协议（OSPF）和边界网关协议（BGP）等。

——转发即沿寻径好的最佳路径传送信息分组。路由器首先在路由表中查找，判明是否知道如何将分组发送到下一个站点（路由器或主机），如果路由器不知道如何发送分组，通常将该分组丢弃；否则就根据路由表的相应表项将分组发送到下一个站点，如果目的网络直接与路由器相连，路由器就把分组直接送到相应的端口上。这就是路由转发协议（routed protocol）。

——路由转发协议和路由选择协议是相互配合又相互独立的概念，前者使用后者维护的路由表，同时后者要利用前者提供的功能来发布路由协议数据分组。下文中提到的路由协议，除非特别说明，都是指路由选择协议，这也是普遍的习惯。

3。 路由协议

——典型的路由选择方式有两种：静态路由和动态路由。
——静态路由是在路由器中设置的固定的路由表。除非网络管理员干预，否则静态路由不会发生变化。由于静态路由不能对网络的改变作出反映，一般用于网络规模不大、拓扑结构固定的网络中。静态路由的优点是简单、高效、可靠。在所有的路由中，静态路由优先级最高。当动态路由与静态路由发生冲突时，以静态路由为准。

——动态路由是网络中的路由器之间相互通信，传递路由信息，利用收到的路由信息更新路由器表的过程。它能实时地适应网络结构的变化。如果路由更新信息表明发生了网络变化，路由选择软件就会重新计算路由，并发出新的路由更新信息。这些信息通过各个网络，引起各路由器重新启动其路由算法，并更新各自的路由表以动态地反映网络拓扑变化。动态路由适用于网络规模大、网络拓扑复杂的网络。当然，各种动态路由协议会不同程度地占用网络带宽和CPU资源。

——静态路由和动态路由有各自的特点和适用范围，因此在网络中动态路由通常作为静态路由的补充。当一个分组在路由器中进行寻径时，路由器首先查找静态路由，如果查到则根据相应的静态路由转发分组；否则再查找动态路由。

——根据是否在一个自治域内部使用，动态路由协议分为内部网关协议（IGP）和外部网关协议（EGP）。这里的自治域指一个具有统一管理机构、统一路由策略的网络。自治域内部采用的路由选择协议称为内部网关协议，常用的有RIP、OSPF；外部网关协议主要用于多个自治域之间的路由选择，常用的是BGP和BGP-4。下面分别进行简要介绍。

❼ 路由器IP地址过滤规则怎么设置 需要有截图的详细说明 公司有8台电脑 允许其中2台完全不受限制上网

这样设置你死定了 网络很不安全
你外网可内网共用！
你这个水星路由器太低档了，无法版分组实现控制，去换一权个DLINK-7200吧。那个可以分组控制和MAC绑定，机器自带图文说明。很方便 我们现在就用这个。不过建议你还是考虑网络安全

❽ 路由器进行路由选择和路由器进行分组转发有什么关系

尊敬的用户您好：当IP子网中的一台主机发送IP分组给同一IP子网的另一台主机时，它将直接回把IP分 组送到网络上，对方答就能收到。而要送给不同IP子网上的主机时，它要选择一个能到达
目的子网上的路由器，把IP分组送给该路由器，由路由器负责把IP分组送到目的地。如
果没有找到这样的路由器，主机就把IP分组送给一个称为“缺省网关（default
gateway）”的路由器上。“缺省网关”是每台主机上的一个配置参数，它是接在同一
个网络上的某个路由器端口的IP地址。
中国电信提供最优质的网络通讯服务，如需相关业务，可以直接通过电信网上营业厅或者实体营业厅查询。
安徽电信竭诚为您服务。

❾ 路由器如何进行数据包过滤

数据包是TCP/IP协议通信传输中的数据单位，局域网中传输的不是“帧”吗?
但是TCP/IP协议是工作在OSI模型第三层(网络层)、第四层(传输层)上的，而帧是工作在第二层(数据链路层)。
上一层的内容由下一层的内容来传输，所以在局域网中，“包”是包含在“帧”里的。
一、数据包过滤有时也称为静态数据包过滤，它通过分析传入和传出的数据包以及根据既定标准传递或阻止数据包来控制对网络的访问，当路由器根据过滤规则转发或拒绝数据包时，它便充当了一种数据包过滤器。
当数据包到达过滤数据包的路由器时，路由器会从数据包报头中提取某些信息，根据过滤规则决定该数据包是应该通过还是应该丢弃。数据包过滤工作在开放式系统互联 (OSI) 模型的网络层，或是 TCP/IP 的 Internet 层。
二、作为第3层设备，数据包过滤路由器根据源和目的 IP 地址、源端口和目的端口以及数据包的协议，利用规则来决定是应该允许还是拒绝流量。这些规则是使用访问控制列表 (ACL) 定义的。
三、相信您还记得，ACL 是一系列 permit 或 deny 语句组成的顺序列表，应用于 IP 地址或上层协议。ACL 可以从数据包报头中提取以下信息，根据规则进行测试，然后决定是“允许”还是“拒绝”。
四、简单的说，你上网打开网页，这个简单的动作，就是你先发送数据包给网站，它接收到了之后，根据你发送的数据包的IP地址，返回给你网页的数据包，也就是说，网页的浏览，实际上就是数据包的交换。
1、数据链路层对数据帧的长度都有一个限制，也就是链路层所能承受的最大数据长度，这个值称为最大传输单元，即MTU。以以太网为例，这个值通常是1500字节。
2、对于IP数据包来讲，也有一个长度，在IP包头中，以16位来描述IP包的长度。一个IP包，最长可能是65535字节。
3、结合以上两个概念，第一个重要的结论就出来了，如果IP包的大小，超过了MTU值，那么就需要分片，也就是把一个IP包分为多个。
数据包的结构与我们平常写信非常类似，目的IP地址是说明这个数据包是要发给谁的，相当于收信人地址;
源IP地址是说明这个数据包是发自哪里的，相当于发信人地址，而净载数据相当于信件的内容，正是因为数据包具有这样的结构，安装了TCP/IP协议的计算机之间才能相互通信。
在使用基于TCP/IP协议的网络时，网络中其实传递的就是数据包。

❿ 路由器处理分组的过程（简答）

当路由器收到一数据分组（我习惯叫数据包）后，先检查源地址和目的地址，然后参照目的地址去比对路由表，如果如有表中有和目的地址匹配的条目，则按路由表的路径转发，如果不匹配则把该数据分组丢弃！