華為ar路由包過濾

㈠ 華為路由器裡面的5種過濾器詳解 跪求啊！！！

這些都是不同命令行里的參數。
prefix-list：IP前綴列表。
# 定義if-match子句，設置匹配相關的IPv6路由信息。
<HUAWEI> system-view
[HUAWEI] route-policy policy permit node 10
[HUAWEI-route-policy] if-match ipv6 address prefix-list p1
[HUAWEI-route-policy] if-match ipv6 next-hop prefix-list p1
[HUAWEI-route-policy] if-match ipv6 route-source prefix-list p1

as-path-filter xxx：指定匹配的AS路徑過濾器號。
# 創建序號為2的AS路徑過濾器，允許AS路徑中包含20的路由通過。
<HUAWEI> system-view[HUAWEI] ip as-path-filter 2 permit [ 20 ]
# 查看AS路徑屬性中包含65420的所有BGP VPNv6路由信息。
<HUAWEI> system-view
[HUAWEI] ip as-path-filter 1 permit 65420*
[HUAWEI] display bgp vpnv6 all routing-table as-path-filter 1

community-filter：用來顯示匹配指定的BGP團體屬性過濾器的路由信息。
# 查看本端指定團體列表的所有BGP VPNv6路由信息。
<HUAWEI> system-view
[HUAWEI] ip community-filter 1 permit internet
[HUAWEI] display bgp vpnv6 all routing-table community-filter 1 whole-match

route-policy xxx：指定路由策略名稱
顯示名為policy1的Route-Policy信息。
<HUAWEI> display route-policy policy1

㈡ 路由器如何進行數據包過濾

數據包是TCP/IP協議通信傳輸中的數據單位，區域網中傳輸的不是「幀」嗎?
但是TCP/IP協議是工作在OSI模型第三層(網路層)、第四層(傳輸層)上的，而幀是工作在第二層(數據鏈路層)。
上一層的內容由下一層的內容來傳輸，所以在區域網中，「包」是包含在「幀」里的。
一、數據包過濾有時也稱為靜態數據包過濾，它通過分析傳入和傳出的數據包以及根據既定標准傳遞或阻止數據包來控制對網路的訪問，當路由器根據過濾規則轉發或拒絕數據包時，它便充當了一種數據包過濾器。
當數據包到達過濾數據包的路由器時，路由器會從數據包報頭中提取某些信息，根據過濾規則決定該數據包是應該通過還是應該丟棄。數據包過濾工作在開放式系統互聯 (OSI) 模型的網路層，或是 TCP/IP 的 Internet 層。
二、作為第3層設備，數據包過濾路由器根據源和目的 IP 地址、源埠和目的埠以及數據包的協議，利用規則來決定是應該允許還是拒絕流量。這些規則是使用訪問控制列表 (ACL) 定義的。
三、相信您還記得，ACL 是一系列 permit 或 deny 語句組成的順序列表，應用於 IP 地址或上層協議。ACL 可以從數據包報頭中提取以下信息，根據規則進行測試，然後決定是「允許」還是「拒絕」。
四、簡單的說，你上網打開網頁，這個簡單的動作，就是你先發送數據包給網站，它接收到了之後，根據你發送的數據包的IP地址，返回給你網頁的數據包，也就是說，網頁的瀏覽，實際上就是數據包的交換。
1、數據鏈路層對數據幀的長度都有一個限制，也就是鏈路層所能承受的最大數據長度，這個值稱為最大傳輸單元，即MTU。以乙太網為例，這個值通常是1500位元組。
2、對於IP數據包來講，也有一個長度，在IP包頭中，以16位來描述IP包的長度。一個IP包，最長可能是65535位元組。
3、結合以上兩個概念，第一個重要的結論就出來了，如果IP包的大小，超過了MTU值，那麼就需要分片，也就是把一個IP包分為多個。
數據包的結構與我們平常寫信非常類似，目的IP地址是說明這個數據包是要發給誰的，相當於收信人地址;
源IP地址是說明這個數據包是發自哪裡的，相當於發信人地址，而凈載數據相當於信件的內容，正是因為數據包具有這樣的結構，安裝了TCP/IP協議的計算機之間才能相互通信。
在使用基於TCP/IP協議的網路時，網路中其實傳遞的就是數據包。

㈢ 華為路由器AR 28-11 如何配置可以使某個IP 禁止上網

lan設置，有一個ip地址，或者是mac地址過濾功能，開啟，輸入就可以了！不過一般禁的話，最好禁mac，ip地址一般都是自動獲取，或者別人直接改ip，還是禁mac算了.

㈣ 路由器如何設置IP與MAC地址過濾

區域網設置MAC地址綁定和IP地址過濾需要通過3層交換機才可以完成，普通二層交換機通常不具備這些功能。

以華為交換機為例，一般需要執行如下一些命令：

1、查看arp記錄，即ip與mac的對應表

disparp|in<查詢字元串>

簡單解釋一下這個命令：

disp：是display的簡寫

arp：displayarp表示顯示所有arp緩存裡面的記錄

|：管道，這個不解釋，懂命令行的人都應該有點管道的常識

in：是include命令的簡寫，用於進行查詢

<查詢字元串>：可以指定一個ip或mac，disparp將顯示所有的記錄，加了includexxx後，就可以查指定IP或MAC的arp記錄。

2、綁定IP地址與MAC地址

先要進入System-View模式，輸入"sys"即可。

system-view:

[s3928]arpstatic121.221.60.2110013-3909-d0aa

這個就不多說了吧，注意一下MAC地址模式，跟我們Windows系統裡面顯示的HH-HH-HH-HH-HH-HH的格式似乎有點不同，有木有？

綁定之後，再用disparp查看它這一條記錄時，Type值會顯示為static（靜態的），這表示你手動綁定的。如果你沒有手工綁定，交換機也有學習的功能，他學習到的IP與MAC的對應記錄，Type值為dynamic（動靜的）。

3、解除綁定

[s3928]undoarp221.231.142.248

最後，提醒一下，如果給一個IP綁定一個錯誤的MAC地址，那麼這個IP就上不了網了。

如果是針對區域網內主機訪問互聯網時的mac地址過濾和ip綁定，可在路由器完成，以tplink r4149為例：

1、瀏覽器輸入路由器管理ip，默認192.168.1.1，回車；

2、輸入路由器管理員賬戶及密碼，點擊確定，默認皆為admin；

3、點擊安全設置，點擊勾選開啟防火牆，點擊勾選開啟MAC地址過濾，點擊禁僅允許訪問mac地址列表中的mac地址訪問internet，點擊保存；

㈤ 華為路由器的路由過濾問題

不太懂，從網上搜了一段看看有沒有幫助。

OSPF協議測試分析
l OSPF等cost雙鏈路情況下，不論是到單一不還是隨機目的地址的數據流，均無法實現
負載均衡。

l 不支持對virtual-link進行OSPF的MD5認證。

l 在3680平台作rip向OSPF再發布，當對由rip進入的多條路由粘貼不同tag標記時，368
0無法將大於一個以上的tag向外advertise。

l OSPF無法使用filter-policy(類似distribute-list)對進入路由作過濾。OSPF下，fi
lter-policy 僅能控制全局入方向路由，即無法對指定(介面)neighbour作in方向發布控
制。

l Ospf下，幾乎所有策略只能在import點作(router-policy無法在OSPF下使用)，路由器
無法對其它路由器發布的out方向的路由實施策略。

l Ospf下，在im點為不同路由添加的tag，無法傳遞到遠端，嚴重問題。

l 在對同一名字route-policy定義了多個seq時，雖然命令提示可以，但實際上不能單獨
刪除指定seq下的策略，即只能一次刪除全部，嚴重問題。

BGP協議測試分析

l 改變Cisco端BGP AS number 時，QuidwayR3680對應埠通信中斷，而埠顯示信息正
常，嚴重問題。

l 改變2630 BGP AS number時，26隨機死機。

l 在對同一名字route-policy定義了多個seq時，雖然命令提示可以，但實際上不能單獨
刪除指定seq下的策略，即只能一次刪除全部，嚴重問題。

l EBGP在作AS number prepend時，嚴重不正常。如：單一名稱多seq 的route-policy被
應用時，若作as number prepending的seq不在第一項，則無法prepending(在遠端路由
器看不到被prepending 的as number，如果作as number prepending的seq在第一項，則
所有應該用該route-policy import 入BGP的路由，都會被prepend同樣的AS numbers。

l 3680平台，用origin-policy、route-policy對aggregate route 作origin修改，不生
效。
l 3680，bgp，OSPF等動態協議相關統計信息太簡單，甚至無neighbour uptime、last
update time之類基本統計信息，維護、排錯極不便。

l 3680與2630作IBGP時，2630開啟synchronization時，2630所顯示的BGP表中，來自36
80的路由next hop顯示為null，且無法向另一遠端EBGP發布3680的路由，即不向外AS發
布。

l 在無數據流量，起單一BGP進程的情況下，QuidwayR2630 cpu達到27%左右，不正常。

l 3680平台，用suppress-policy、route-policy對aggregate route 作單個major net
單元的supress，結果顯示，所有參與aggregation的major net均被suppress。

l 3680平台，BGP(E or I)環境下，無法使用update-source 命令。在兩bgp neighbour
存在冗餘物理鏈路時，BGP connection將只能在單一鏈路上建立，該鏈路中斷則BGPcon
nection中斷，無法起到冗餘的作用。

l AS100內運行OSPF area 1，在各路由器interface loopback 1 1.0.0.x可互通的情況
下，quidway路由器無法通過對端路由器的1.0.0.x進行IBGP連接。
l AS100內運行OSPF area 1，在各路由器全部自物理介面可互通的情況下，作五個路由
器全IBGP連接時，quidway路由器無法與部分非直接路由器(one of the opposites)的物
理介面進行IBGP連接。

l 在定義多個peer group後，3680會把對其中一個peer group制定的attribute如next-
hop-local(類似cisco的next-hope-self)，origin，as prepending等向其它未制定att
riute的peer group傳遞，嚴重問題。。

l ACL、route-policy協作問題。
當acl後加deny any 項時，且route-policy啟用時，所有外出路由將在本地路由器的ou
t方向被filte掉，嚴重不正常。
l Router-reflector工作不正常。在分別用3680、2630b作router-reflector時，各自所
下連client學不到其它client的路由。如72學不到2630b的路由，3680學不到2630a的路
由等，嚴重問題。若去掉兩client對應埠IGP配置，則可以reflect，工作不正常。

l 測試bgp confederation 時，發現如下情況：
1. 每個路由器分別不能看到兩個非直接路由器之一的loop段。如3680上看不到26a的in
terface loopback 1 的ip address所屬網段。此時該loopback1介面開啟OSPF。
2. 在26a loopback1介面關啟ospf時，3680可以學到該loopback1所屬網段，但同時，兩
Cisco路由器之間bgp connection不能建立。

l 無BGP backdoor功能。

vrrp運行分析
l 0105版本下，在3680E、3640平台上對E口作vrrp，下連PC及路由器本身無法ping通浮
動地址。即vrrp工作不正常。
l 升級後至0108版本後，3680VRRP virtual ip可以被VRRPgroup所在segment 的Pcping
通，virtual MAC地址顯示正常，符合RFC3678 00-00-5e-00-01-vrid定義，但在路由器
上ping不能，且顯示mac空，經查驗RFC3768，此行為該標准並未作過多說明，但實際運
行中，這一點將給監控、排錯造成諸多不便。
l Display命令對VRRP的顯示將顯示所有VRRP組信息，無法顯示單個組，且統計信息過於
簡單。
l
NAT運行分析
l 華為路由器3680在作NAT時，fe-inside，serial-outside，以proxyhunter發包，當流
量增至200k/bps時，華為路由器CPU增至100%利用率，極不正常。
l 部分語法提示有問題，如nat server global等。
l 在3640平台上無法用nat server 語句實現global outside--àlocal inside 的stat
ic nat。
低端接入交換機試用結果
l 華為quidwayS3026同時在access int、trunk int運行同等優先順序STP，當access int
位於小埠(priority 較優先)時，stp演算法將block trunk int，造成trunk線路中斷。

l quidwayS3026交換機不自動開啟STP，默認情況下冗餘TOPO將引起流量風暴。

㈥ 華為的18-23路由怎麼在命令行下限制訪問某些網站

、單純的限制某些網站
不能訪問，網路游戲（比如聯眾）不能玩，這類限制一般是限制了欲訪問的IP地址。
對於這類限制很容易突破，用普通的HTTP代理就可以了，或者SOCKS代理也是可以的。現在網上找HTTP代理還是很容易的，一抓一大把。在IE里加了HTTP代理就可以輕松訪問目的網站了。
二、限制了某些協議
如不能FTP了等情況，還有就是限制了一些網路游戲的伺服器端IP地址，而這些游戲又不支持普通HTTP代理。
這種情況可以用SOCKS代理，配合Sockscap32軟體，把軟體加到SOCKSCAP32里，通過SOCKS代理訪問。一般的程序都可以突破限制。對於有些游戲，可以考慮Permeo
Security Driver 這個軟體。如果連SOCKS也限制了，那可以用socks2http了，不會連HTTP也限制了吧。
三、基於包過濾的限制
或者禁止了一些關鍵字。這類限制就比較強了，一般是通過代理伺服器或者硬體防火牆做的過濾。比如：通過ISA Server 2004禁止MSN
，做了包過濾。這類限制比較難突破，普通的代理是無法突破限制的。
這類限制因為做了包過濾，能過濾出關鍵字來，所以要使用加密代理，也就是說中間走的HTTP或者SOCKS代理的數據流經過加密，比如跳板，SSSO，
FLAT等，只要代理加密了就可以突破了， 用這些軟體再配合Sockscap32，MSN就可以上了。 這類限制就不起作用了。
四、基於埠的限制
限制了某些埠，最極端的情況是限制的只有80埠可以訪問，也就只能看看網頁，連OUTLOOK收信，FTP都限制了。當然對於限制幾個特殊埠，突破原理一樣。
這種限制可以通過以下辦法突破，1、找普通HTTP80埠的代理，12.34.56.78：80，象這樣的，配合socks2http，把HTTP代理裝換成SOCKS代理，然後再配合SocksCap32，就很容易突破了。這類突破辦法中間走的代理未
加密。通通通軟體也有這個功能。2、用類似FLAT軟體，配合SocksCap32，不過所做的FLAT代理最好也是80埠，當然不是80埠也沒關系，因為FLAT還支持再通過普通的HTTP代理訪問，不是80埠，就需要再加一個80埠的HTTP
代理。這類突破辦法中間走的代理加密，網管不知道中間所走的數據是什麼。代理跳板也可以做到，不過代理仍然要80埠的。對於單純是80埠限制，還可以用一些埠轉換的技術突破限制。可以參考我下邊的帖子。
五、以上一些限制綜合的
比如有限制IP的，也有限制關鍵字，比如封MSN，
還有限制埠的情況。一般用第四種情況的第二個辦法就可以完全突破限制。只要還允許上網，呵呵，所有的限制都可以突破。
六、還有一種情況就是你根本就不能上網
沒給你上網的許可權或者IP，或者做IP與MAC地址綁定了。兩個辦法：
1、你在公司應該有好朋友吧，鐵哥們，鐵姐們都行，找一個能上網的機器，借一條通道，裝一個小軟體就可以解決問題了，FLAT應該可以，有密鑰，別人也上不了，而且可以自己定義埠。。其他能夠支持這種方式代
理的軟體也可以。我進行了一下測試，情況如下：區域網環境，有一台代理上網的伺服器，限定了一部分IP，
給予上網許可權，而另一部分IP不能上網，在硬體防火牆或者是代理伺服器上做的限制。我想即使做MAC地址與IP綁定也沒有用了，照樣可以突破這個限制。
在區域網內設置一台能上網的機器，然後把我機器的IP設置為不能上網的，然後給那台能上網的機器裝FLAT伺服器端程序，只有500多K，
本機通過FLAT客戶端，用SOCKSCAP32加一些軟體，如IE，測試上網通過，速度很快，而且傳輸數據還是加密的，非常棒。
第一步：在我的機器上（192.168.1.226）啟動HTTPTunnel客戶端。啟動MS-DOS的命令行方式，然後執行htc -F
8888
192.168.1.231:80命令，其中htc是客戶端程序，-f參數表示將來自192.168.1.231:80的數據全部轉發到本機的8888埠，這個埠可以隨便選，只要本機沒有佔用就可以。
然後我們用Netstat看一下本機現在開放的埠，發現8888埠已在偵聽。
第二步：在對方機器上啟動HTTPTunnel的伺服器端，並執行命令
「hts -f localhost:21
80」，這個命令的意思是說把本機21埠發出去的數據全部通過80埠中轉一下，並且開放80埠作為偵聽埠，再用Neststat看一下他的機器，就會發現80埠現在也在偵聽狀態。

第三步：在我的機器上用FTP連接本機的8888埠，現在已經連上對方的機器了，快點去下載吧！
可是，人家看到的怎麼是127.0.0.1而不是192.168.1.231的地址？因為我現在是連接本機的8888埠，防火牆肯定不會有反應，因為我沒往外發包，當然區域網的防火牆不知道了。現在連接上本機的8888埠以後，FTP的數據包不管是控
制信息還是數據信息，都被htc偽裝成HTTP數據包然後發過去，在防火牆看來，這都是正常數據，相當於欺騙了防火牆。
需要說明的是，這一招的使用需要其他機器的配合，就是說要在他的機器上啟動一個hts，把他所提供的服務，如FTP等重定向到防火牆所允許的80埠上，這樣才可以成功繞過防火牆！肯定有人會問，如果對方的機器上本身就有WWW服務，也就是說他的80埠
在偵聽，這么做會不會沖突？HTTPTunnel的優點就在於，即使他的機器以前80埠開著，現在這么用也不會出現什麼問題，正常的Web訪問仍然走老路子，重定向的隧道服務也暢通無阻！