acl列表域名過濾

㈠ ACL(訪問控制列表)的分類和作用

IP訪問控制列表的分類

標准IP訪問控制列表

當我們要想阻止來自某一網路的所有通信流量，或者充許來自某一特定網路的所有通信流量，或者想要拒絕某一協議簇的所有通信流量時，可以使用標准訪問控制列表來實現這一目標。標准訪問控制列表檢查路由的數據包的源地址，從而允許或拒絕基於網路、子網或主機的IP地址的所有通信流量通過路由器的出口。

擴展IP訪問控制列表

擴展訪問控制列表既檢查數據包的源地址，也檢查數據包的目的地址，還檢查數據包的特定協議類型、埠號等。擴展訪問控制列表更具有靈活性和可擴充性，即可以對同一地址允許使用某些協議通信流量通過，而拒絕使用其他協議的流量通過。

命名訪問控制列表

在標准與擴展訪問控制列表中均要使用表號，而在命名訪問控制列表中使用一個字母或數字組合的字元串來代替前面所使用的數字。使用命名訪問控制列表可以用來刪除某一條特定的控制條目，這樣可以讓我們在使用過程中方便地進行修改。

在使用命名訪問控制列表時，要求路由器的IOS在11.2以上的版本，並且不能以同一名字命名多個ACL，不同類型的ACL也不能使用相同的名字。

㈡ 路由器設置屏蔽網頁問題

740N我不知道，我這邊TP-Link 847N裡面是有的

其中ip地址過濾就可以只允許qq的ip

域名過濾就不用說了

mac地址過濾可以只讓指定的電腦連外網

不過說回來，既然是開公司的，最好是做一個專門的內網

㈢ 使用標準的ACL過濾所有源IP地址為私有地址的數據的命令怎麼寫

標准訪問列表只能寫地址或默認的子網，你這個需求需要用擴展訪問列表
access-list
111
deny
ip
192.168.0.0
0.0.0.255
any
access-list
111
deny
ip
10.0.0.0
0.255.255.255
any
access-list
111
deny
ip
172.16.0.0
0.15.255.255
any
access-list
111
permit
ip
any
any

㈣ ACL過濾和MAC過濾有什麼不一樣

ACL過濾：訪問控制列來表（源Access Control List，ACL） 是路由器和交換機介面的指令列表，用來控制埠進出的數據包。ACL適用於所有的被路由協議，如IP、IPX、AppleTalk等。
MAC過濾：MAC地址過濾功能通過MAC地址允許或拒絕無線網路中的計算機訪問廣域網，有效控制無線網路內用戶的上網許可權。

㈤ 路由器配置1.1.1.1/25是什麼意思

1、內置Bypass/
2、OBS模塊
3、路由模式
4、橋接模式
5、旁路模式
6、TCP/IP 協議簇
7、靜態路由
8、RIP(v1/v2)
9、OSPF
10、DHCP Relay
11、DHCP Server
12、PPPoE
13、DDNS
14、QoS
15、彈性帶寬
16、可視化VPN
17、應用路由（沒有解釋）
18、AnyDNS（沒有解釋）
19、Web認證
20、智能DNS
21、多鏈路負載均衡
22、MIPS多核網路處理器
23、PAP
24、CHAP
25、Firewall
26、ACL
27、埠鏡像
28、ARP攻擊
29、URL跳轉
30、域名過濾

1、內置Bypass/
名詞解釋：旁路功能 詳細解釋：網路安全設備一般都是應用在兩個或更多的網路之間，比如內網和外網之間，網路安全設備內的應用程序會對通過他的網路封包來進行分析，以判斷是否有威脅存在，處理完後再按照一定的路由規則將封包轉發出去，而如果這台網路安全設備出現了故障，比如斷電或死機後，那連接這台設備上所有網段也就彼此失去聯系了，這個時候如果要求各個網路彼此還需要處於連通狀態，那麼就必須Bypass出面了。Bypass顧名思義，就是旁路功能，也就是說可以通過特定的觸發狀態（斷電或死機）讓兩個網路不通過網路安全設備的系統，而直接物理上導通，所以有了Bypass後，當網路安全設備故障以後，還可以讓連接在這台設備上的網路相互導通，當然這個時候這台網路設備也就不會再對網路中的封包做處理了。軟體測試過程中出現bypass code，測試未完全開發的軟體時，有些功能還未完成，會產生error，通過bypass code，可以忽略及跳過這些error,從而繼續替他功能的測試.
2、OBS模塊
名詞解釋：光突發交換網路
詳細解釋：光突發交換中的「突發」可以看成是由一些較小的具有相同出口邊緣節點地址和相同QoS要求的數據分組組成的超長數據分組，這些數據分組可以來自於傳統IP網中的IP包。突發是光突發交換網中的基本交換單元，它由控制分組(BCP, Burst Control Packet, 作用相當於分組交換中的分組頭)與突發數據BP(凈載荷)兩部分組成。突發數據和控制分組在物理信道上是分離的，每個控制分組對應於一個突發數據，這也是光突發交換的核心設計思想。例如，在WDM系統中，控制分組佔用一個或幾個波長，突發數據則佔用所有其它波長。將控制分組和突發數據分離的意義在於控制分組可以先於突發數據傳輸，以彌補控制分組在交換節點的處理過程中O/E/O變換及電處理造成的時延。隨後發出的突發數據在交換節點進行全光交換透明傳輸，從而降低對光緩存器的需求，甚至降為零，避開了目前光緩存器技術不成熟的缺點。並且，由於控制分組大小遠小於突發包大小，需要O/E/O變換和電處理的數據大為減小，縮短了處理時延，大大提高了交換速度。這一過程就好像一個出境旅行團，在團隊出發前，一個工作人員攜帶團員們的有關資料，提前一天到達邊境辦理出入境手續及預定車票等，旅行團隨後才出發，節約了遊客們的時間也簡化了程序。
5、旁路模式 名詞解釋：

詳細解釋：泛指在一個系統的正常流程中，有一堆檢核機制，而ByPass Mode就是當檢核機制
發生異常，無法在短期間內排除時，使系統作業能繞過這些檢核機制，使系統能夠繼續執行的作業模式。
6、TCP/IP 協議簇
名詞解釋： TCP/IP協議簇是Internet的基礎，也是當今最流行的組網形式。TCP/IP是一組協議的代名詞，包括許多別的協議，組成了TCP/IP協議簇
詳細解釋：其中比較重要的有SLIP協議、PPP協議、IP協議、ICMP協議、ARP協議、TCP協議、UDP協
議、FTP協議、DNS協議、SMTP協議等。TCP/IP協議並不完全符合OSI的七層參考模型。傳統的開放式系統互連參考模型，是一種通信協議的7層抽象的參考模型,其中每一層執行某一特定任務。該模型的目的是使各種硬體在相同的層次上相互通信。而TCP/IP通訊協議採用了4層的層級結構，每一層都呼叫它的下一層所提供的網路來完成自己的需求。

7、靜態路由
名詞解釋：是指由網路管理員手工配置的路由信息
詳細解釋：當網路的拓撲結構或鏈路的狀態發生變化時，網路管理員需要手工去修改路由表中相關的靜態路由信息。靜態路由信息在預設情況下是私有的，不會傳遞給其他的路由器。當然，網管員也可以通過對路由器進行設置使之成為共享的。靜態路由一般適用於比較簡單的網路環境，在這樣的環境中，網路管理員易於清楚地了解網路的拓撲結構，便於設置正確的路由信息。在一個支持DDR（dial-on-demand routing）的網路中，撥號鏈路只在需要時才撥通，因此不能為動態路由信息表提供路由信息的變更情況。在這種情況下，網路也適合使用靜態路由。
8、RIP(v1/v2)
名詞解釋： 1.RIPv1是有類路由協議，RIPv2是無類路由協議
詳細解釋RIPv1不能支持VLSM，RIPv2可以支持VLSM ，RIPv1沒有認證的功能，RIPv2可以支持認證，並且有明文和MD5兩種認證，。RIPv1沒有手工匯總的功能，RIPv2可以在關閉自動匯總的前提下，進行手工匯總，RIPv1是廣播更新，RIPv2是組播更新， RIPv1對路由沒有標記的功能，RIPv2可以對路由打標記（tag），用於過濾和做策略RIPv1發送的updata最多可以攜帶25條路由條目，RIPv2在有認證的情況下最多隻能攜帶24條路由 ，RIPv1發送的updata包裡面沒有next-hop屬性，RIPv2有next-hop屬性，可以用與路由更新的重定 ，RIPv1 是定時更新，每隔三十秒更新一次，而RIPv2採用了觸發更新等機制來加速路由計算。
9、OSPF
名詞解釋：OSPF(Open Shortest Path First開放式最短路徑優先）[1]是一個內部網關協議(Interior
Gateway Protocol，簡稱IGP），用於在單一自治系統（autonomous system,AS）內決策路由。與RIP相比，OSPF是鏈路狀態路由協議，而RIP是距離矢量路由協議。OSPF的協議管理距離（AD）是110。
詳細解釋：IETF為了滿足建造越來越大基於IP網路的需要，形成了一個工作組，專門用於開發
開放式的、鏈路狀態路由協議，以便用在大型、異構的I P網路中。新的路由協議已經取得一些成功的一系列私人的、和生產商相關的、最短路徑優先（SPF ）路由協議為基礎， 在市場上廣泛使用。包括OSPF在內，所有的S P F路由協議基於一個數學演算法—Dijkstra演算法。這個演算法能使路由選擇基於鏈路-狀態，而不是距離向量。OSPF由IETF在20世紀80年代末期開發，OSPF是SPF類
路由協議中的開放式版本。最初的OSPF規范體現在RFC1131中。這個第1版（ OSPF版本1 ）很快被進行了重大改進的版本所代替，這個新版本體現在RFC1247文檔中。RFC 1247OSPF稱為OSPF版本2是為了明確指出其在穩定性和功能性方面的實質性改進。這個OSPF版本有許多更新文檔，每一個更新都是對開放標準的精心改進。接下來的一些規范出現在RFC 1583、2178和2328中。OSPF版本2的最新版體現在RFC 2328中。最新版只會和由RFC 2138、1583和1247所規范的版本進行互操作。

10、DHCP Relay
名詞解釋：DHCPRelay（DHCPR）DHCP中繼 也叫做DHCP中繼代理
詳細解釋：如果DHCP客戶機與DHCP伺服器在同一個物理網段，則客戶機可以正確地獲得動
態分配的ip地址。如果不在同一個物理網段，則需要DHCP Relay Agent(中繼代理)。用DHCP Relay代理可以去掉在每個物理的網段都要有DHCP伺服器的必要,它可以傳遞消息到不在同一個物理子網的DHCP伺服器，也可以將伺服器的消息傳回給不在同一個物理子網的DHCP客戶機。
11、DHCP Server
名詞解釋：指在一個特定的網路中管理DHCP標準的一台計算機
詳細解釋：DHCP伺服器的職責是當工作站登錄進來時分配IP地址，並且確保分配給每個工作
站的IP地址不同，DHCP伺服器極大地簡化了以前需要用手工來完成的一些網路管理任務。
12、PPPoE
名詞解釋：pppoe是point-to-point protocol over ethernet的簡稱
詳細解釋：可以使乙太網的主機通過一個簡單的橋接設備連到一個遠端的接入集中器上。通過pppoe
協議，遠端接入設備能夠實現對每個接入用戶的控制和計費。與傳統的接入方式相比，pppoe具有較高的性能價格比，它在包括小區組網建設等一系列應用中被廣泛採用，目前流行的寬頻接入方式ADSL 就使用了pppoe協議。
13、DDNS
名詞解釋：DDNS（Dynamic Domain Name Server）是動態域名服務的縮寫
詳細解釋DDNS是將用戶的動態IP地址映射到一個固定的域名解析服務上，用戶每次連接網路的時候客戶端程序就會通過信息傳遞把該主機的動態IP地址傳送給位於服務商主機上的伺服器程序，伺服器程序負責提供DNS服務並實現動態域名解析。也就是說DDNS捕獲用戶每次變化的IP地址，然後將其與域名相對應，這樣其他上網用戶就可以通過域名來進行交流。而最終客戶所要記憶的全部，就是記住動態域名商給予的域名即可，而不用去管他們是如何實現的。
14、QoS
名詞解釋： QoS（Quality of Service）服務質量，是網路的一種安全機制
詳細解釋：是用來解決網路延遲和阻塞等問題的一種技術。 在正常情況下，如果網路只用於特定的
無時間限制的應用系統，並不需要QoS，比如Web應用，或E-mail設置等。但是對關鍵應用和多媒體應用就十分必要。當網路過載或擁塞時，QoS 能確保重要業務量不受延遲或丟棄，同時保證網路的高效運行。
15、彈性帶寬
名詞解釋：彈性帶寬是指，對帶寬的運行，採取「人少時快，人多時均」的策略，最大化的利用帶寬資源
詳細解釋：對迅雷、BT之類的P2P下載的帶寬大戶進行了限速，從而使帶寬得到了有效的利用 。 為了改善固定數值限速的缺陷和不足，提高帶寬利用率，艾泰科技ReOS 2009網路操作系統支持的彈性帶寬技術可以根據網吧實時上網人數動態地改變每個IP擁有的帶寬，使帶寬分配更加合理。在帶寬充足時，有帶寬需求的用戶可以獲得更多的帶寬；在帶寬緊張時，降低佔用帶寬過高的用戶的帶寬，分配給需要帶寬但佔用帶寬低的用戶。彈性限速後，眾多網路應用效果大為改觀。用戶可以配置針對不同的IP地址（段），不同的應用（服務）設置智能限速的策略，同時可以設置策略的生效方式（獨占或共享）、優先順序、生效線路和生效時間段。

16、可視化VPN
名詞解釋：虛擬專用網路（Virtual Private Network ，簡稱VPN)
詳細解釋：指的是在公用網路上建立專用網路的技術。其之所以稱為虛擬網，主要是因為整個VPN
網路的任意兩個節點之間的連接並沒有傳統專網所需的端到端的物理鏈路，而是架構在公用網路服務商所提供的網路平台，如Internet、ATM(非同步傳輸模式〉、Frame Relay （幀中繼）等之上的邏輯網路，用戶數據在邏輯鏈路中傳輸。它涵蓋了跨共享網路或公共網路的封裝、加密和身份驗證鏈接的專用網路的擴展。VPN主要採用了隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。
17、應用路由 名詞解釋： 詳細解釋：
18、AnyDNS 名詞解釋： 詳細解釋
19、Web認證
名詞解釋：web本意是蜘蛛網和網的意思
詳細解釋：現廣泛譯作網路、互聯網等技術領域。表現為三種形式，即超文本（hypertext）、超媒體
（hypermedia）、超文本傳輸協議（HTTP）等。一種全局性的信息結構，它將文檔中的不同部分通過關鍵字建立鏈接，使信息得以用交互方式搜索。它是超級文本的簡稱。
20、智能DNS
名詞解釋：智能DNS是域名頻道在業界首創的智能解析服務
詳細解釋：能自動判斷訪問者的IP地址並解析出對應的IP地址，使網通用戶會訪問到網通伺服器，電信
用戶會訪問到電信伺服器。智能DNS就是根據用戶的來路，自動智能化判斷來路IP返回給
用戶，而不需要用戶進行選擇。比方一個企業的站點三個運營商的帶寬都有：電信、網通、移動，同樣有三個來自不同運營商網路的訪問用戶，那電信訪問企業網址的時候，智能DNS會自動根據IP判斷，再從電信返回給電信用戶；其他的也同理。但也會遇到一個問題，就是三個用戶所使用的網路運營商的DNS同步了解析企業站點所用的智能DNS，不然用戶有可能無法訪問到企業站點，一般會出現在智能DNS剛生效的時候，這種情況下一般可以請求網路運營商主動同步智能DNS的解析表；或者等待最多72小時，DNS會自動同步。智能DNS有軟體和硬體，軟體有久負盛名的開源bind，做服務的有dnspod、DNSLA等
21、多鏈路負載均衡

名詞解釋：多鏈路主要依靠BGP來導向多個互聯網鏈路上的流量
詳細解釋：BGP是一種區域間的路由協議，旨在使ip路由器將互聯網上的數據包從A點導向B點。然而，BGP是路由的核心技術，很難用來實施多歸屬管理，並且BGP路由不提供一個適當的機制來確保基於鏈路的動態靈活路由。最為關鍵的是：中國的各個運營商不會向用戶提供BGP路由協議。 由此誕生了「多鏈路負載均衡」，成功解決了電信與網通之間、不同鏈路之間互聯互通的問題，除此之外，雙線路可以互為備份，如一條鏈路出現故障時，可以自動切換到其它鏈路；並在一條鏈路流量大時自動分配其餘流量到其他的鏈路上等等。
22、MIPS多核網路處理器
名詞解釋：傳統網路處理器通過專門針對網路處理而優化的指令集及並行體系結構來加速基本的包處理任務，獲得
與通用處理器接近的靈活性和與ASIC接近的高性能
詳細解釋。如Intel的網路處理器主要用於包轉發，微引擎執行基本的包處理任務，XScale Core處理例外包、控制
消息及傳輸層協議等，都是比較基本的處理任務。 但是受處理器內部資源（如片上存儲、代碼空間、處理器時鍾頻率等）的限制，無法支持DPI這樣的復雜處理.用低級編程語言（匯編語言），缺乏穩定的支持軟體。從而，網路處理器並沒有如人們最初預料的那樣迅速普及開來。在這種形勢下，部分廠商開始了新型多核網路處理器的研發。
23、PAP
名詞解釋：密碼認證協議（PAP），是 PPP 協議集中的一種鏈路控制協議，主要是通過使用 2 次握手提供一種對等結點的建立認證的簡單方法，這是建立在初始鏈路確定的基礎上的。
詳細解釋：PAP 並不是一種強有效的認證方法，其密碼以文本格式在電路上進行發送，對於竊聽、重放或重復嘗試和錯誤攻擊沒有任何保護。對等結點控制嘗試的時間和頻度。所以即使是更高效的認證方法（如 CHAP），其實現都必須在 PAP 之前提供有效的協商機制。該認證方法適用於可以使用明文密碼模仿登錄遠程主機的環境。在這種情況下，該方法提供了與常規用戶登錄遠程主機相似的安全性。
24、CHAP
名詞解釋：CHAP全稱是PPP（點對點協議）詢問握手認證協議 （Challenge Handshake Authentication Protocol）。 詳細解釋：該協議可通過三次握手周期性的校驗對端的身份，可在初始鏈路建立時完成時，在鏈路
建立之後重復進行。通過遞增改變的標識符和可變的詢問值，可防止來自端點的重放攻擊，限制暴露於單個攻擊的時間。
25、Firewall
名詞解釋：一種確保網路安全的方法
詳細解釋：防火牆可以被安裝在一個單獨的路由器中，用來過濾不想要的信息包，也可以被安
裝在路由器和主機中，發揮更大的網路安全保護作用。防火牆被廣泛用來讓用戶在一個安全屏障後接入互聯網，還被用來把一家企業的公共網路伺服器和企業內部網路隔開。另外，防火牆還可以被用來保護企業內部網路某一個部分的安全。例如，一個研究或者會計子網可能很容易受到來自企業內部網路裡面的窺探。
26、ACL
名詞解釋： 訪問控制列表（Access Control List，ACL）
詳細解釋：是路由器和交換機介面的指令列表，用來控制埠進出的數據包。ACL適用於所有的被路
由協議，如IP、IPX、AppleTalk等。這張表中包含了匹配關系、條件和查詢語句，表只是一個框架結構，其目的是為了對某種訪問進行控制。信息點間通信和內外網路的通信都是企業網路中必不可少的業務需求，但是為了保證內網的安全性，需要通過安全策略來保障非授權用戶只能訪問特定的網路資源，從而達到對訪問進行控制的目的。簡而言之，ACL可以過濾網路中的流量，是控制訪問的一種網路技術手段。
27、埠鏡像
名詞解釋：埠鏡像（port Mirroring)把交換機一個或多個埠（VLAN）的數據鏡像到一個或多個埠
的方法。
詳細解釋：為了方便對一個或多個網路介面的流量進行分析（如 IDS 產品、網路分析儀等），可
以通過配置交換機來把一個或多個埠（VLAN）的數據轉發到某一個埠來實現對網路的監聽。
監視到進出網路的所有數據包，供安裝了監控軟體的管理伺服器抓取數據,如網吧需提供此功能把數據發往公安部門審查。而企業出於信息安全、保護公司機密的需要，也迫切需要 網路中有一個埠能提供這種實時監控功能。在企業中用埠鏡像功能，可以很好的對企業內部的網路數據進行監控管理，在網路出現故障的時候，可以做到很好地故障定位。

28、ARP攻擊
名詞解釋： ARP攻擊，是針對乙太網地址解析協議（ARP）的一種攻擊技術
詳細解釋：此種攻擊可讓攻擊者取得區域網上的數據封包甚至可篡改封包，且可讓網路上特定計算
機或所有計算機無法正常連接。最早探討ARP攻擊的文章是由Yuri Volobue所寫的《ARP與ICMP轉向游戲》。
29、URL跳轉
名詞解釋： 統一資源定位符（URL，英語 Uniform / Universal Resource Locator 的縮寫）也被稱為
網頁地址，是網際網路上標準的資源的地址（Address)。它最初是由蒂姆·伯納斯-李發明用來作為萬維網的地址的。現在它已經被萬維網聯盟編制為網際網路標准RFC1738了。
詳細解釋：統一資源定位符（URL）是用於完整地描述Internet上網頁和其他資源的地址的一種標識方法。 Internet上的每一個網頁都具有一個唯一的名稱標識，通常稱之為URL地址，這種地址可以是本地磁碟，也可以是區域網上的某一台計算機，更多的是Internet上的站點。簡單地說，URL就是Web地址，俗稱「網址」。 URI 方案集，包含如何訪問 Internet 上的資源的明確指令。 URL 是統一的，因為它們採用相同的基本語法，無論定址哪種特定類型的資源（網頁、新聞組）或描述通過哪種機制獲取該資源。
30、域名過濾
名詞解釋：以針對某些特定范圍域名進行過濾的一種機制，允許這些域名通過或不通過。 詳細解釋：目前的域名解析，只能針對特定域名進行翻譯解析。但是如果根本就不想針對某些域名進行解析怎麼辦呢，針對這種情況可以設置一個過濾器，將這些域名直接過濾掉並告知請求方。 同樣，如果只想針對某些特定域名進行解析，也可以利用這個過濾器來實現。即只讓這些域名解析通過，別的通通屏蔽並告知請求方。 這樣可以節省流量，提高效率，特別針對企業內部網有很大借鑒意義。

㈥ 網管型交換機、路由器一般都設置什麼功能

CISCO和H3C 的命令事完全不一樣的。沒什麼相同的地方。
交換機
高性能IPv4/IPv6雙棧協議多層交換
高背板帶寬為所有的埠提供非阻塞性能；
硬體支持IPv4/IPv6雙協議棧多層線速交換，硬體區分和處理IPv4、IPv6協議報文，支持多種Tunnel隧道技術（如手工配置隧道、6to4隧道和 ISATAP隧道等等，可根據IPv6網路的需求規劃和網路現狀，提供靈活的IPv6網路間通信方案；
雙協議棧的支持和處理，使得無需改變網路架構，即可將現有網路無縫地升級為下一代IPv6方案；
豐富完善的路由性能和超大容量路由表資源可滿足大型網路動態路由需要；
基於LPM硬體路由轉發方式使得RG-S3760系列不僅適用於大型網路環境，而且可防禦各種網路病毒的侵襲，保障所有報文線速轉發，有效保證了設備的安全性。

靈活完備的安全控制策略
具有的多種內在機制可以有效防範和控制病毒傳播和黑客攻擊，如預防Dos攻擊、防黑客IP掃描機制、埠ARP報文的合法性檢查、多種硬體ACL策略等，還網路一片綠色；
業界領先的硬體CPU保護機制：特有的CPU保護策略（CPP技術），對發往CPU的數據流，進行流區分和優先順序隊列分級處理，並根據需要實施帶寬限速，充分保護CPU不被非法流量佔用、惡意攻擊和資源消耗，保障了CPU安全，充分保護了交換機的安全；
硬體實現埠或交換機整機與用戶IP地址和MAC地址的靈活綁定，嚴格限定埠上的用戶接入或交換機整機上的用戶接入問題；
專用的硬體防範ARP網關和ARP主機欺騙功能，有效遏制了網路中日益泛濫的ARP網關欺騙和ARP主機欺騙的現象，保障了用戶的正常上網；
SSH（Secure Shell）和SNMPv3可以通過在Telnet和SNMP進程中加密管理信息，保證管理設備信息的安全性，防止黑客攻擊和控制設備；
控制非法用戶使用網路，保證合法用戶合理化使用網路，如多元素綁定、埠安全、時間ACL、基於數據流的帶寬限速等，滿足企業網、校園網加強對訪問者進行控制、限制非授權用戶通信的需求。

強大的多應用支持能力
支持各種單播和組播動態路由協議，可適應不同的網路規模和需要進行大量多播服務的環境，實現網路的可擴展和多業務應用；
支持IGMPv1/v2/v3全部版本，適應不同組播環境，滿足組播安全應用的需要；
支持豐富的路由協議如等價路由、權重路由等豐富的三層特性和業務特性，滿足不同網路鏈路規劃下的通信需要。

完善的QoS策略
以DiffServ標准為核心的QoS保障系統，支持802.1P、IP TOS、二到七層流過濾、SP、WRR等完整的QoS策略，實現基於全網系統多業務的QoS邏輯；
具備MAC流、IP流、應用流等多層流分類和流控制能力，實現精細的流帶寬控制、轉發優先順序等多種流策略，支持網路根據不同的應用、以及不同應用所需要的服務質量特性，提供服務。

高可靠性
支持生成樹協議802.1d、802.1w、802.1s，完全保證快速收斂，提高容錯能力，保證網路的穩定運行和鏈路的負載均衡，合理使用網路通道，提供冗餘鏈路利用率；
支持VRRP虛擬路由器冗餘協議，有效保障網路穩定；
支持RLDP，可快速檢測鏈路的通斷和光纖鏈路的單向性，並支持埠下的環路檢測功能，防止埠下因私接Hub等設備形成的環路而導致網路故障的現象。

方便易用易管理
RG-S3760-24靈活復用的千兆介面形式，可靈活滿足需要多個千兆鏈路上鏈、或多個千兆伺服器的連接，方便用戶靈活選擇和網路擴展；
RG-S3760-12SFP/GT的SFP和電口任意選用的架構設計，可選配多種規格千兆介面模塊，支持千兆銅纜、單/多模光纖介面模塊的混合配置，支持模塊熱插拔，極大方便用戶靈活配置和擴展網路；
網路時間協議保證交換機時間的准確性，並與網路中時間伺服器時間統一化，方便日誌信息和流量信息的分析、故障診斷等管理；
Syslog方便各種日誌信息的統一收集、維護、分析、故障定位、備份，便於管理員網路維護和管理；
CLI界面，方便高級用戶配置和使用；
Java-based Web管理方式，實現對交換機的可視化圖形界面管理，快速和高效地配置設備。

路由器
高數據處理能力

採用先進的PowerPC 通訊專用處理器，2G帶寬的PCI匯流排技術，包轉發延遲小，高效的數據處理能力支持高密度埠，保證在高速環境下的網路應用。

高匯聚能力

R3740可以同時插4個NM-1CPOS-STM1模塊，每個模塊提供63路的2M接入，最多可以達到252路2M的接入。

主控板固化2個10/100/1000M快速乙太網口，光口電口可選

主控板卡上固化兩個10/100/1000M快速乙太網口，可以根據實際情況，選擇光口或者電口模塊，在不購買任何模塊的情況下，便可以實現寬頻互聯。

主控板可以拔插、更換，今後可以通過升級主控板升級路由器。

高可靠性

關鍵部件熱插拔：所有電源、風扇都支持熱插拔功能，充分滿足網路維護、升級、優化的需求；

支持鏈路備份、路由備份等多種方式的備份技術，提高整個網路的可靠性；

支持VRRP熱備份協議，實現線路和設備的冗餘備份。

RPS冗餘電源支持。

模塊化結構設計

RG-R3740具有4個網路/語音模塊插槽，支持種類豐富、功能齊全、高密度的網路/語音模塊，可實現更多的組合應用。

良好的語音支持功能

支持G.711、G.723、G.729等多種語音編碼格式，支持H.323協議棧，可以和多家VOIP廠商的設備互通；

支持實時傳真功能；

支持語音網守功能。

良好的VPN功能

支持IPSec的VPN功能；

支持GRE的VPN功能；

支持L2TP/PPTP的VPDN應用；

在NAT應用下，支持L2TP/PPTP的穿透功能。

完善的QoS策略

支持PQ、CQ、FIFO、WFQ、CBWFQ、LLQ、RTPQ等擁塞管理排隊策略；

支持WRED、RED的擁塞避免策略；

支持GTS流量整形策略；

支持CAR流量監管策略；

支持CTCP、CRTP等提高鏈路效率的QOS策略；

支持設置語音數據包優先順序，可以為中小型企業提供滿足要求的、高性價比的多功能服務平台。

高安全性

完善的防火牆技術，支持基於源目的IP、協議、埠以及時間段的訪問列表控制策略；

支持IP與MAC地址的綁定，有效防止IP地址的欺騙；

支持認證、授權、記錄用戶信息的AAA認證技術，支持Radius認證協議；

支持動態路由協議中的路由信息認證技術，保證動態路由網路中路由信息的安全和可靠；

支持PPP協議中的PAP、CHAP認證及回撥技術；

方便易用易管理

採用標准CLI界面，操作更簡單；

支持SNMP協議，配置文件的TFTP上傳下載，方便網路管理；

支持Telnet/Console，方便的實現遠程管理和控制；

多樣的在線升級，為將來的功能擴展預留空間；

產品型號
RG-R3740

固定埠(主控板)
1個Console埠

1個AUX埠

2個10/100/1000M自適應快速乙太網口

2個SFP光模塊插槽（支持千兆乙太網，與電口只能2選1）

主控板插槽
1個主控板卡插槽

模塊插槽
4個網路/語音模塊插槽

內部AIM插槽
1個

存儲模塊
Nor-Flash：2M

Nand-Flash：預設32M，可以擴展到96M

DDR-RAM：預設512M，最大1G

CPU
PowerPC通訊專用處理器

報文轉發能力
600Kpps-1.2Mpps

可用模塊
NM-2FE-TX ：2埠10Base-T/100Base-TX快速乙太網介面模塊

NM-2HAS：2埠高速同非同步串口模塊

NM-4HAS：4埠高速同非同步串口模塊

NM-8A：8埠非同步串口模塊

NM-16A：16埠非同步串口模塊

NM-2cE1：2埠可拆分通道化cE1模塊

NM-4cE1：4埠可拆分通道化cE1模塊

NM-1B-S/T：1埠ISDN模塊（S/T介面）

NM-1B-U：1埠ISDN模塊（U介面）

NM-4B-U：4埠ISDN模塊（U介面）

NM- 4FXS：4埠語音模塊（FXS介面）

NM- 8FXS：8埠語音模塊（FXS介面）

NM- 4FXO：4埠語音模塊（FXO介面）

NM-1E1V1：E1語音模塊

AIM-VPN：硬體加密模塊

NM-1CPOS-STM1：通道化POS模塊

尺寸(寬 x高x深)
442mm×118mm×410mm，可以上19」標准機櫃

電源
85VAC~265VAC，47Hz~63Hz，支持RPS冗餘電源

整機功率
小於150W

溫度
工作溫度： 0℃ 到 40℃

存儲溫度：-40ºC 到 55ºC

濕度
工作濕度： 10% 到 90% RH

存儲濕度： 5% 到 90% RH

建立運營基礎：搭建一個高速、穩定的網路出口
從底層硬體架構保證：採用1.3GHz /64位RISC高性能專用網路處理器， 512M DDRII內存，支持60萬條超大容量的NAT會話數，內嵌銳捷網路自主研發的RGNOS網路操作平台，提供電信級網路產品的高性能和高穩定性。
重視設備線速轉發能力：包轉發率高達1.5Mpps，可滿足多條百兆/千兆光纖的線速轉發。能夠在遭受千兆DDoS攻擊情況下仍然穩定運行。
關注硬體設計和支持：支持硬體埠鏡像功能，監控口在提供監控功能的同時不影響網路性能，並兼容常見信息監控過濾系統。內置電信級寬頻開關電源，具有防雷、防過壓、防浪涌設計，適應電壓不穩定場合。
雙啟動映像文件：升級過程斷電依然可以自動恢復，讓您升級無憂。

做好運營保障：做好內、外網的安全保護
全方位的ARP防禦體系：通過掃描LAN口和「一鍵靜態綁定」可迅速完成內網的IP/MAC靜態綁定。支持關閉LAN口的MAC地址學習功能，拒絕非法用戶上網。支持「可信任ARP」專利技術，實現動態ARP綁定和靜態ARP綁定的完美結合。可智能驗證ARP信息的真實性，即不需要進行靜態綁定也不會被欺騙，同時還可以分等級顯示存在ARP欺騙行為的主機信息，定位欺騙源。

抗DDoS攻擊應對不正當競爭：具備1000M DDoS攻擊防禦能力。在100M DDoS攻擊下，CPU利用率不高於15%，依然可以實現小包的線速轉發。在1000M DDoS攻擊下，CPU穩定在90%，設備正常轉發。
防內外網攻擊和防IP/埠掃描：可防禦目前幾乎所有類型的攻擊，如：SYN flood，UDP flood，ICMP flood，Smurf/Fraggle攻擊，分片報文攻擊等。同時可記錄攻擊主機的地址信息，定位攻擊源；也可將內網攻擊主機列入黑名單，禁止其上網功能，硬體過濾攻擊報文，不佔用CPU資源。

硬體防病毒：通過添加規則過濾病毒報文，支持自動檢測沖擊波和震盪波病毒。可識別並阻斷機器狗病毒的中毒過程，同時顯示試圖訪問帶毒網站的主機信息和帶毒網站的IP地址。NBR系列路由器是業內唯一徹底阻斷機器狗病毒的路由器。

訪問控制/過濾：支持標准和擴展ACL（訪問控制列表），可根據指定的IP地址范圍、埠范圍進行數據包的檢測和過濾，支持專家ACL和時間ACL。支持域名過濾，阻斷對非法、惡意網站的訪問，健康上網。

業務提升關鍵：定製的智能特性提升用戶上網體驗
靈活的內外網應用：3個千兆WAN口實現多ISP線路接入，光電復用口滿足運營商多種形態線路接入。VRRP熱備份協議和基於Ping/DNS的線路檢測，實現多台設備、多條寬頻線路的負載均衡和線路備份。電信、網通自動選路功能，實現「電信數據自動走電信線路，網通數據自動走網通線路」。支持南方、北方選路策略，實用效果更好。

彈性帶寬、智能限速：可針對全網、單個IP或IP段進行上傳下載速率的分別彈性限制。彈性帶寬功能會根據網路帶寬的實時使用情況，按照設定的方式自動為每台在線PC智能分配最佳帶寬。在網路繁忙的時候自動抑制佔用大帶寬的下載流量，保證網路不卡、不慢；在網路空閑的時候允許用戶進行高速下載，充分利用網路資源，增強上網體驗。
網路游戲硬體加速：通過對游戲埠和報文大小的雙重識別，可為游戲報文劃分高優先順序的綠色通道，時刻保證快速游戲體驗。

其他特性：支持GRE的VPN功能。支持L2TP/PPTP的VPDN應用。NAT應用下，支持L2TP/PPTP的穿透功能。

網路管理利器：智能聯動控制、全web管理和監控見面
支持「智能聯動」專利技術：在NBR的WEB界面上就可對全網交換機（銳捷系列安全交換機）進行統一管理配置。核心/接入交換機自動完成埠安全策略配置和全網PC的IP/MAC/埠三元素綁定，硬體過濾ARP欺騙、DDoS攻擊等非法報文，完美解決內網完全問題。

高可用性的全WEB界面：獨有的管理頁面與監控頁面分開設計，實現許可權分離；在一個監控頁面下集中顯示了介面流量、IP流量、ARP綁定、NAT會話數、系統日誌等信息，並可按上傳速率、下載速率和IP地址對IP流量進行排序，輕鬆了解網路運行狀況；提供系統事件告警頁面和中文日誌，快速定位網路故障。

針對高級用戶，還提供命令行配置模式，實現更深入更細致的功能應用，體驗RGNOS操作平台強大的路由特性。
技術參數
參數描述

產品型號
RG-NBR3000

固化WAN埠
2個10/100M/1000M光/電復用埠（Combo）

1個10/100M /1000M自適應RJ45埠（Auto MDI/MDIX）

固化LAN埠
5個10/100M/1000M自適應RJ45埠，（Auto MDI/MDIX）

CPU處理器
1.3GHz主頻，64位RISC專業網路處理器

存儲模塊
DDRII：512M

FLASH：512M

BOOTROM：2M

指示燈
每埠：Link/Active（連接/工作）、Speed（速度）

每設備：Power、攻擊告警、系統狀態（飽和/繁忙/正常/空閑）

網路協議
l 支持TCP/IP 協議簇，實現了IP、ICMP、IGMP、TCP和UDP等協議

l 支持多種路由協議：靜態路由、RIP(V1/V2)

l 支持DHCP Relay 、DHCP Server

l 支持PPPoE

l 支持NAT，支持多種NAT ALG，包括FTP、H.323、DNS等

l 支持DDNS

l 支持Ping、Tracert故障檢測

l 支持QoS（PQ、CQ、FIFO、WFQ、CBWFQ等）

l 安全應用：PAP、CHAP、Firewall、ACL、埠鏡像

管理協議
中文WEB配置管理和監控

支持SNMPv1/v2

CLI(Telnet/Console)

TFTP升級和配置文件管理

支持非同步文件傳輸協議X-MODEM 升級方式

網路安全
l 徹底ARP 防攻擊

l 防機器狗病毒

l 防內網攻擊/外網攻擊

l 支持安全地址綁定

l 防止WAN 口Ping

l 防埠掃描攻擊

l 防止分片報文攻擊

l 防止ICMP flood攻擊

l 防止TearDrop攻擊

l 防止Ping of Death

l 防止Land 攻擊

l 防止Smurf/Fraggled攻擊

l 防止Syn Flood

特色功能
支持彈性帶寬（帶寬動態分配，可設置上傳、下載最大速率）

支持基於IP和MAC地址的限速

支持游戲帶寬保證（跑跑卡丁車、魔獸、征途等16種游戲）

支持域名過濾、流量均衡、流量監控

支持對網內設備的聯動管理

外型尺寸(高

×長×寬)
44.4mm×437mm×268mm

輸入電壓
AC: 100~240V 48/60Hz

整機功率
小於30W

參考 http://www.ruijie.com.cn/ProctDetail.aspx?proctid=244#

㈦ acl 主要用於過濾流量.acl 有哪兩項額外用途

訪問控制列表的作用 訪問控制列表是應用在路由器介面的指令列表，這些指令列表用來告訴路由器哪些數據包可以接收、哪些數據包需要拒絕。至於數據包是被接收還是被拒絕，可以由類似於源地址、目的地址、埠號、協議等特定指示條件來決定。通過靈活地增加訪問控制列表，ACL可以當作一種網路控制的有力工具，用來過濾流入和流出路由器介面的數據包。 建立訪問控制列表後，可以限制網路流量，提高網路性能，對通信流量起到控制的手段，這也是對網路訪問的基本安全手段。在路由器的介面上配置訪問控制列表後，可以對入站介面、出站介面及通過路由器中繼的數據包進行安全檢測。 IP訪問控制列表的分類 標准IP訪問控制列表 當我們要想阻止來自某一網路的所有通信流量，或者充許來自某一特定網路的所有通信流量，或者想要拒絕某一協議簇的所有通信流量時，可以使用標准訪問控制列表來實現這一目標。標准訪問控制列表檢查路由的數據包的源地址，從而允許或拒絕基於網路、子網或主機的IP地址的所有通信流量通過路由器的出口。 擴展IP訪問控制列表 擴展訪問控制列表既檢查數據包的源地址，也檢查數據包的目的地址，還檢查數據包的特定協議類型、埠號等。擴展訪問控制列表更具有靈活性和可擴充性，即可以對同一地址允許使用某些協議通信流量通過，而拒絕使用其他協議的流量通過。 命名訪問控制列表 在標准與擴展訪問控制列表中均要使用表號，而在命名訪問控制列表中使用一個字母或數字組合的字元串來代替前面所使用的數字。使用命名訪問控制列表可以用來刪除某一條特定的控制條目，這樣可以讓我們在使用過程中方便地進行修改。 在使用命名訪問控制列表時，要求路由器的IOS在11.2以上的版本，並且不能以同一名字命名多個ACL，不同類型的ACL也不能使用相同的名字。 通配符掩碼 通配符掩碼是一個32比特位的數字字元串，它被用點號分成4個8位組，每組包含8比特位。在通配符掩碼位中，0表示「檢查相應的位」，1表示「不檢查相應的位」。通配符掩碼與IP地址是成對出現的，通配符掩碼與子網掩碼工作原理是不同的。在IP子網掩碼中，數字1和0用來決定是網路、子網，還是相應的主機的IP地址。如表示172.16.0.0這個網段，使用通配符掩碼應為0.0.255.255。 在通配符掩碼中，可以用255.255.255.255表示所有IP地址，因為全為1說明所有32位都不檢查相應的位，這是可以用any來取代。而0.0.0.0的通配符掩碼則表示所有32位都要進行匹配，這樣只表示一個IP地址，可以用host表示。所以在訪問控制列表中，可以選擇其中一種表示方法來說明網路、子網或主機。 實現方法 首先在全局配置模式下定義訪問列表，然後將其應用到介面中，使通過該介面的數據包需要進行相應的匹配，然後決定被通過還是拒絕。並且訪問列表語句按順序、邏輯地處理，它們在列表中自上向下開始匹配數據包。如果一個數據包頭與訪問許可權表的某一語句不匹配，則繼續檢測列表中的下一個語句。在執行到訪問列表的最後，還沒有與其相匹配的語句，數據包將被隱含的「拒絕」語句所拒絕。 標准IP訪問控制列表 在實現過程中應給每一條訪問控制列表加上相應的編號。標准IP訪問控制列表的編號為1至99，作用是阻止某一網路的所有通信流量，或允許某一網路的所有通信流量。語法為： Router(config)#access-list access-list-number(1~99) {denypermit} source [source-wildcard] 如果沒有寫通配符掩碼，則默認值會根據源地址自動進行匹配。下面舉例來說明：要阻止源主機為 192.168.0.45的一台主機通過E0，而允許其他的通訊流量通過E0埠。Router(config)#access-list 1 deny 192.168.0.45 0.0.0.0或Router(config)#access-list 1 deny host 192.168.0.45或Router(config)#access-list 1 deny 192.168.0.45Router(config)#access-list 1 permit anyRouter(config)#interface ethernet 0Router(config-if)#ip access-group 1 in 首先我們在全局配置模式下定義一條拒絕192.168.0.45主機通過的語句，通配符掩碼可以使用0.0.0.0或host，或使用預設值來表示一台主機，然後將其訪問列表應用到介面中。如果現在又修改了計算機的IP地址，那麼這條訪問控制列表將對您不起作用。 擴展IP訪問控制列表 擴展IP訪問控制列表的編號為100至199，並且功能更加靈活。例如，要阻止192.168.0.45主機Telnet流量，而允許Ping流量。 Router(config)#access-list 101 permit icmp 192.168.0.45 0.0.0.0 anyRouter(config)#access-list 101 deny tcp 192.168.0.45 0.0.0.0 any eq 23Router(config)#access-list 101 permit ip any anyRouter(config)#interface ethernet 0Router(config-if)#ip access-group 101 in 因為Ping命令使用網路層的ICMP協議，所以讓ICMP協議通過。而Telnet使用埠23，所以將埠號為23的數據包拒絕了，最終應用到某一介面，這樣就可以達到目的。 命名訪問控制列表 對於某一給定的協議，在同一路由器上有超過99條的標准ACL，或有超過100條的擴展ACL。想要通過一個字母數字串組成的名字來直觀地表示特定的ACL時，並且路由器的IOS版本在11.2及以上時，可以使用命名訪問控制列表，也就是用某些字元串來取代標准與擴展ACL的訪問列表號。命名訪問控制列表的語法格式為： Router(config)#ip access-list {standardextended} name 在ACL配置模式下，通過指定一個或多個允許或拒絕條件，來決定一個數據包是允許通過還是被丟棄。語法格式如下： Router(config{std-ext-}nacl)#{permitdeny} {source [source-wildcad]any} 下面是一個配置實例： ip access-list extended nyistpermit tcp 172.16.0.0 0.0.255.255 any eq 23deny tcp any anydeny udp 172.16.0.0 0.0.255.255 any lt 1024interface Ethernet 0ip access-group nyist in 基於時間訪問列表的應用 隨著網路的發展和用戶要求的變化，從IOS12.0開始，思科(CISCO)路由器新增加了一種基於時間的訪問列表。通過它，可以根據一天中的不同時間，或者根據一星期中的不同日期，或二者相結合來控制網路數據包的轉發。這種基於時間的訪問列表，就是在原來的標准訪問列表和擴展訪問列表中，加入有效的時間范圍來更合理有效地控制網路。首先定義一個時間范圍，然後在原來的各種訪問列表的基礎上應用它。 基於時間訪問列表的設計中，用time-range 命令來指定時間范圍的名稱，然後用absolute命令，或者一個或多個periodic命令來具體定義時間范圍。IOS命令格式為： time-range time-range-name absolute[start time date] [end time date]periodic days-of-the week hh:mm to [days-of-the week] hh:mm 下面分別來介紹一下每個命令和參數的詳細情況： time-range 用來定義時間范圍的命令。 time-range-name 時間范圍名稱，用來標識時間范圍，以便於在後面的訪問列表中引用。 absolute該命令用來指定絕對時間范圍。它後面緊跟著start和end兩個關鍵字。在這兩個關鍵字後面的時間要以24小時制hh:mm表示，日期要按照日/月/年來表示。如果省略start及其後面的時間，則表示與之相聯系的permit或deny語句立即生效，並一直作用到end處的時間為止。如果省略end及其後面的時間，則表示與之相聯系的permit或deny語句在start處表示的時間開始生效，並且一直進行下去。 periodic主要是以星期為參數來定義時間范圍的一個命令。它的參數主要有Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一個或者幾個的組合，也可以是daily(每天)、weekday(周一至周五)，或者weekend(周末)。 下面我們來看一個實例：在一個網路中，路由器的乙太網介面E0連接著202.102.240.0網路，還有一個串口S0連入Internet。為了讓202.102.240.0網路內的公司員工在工作時間內不能進行WEB瀏覽，從2003年5月1日1時到2003年5月31日晚24時這一個月中，只有在周六早7時到周日晚10時才可以通過公司的網路訪問Internet。 我們通過基於時間的擴展訪問控制列表來實現這一功能： Router# config tRouter(config)# interface Ethernet 0Router(config-if)#ip access-group 101 inRouter(config-if)#time-range httpRouter(config-if)#absolute start 1:00 1 may 2003 end 24:00 31 may 2003 periodic Saturday 7:00 to Sunday 22:00Router(config-if)#ip access-list 101 permit tcp any any eq 80 http 我們是在一個擴展訪問列表的基礎上，再加上時間控制就達到了目的。因為是控制WEB訪問的協議，所以必須要用擴展列表，那麼編號需在100至199之間。我們定義了這個時間范圍的名稱是http，這樣，我們就在列表中的最後一句方便地引用了。 合理有效地利用基於時間的訪問控制列表，可以更有效、更安全、更方便地保護我們的內部網路，這樣您的網路才會更安全，網路管理人員也會更加輕松。 檢驗 在路由器中用show running-config命令檢查當前正在運行的配置文件，用show ip access-list命令來查看訪問控制列表，並在計算機的命令提示符下用Ping/Telnet命令進行測試。

㈧ 請分析訪問控制列表（ACL）與包過濾防火牆的區別

ACL一般用在交換機和路由器上，應用的時候是有方向的（入方向或者出方向），我們知道數據包是有來有回的，acl只能做到單向訪問限制。比如交換機上配了2個vlan，vlan10和vlan20，vlan10的192.168.10.1訪問vlan20的192.168.20.1，如果在vlan10上啟用acl應用在inbound方向，策略為允許192.168.10.1訪問192.168.20.1，然後又在vlan20上啟用acl應用在inbound方向，策略為192.168.20.1拒絕訪問192.168.10.1。這種情況下其實兩邊都是不通的。應為從192.168.10.1ping192.168.20.1去的時候是可以到達的，但是回來的時候就讓vlan20上的acl給阻止了。
但是如果交換機換成防火牆就不一樣了，防火牆是基於5元組的包過濾的方式實現的訪問控制，如果是上面同樣的配置，那麼結果就是192.168.10.1能訪問192.168.20.1，反過來就不通了。
因為192.168.10.1去訪問192.168.20.1的時候這條會話會別標記，能去就能會，這是跟acl的本質區別，能記錄數據的來回，而acl做不到。
手打，謝謝。

㈨ 使用什麼類型的acl 過濾到一台路由器控制平面的數據

訪問控制列表（Access Control List，ACL） 是路由器和交換機介面的指令列表，用來控制埠進出的數據包。ACL適用於所有的被路由協議，如IP、IPX、AppleTalk等。
信息點間通信和內外網路的通信都是企業網路中必不可少的業務需求，為了保證內網的安全性，需要通過安全策略來保障非授權用戶只能訪問特定的網路資源，從而達到對訪問進行控制的目的。簡而言之，ACL可以過濾網路中的流量，是控制訪問的一種網路技術手段。

㈩ 交換機中ACL有哪些種類根據數據包的哪些類型來定義規則，進行數據包的過濾

1.只要是tcp或者udp或者ip報文中有的都可以設置acl訪問控制列表。
2.常見的是ip和埠號。
3. ip數據包. tcp數據包，udp數據包。