acl列表域名过滤

㈠ ACL(访问控制列表)的分类和作用

IP访问控制列表的分类

标准IP访问控制列表

当我们要想阻止来自某一网络的所有通信流量，或者充许来自某一特定网络的所有通信流量，或者想要拒绝某一协议簇的所有通信流量时，可以使用标准访问控制列表来实现这一目标。标准访问控制列表检查路由的数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。

扩展IP访问控制列表

扩展访问控制列表既检查数据包的源地址，也检查数据包的目的地址，还检查数据包的特定协议类型、端口号等。扩展访问控制列表更具有灵活性和可扩充性，即可以对同一地址允许使用某些协议通信流量通过，而拒绝使用其他协议的流量通过。

命名访问控制列表

在标准与扩展访问控制列表中均要使用表号，而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。使用命名访问控制列表可以用来删除某一条特定的控制条目，这样可以让我们在使用过程中方便地进行修改。

在使用命名访问控制列表时，要求路由器的IOS在11.2以上的版本，并且不能以同一名字命名多个ACL，不同类型的ACL也不能使用相同的名字。

㈡ 路由器设置屏蔽网页问题

740N我不知道，我这边TP-Link 847N里面是有的

其中ip地址过滤就可以只允许qq的ip

域名过滤就不用说了

mac地址过滤可以只让指定的电脑连外网

不过说回来，既然是开公司的，最好是做一个专门的内网

㈢ 使用标准的ACL过滤所有源IP地址为私有地址的数据的命令怎么写

标准访问列表只能写地址或默认的子网，你这个需求需要用扩展访问列表
access-list
111
deny
ip
192.168.0.0
0.0.0.255
any
access-list
111
deny
ip
10.0.0.0
0.255.255.255
any
access-list
111
deny
ip
172.16.0.0
0.15.255.255
any
access-list
111
permit
ip
any
any

㈣ ACL过滤和MAC过滤有什么不一样

ACL过滤：访问控制列来表（源Access Control List，ACL） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。
MAC过滤：MAC地址过滤功能通过MAC地址允许或拒绝无线网络中的计算机访问广域网，有效控制无线网络内用户的上网权限。

㈤ 路由器配置1.1.1.1/25是什么意思

1、内置Bypass/
2、OBS模块
3、路由模式
4、桥接模式
5、旁路模式
6、TCP/IP 协议簇
7、静态路由
8、RIP(v1/v2)
9、OSPF
10、DHCP Relay
11、DHCP Server
12、PPPoE
13、DDNS
14、QoS
15、弹性带宽
16、可视化VPN
17、应用路由（没有解释）
18、AnyDNS（没有解释）
19、Web认证
20、智能DNS
21、多链路负载均衡
22、MIPS多核网络处理器
23、PAP
24、CHAP
25、Firewall
26、ACL
27、端口镜像
28、ARP攻击
29、URL跳转
30、域名过滤

1、内置Bypass/
名词解释：旁路功能 详细解释：网络安全设备一般都是应用在两个或更多的网络之间，比如内网和外网之间，网络安全设备内的应用程序会对通过他的网络封包来进行分析，以判断是否有威胁存在，处理完后再按照一定的路由规则将封包转发出去，而如果这台网络安全设备出现了故障，比如断电或死机后，那连接这台设备上所有网段也就彼此失去联系了，这个时候如果要求各个网络彼此还需要处于连通状态，那么就必须Bypass出面了。Bypass顾名思义，就是旁路功能，也就是说可以通过特定的触发状态（断电或死机）让两个网络不通过网络安全设备的系统，而直接物理上导通，所以有了Bypass后，当网络安全设备故障以后，还可以让连接在这台设备上的网络相互导通，当然这个时候这台网络设备也就不会再对网络中的封包做处理了。软件测试过程中出现bypass code，测试未完全开发的软件时，有些功能还未完成，会产生error，通过bypass code，可以忽略及跳过这些error,从而继续替他功能的测试.
2、OBS模块
名词解释：光突发交换网络
详细解释：光突发交换中的“突发”可以看成是由一些较小的具有相同出口边缘节点地址和相同QoS要求的数据分组组成的超长数据分组，这些数据分组可以来自于传统IP网中的IP包。突发是光突发交换网中的基本交换单元，它由控制分组(BCP, Burst Control Packet, 作用相当于分组交换中的分组头)与突发数据BP(净载荷)两部分组成。突发数据和控制分组在物理信道上是分离的，每个控制分组对应于一个突发数据，这也是光突发交换的核心设计思想。例如，在WDM系统中，控制分组占用一个或几个波长，突发数据则占用所有其它波长。将控制分组和突发数据分离的意义在于控制分组可以先于突发数据传输，以弥补控制分组在交换节点的处理过程中O/E/O变换及电处理造成的时延。随后发出的突发数据在交换节点进行全光交换透明传输，从而降低对光缓存器的需求，甚至降为零，避开了目前光缓存器技术不成熟的缺点。并且，由于控制分组大小远小于突发包大小，需要O/E/O变换和电处理的数据大为减小，缩短了处理时延，大大提高了交换速度。这一过程就好像一个出境旅行团，在团队出发前，一个工作人员携带团员们的有关资料，提前一天到达边境办理出入境手续及预定车票等，旅行团随后才出发，节约了游客们的时间也简化了程序。
5、旁路模式 名词解释：

详细解释：泛指在一个系统的正常流程中，有一堆检核机制，而ByPass Mode就是当检核机制
发生异常，无法在短期间内排除时，使系统作业能绕过这些检核机制，使系统能够继续执行的作业模式。
6、TCP/IP 协议簇
名词解释： TCP/IP协议簇是Internet的基础，也是当今最流行的组网形式。TCP/IP是一组协议的代名词，包括许多别的协议，组成了TCP/IP协议簇
详细解释：其中比较重要的有SLIP协议、PPP协议、IP协议、ICMP协议、ARP协议、TCP协议、UDP协
议、FTP协议、DNS协议、SMTP协议等。TCP/IP协议并不完全符合OSI的七层参考模型。传统的开放式系统互连参考模型，是一种通信协议的7层抽象的参考模型,其中每一层执行某一特定任务。该模型的目的是使各种硬件在相同的层次上相互通信。而TCP/IP通讯协议采用了4层的层级结构，每一层都呼叫它的下一层所提供的网络来完成自己的需求。

7、静态路由
名词解释：是指由网络管理员手工配置的路由信息
详细解释：当网络的拓扑结构或链路的状态发生变化时，网络管理员需要手工去修改路由表中相关的静态路由信息。静态路由信息在缺省情况下是私有的，不会传递给其他的路由器。当然，网管员也可以通过对路由器进行设置使之成为共享的。静态路由一般适用于比较简单的网络环境，在这样的环境中，网络管理员易于清楚地了解网络的拓扑结构，便于设置正确的路由信息。在一个支持DDR（dial-on-demand routing）的网络中，拨号链路只在需要时才拨通，因此不能为动态路由信息表提供路由信息的变更情况。在这种情况下，网络也适合使用静态路由。
8、RIP(v1/v2)
名词解释： 1.RIPv1是有类路由协议，RIPv2是无类路由协议
详细解释RIPv1不能支持VLSM，RIPv2可以支持VLSM ，RIPv1没有认证的功能，RIPv2可以支持认证，并且有明文和MD5两种认证，。RIPv1没有手工汇总的功能，RIPv2可以在关闭自动汇总的前提下，进行手工汇总，RIPv1是广播更新，RIPv2是组播更新， RIPv1对路由没有标记的功能，RIPv2可以对路由打标记（tag），用于过滤和做策略RIPv1发送的updata最多可以携带25条路由条目，RIPv2在有认证的情况下最多只能携带24条路由 ，RIPv1发送的updata包里面没有next-hop属性，RIPv2有next-hop属性，可以用与路由更新的重定 ，RIPv1 是定时更新，每隔三十秒更新一次，而RIPv2采用了触发更新等机制来加速路由计算。
9、OSPF
名词解释：OSPF(Open Shortest Path First开放式最短路径优先）[1]是一个内部网关协议(Interior
Gateway Protocol，简称IGP），用于在单一自治系统（autonomous system,AS）内决策路由。与RIP相比，OSPF是链路状态路由协议，而RIP是距离矢量路由协议。OSPF的协议管理距离（AD）是110。
详细解释：IETF为了满足建造越来越大基于IP网络的需要，形成了一个工作组，专门用于开发
开放式的、链路状态路由协议，以便用在大型、异构的I P网络中。新的路由协议已经取得一些成功的一系列私人的、和生产商相关的、最短路径优先（SPF ）路由协议为基础， 在市场上广泛使用。包括OSPF在内，所有的S P F路由协议基于一个数学算法—Dijkstra算法。这个算法能使路由选择基于链路-状态，而不是距离向量。OSPF由IETF在20世纪80年代末期开发，OSPF是SPF类
路由协议中的开放式版本。最初的OSPF规范体现在RFC1131中。这个第1版（ OSPF版本1 ）很快被进行了重大改进的版本所代替，这个新版本体现在RFC1247文档中。RFC 1247OSPF称为OSPF版本2是为了明确指出其在稳定性和功能性方面的实质性改进。这个OSPF版本有许多更新文档，每一个更新都是对开放标准的精心改进。接下来的一些规范出现在RFC 1583、2178和2328中。OSPF版本2的最新版体现在RFC 2328中。最新版只会和由RFC 2138、1583和1247所规范的版本进行互操作。

10、DHCP Relay
名词解释：DHCPRelay（DHCPR）DHCP中继 也叫做DHCP中继代理
详细解释：如果DHCP客户机与DHCP服务器在同一个物理网段，则客户机可以正确地获得动
态分配的ip地址。如果不在同一个物理网段，则需要DHCP Relay Agent(中继代理)。用DHCP Relay代理可以去掉在每个物理的网段都要有DHCP服务器的必要,它可以传递消息到不在同一个物理子网的DHCP服务器，也可以将服务器的消息传回给不在同一个物理子网的DHCP客户机。
11、DHCP Server
名词解释：指在一个特定的网络中管理DHCP标准的一台计算机
详细解释：DHCP服务器的职责是当工作站登录进来时分配IP地址，并且确保分配给每个工作
站的IP地址不同，DHCP服务器极大地简化了以前需要用手工来完成的一些网络管理任务。
12、PPPoE
名词解释：pppoe是point-to-point protocol over ethernet的简称
详细解释：可以使以太网的主机通过一个简单的桥接设备连到一个远端的接入集中器上。通过pppoe
协议，远端接入设备能够实现对每个接入用户的控制和计费。与传统的接入方式相比，pppoe具有较高的性能价格比，它在包括小区组网建设等一系列应用中被广泛采用，目前流行的宽带接入方式ADSL 就使用了pppoe协议。
13、DDNS
名词解释：DDNS（Dynamic Domain Name Server）是动态域名服务的缩写
详细解释DDNS是将用户的动态IP地址映射到一个固定的域名解析服务上，用户每次连接网络的时候客户端程序就会通过信息传递把该主机的动态IP地址传送给位于服务商主机上的服务器程序，服务器程序负责提供DNS服务并实现动态域名解析。也就是说DDNS捕获用户每次变化的IP地址，然后将其与域名相对应，这样其他上网用户就可以通过域名来进行交流。而最终客户所要记忆的全部，就是记住动态域名商给予的域名即可，而不用去管他们是如何实现的。
14、QoS
名词解释： QoS（Quality of Service）服务质量，是网络的一种安全机制
详细解释：是用来解决网络延迟和阻塞等问题的一种技术。 在正常情况下，如果网络只用于特定的
无时间限制的应用系统，并不需要QoS，比如Web应用，或E-mail设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时，QoS 能确保重要业务量不受延迟或丢弃，同时保证网络的高效运行。
15、弹性带宽
名词解释：弹性带宽是指，对带宽的运行，采取“人少时快，人多时均”的策略，最大化的利用带宽资源
详细解释：对迅雷、BT之类的P2P下载的带宽大户进行了限速，从而使带宽得到了有效的利用 。 为了改善固定数值限速的缺陷和不足，提高带宽利用率，艾泰科技ReOS 2009网络操作系统支持的弹性带宽技术可以根据网吧实时上网人数动态地改变每个IP拥有的带宽，使带宽分配更加合理。在带宽充足时，有带宽需求的用户可以获得更多的带宽；在带宽紧张时，降低占用带宽过高的用户的带宽，分配给需要带宽但占用带宽低的用户。弹性限速后，众多网络应用效果大为改观。用户可以配置针对不同的IP地址（段），不同的应用（服务）设置智能限速的策略，同时可以设置策略的生效方式（独占或共享）、优先级、生效线路和生效时间段。

16、可视化VPN
名词解释：虚拟专用网络（Virtual Private Network ，简称VPN)
详细解释：指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN
网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式〉、Frame Relay （帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。
17、应用路由 名词解释： 详细解释：
18、AnyDNS 名词解释： 详细解释
19、Web认证
名词解释：web本意是蜘蛛网和网的意思
详细解释：现广泛译作网络、互联网等技术领域。表现为三种形式，即超文本（hypertext）、超媒体
（hypermedia）、超文本传输协议（HTTP）等。一种全局性的信息结构，它将文档中的不同部分通过关键字建立链接，使信息得以用交互方式搜索。它是超级文本的简称。
20、智能DNS
名词解释：智能DNS是域名频道在业界首创的智能解析服务
详细解释：能自动判断访问者的IP地址并解析出对应的IP地址，使网通用户会访问到网通服务器，电信
用户会访问到电信服务器。智能DNS就是根据用户的来路，自动智能化判断来路IP返回给
用户，而不需要用户进行选择。比方一个企业的站点三个运营商的带宽都有：电信、网通、移动，同样有三个来自不同运营商网络的访问用户，那电信访问企业网址的时候，智能DNS会自动根据IP判断，再从电信返回给电信用户；其他的也同理。但也会遇到一个问题，就是三个用户所使用的网络运营商的DNS同步了解析企业站点所用的智能DNS，不然用户有可能无法访问到企业站点，一般会出现在智能DNS刚生效的时候，这种情况下一般可以请求网络运营商主动同步智能DNS的解析表；或者等待最多72小时，DNS会自动同步。智能DNS有软件和硬件，软件有久负盛名的开源bind，做服务的有dnspod、DNSLA等
21、多链路负载均衡

名词解释：多链路主要依靠BGP来导向多个互联网链路上的流量
详细解释：BGP是一种区域间的路由协议，旨在使ip路由器将互联网上的数据包从A点导向B点。然而，BGP是路由的核心技术，很难用来实施多归属管理，并且BGP路由不提供一个适当的机制来确保基于链路的动态灵活路由。最为关键的是：中国的各个运营商不会向用户提供BGP路由协议。 由此诞生了“多链路负载均衡”，成功解决了电信与网通之间、不同链路之间互联互通的问题，除此之外，双线路可以互为备份，如一条链路出现故障时，可以自动切换到其它链路；并在一条链路流量大时自动分配其余流量到其他的链路上等等。
22、MIPS多核网络处理器
名词解释：传统网络处理器通过专门针对网络处理而优化的指令集及并行体系结构来加速基本的包处理任务，获得
与通用处理器接近的灵活性和与ASIC接近的高性能
详细解释。如Intel的网络处理器主要用于包转发，微引擎执行基本的包处理任务，XScale Core处理例外包、控制
消息及传输层协议等，都是比较基本的处理任务。 但是受处理器内部资源（如片上存储、代码空间、处理器时钟频率等）的限制，无法支持DPI这样的复杂处理.用低级编程语言（汇编语言），缺乏稳定的支持软件。从而，网络处理器并没有如人们最初预料的那样迅速普及开来。在这种形势下，部分厂商开始了新型多核网络处理器的研发。
23、PAP
名词解释：密码认证协议（PAP），是 PPP 协议集中的一种链路控制协议，主要是通过使用 2 次握手提供一种对等结点的建立认证的简单方法，这是建立在初始链路确定的基础上的。
详细解释：PAP 并不是一种强有效的认证方法，其密码以文本格式在电路上进行发送，对于窃听、重放或重复尝试和错误攻击没有任何保护。对等结点控制尝试的时间和频度。所以即使是更高效的认证方法（如 CHAP），其实现都必须在 PAP 之前提供有效的协商机制。该认证方法适用于可以使用明文密码模仿登录远程主机的环境。在这种情况下，该方法提供了与常规用户登录远程主机相似的安全性。
24、CHAP
名词解释：CHAP全称是PPP（点对点协议）询问握手认证协议 （Challenge Handshake Authentication Protocol）。 详细解释：该协议可通过三次握手周期性的校验对端的身份，可在初始链路建立时完成时，在链路
建立之后重复进行。通过递增改变的标识符和可变的询问值，可防止来自端点的重放攻击，限制暴露于单个攻击的时间。
25、Firewall
名词解释：一种确保网络安全的方法
详细解释：防火墙可以被安装在一个单独的路由器中，用来过滤不想要的信息包，也可以被安
装在路由器和主机中，发挥更大的网络安全保护作用。防火墙被广泛用来让用户在一个安全屏障后接入互联网，还被用来把一家企业的公共网络服务器和企业内部网络隔开。另外，防火墙还可以被用来保护企业内部网络某一个部分的安全。例如，一个研究或者会计子网可能很容易受到来自企业内部网络里面的窥探。
26、ACL
名词解释： 访问控制列表（Access Control List，ACL）
详细解释：是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路
由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求，但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL可以过滤网络中的流量，是控制访问的一种网络技术手段。
27、端口镜像
名词解释：端口镜像（port Mirroring)把交换机一个或多个端口（VLAN）的数据镜像到一个或多个端口
的方法。
详细解释：为了方便对一个或多个网络接口的流量进行分析（如 IDS 产品、网络分析仪等），可
以通过配置交换机来把一个或多个端口（VLAN）的数据转发到某一个端口来实现对网络的监听。
监视到进出网络的所有数据包，供安装了监控软件的管理服务器抓取数据,如网吧需提供此功能把数据发往公安部门审查。而企业出于信息安全、保护公司机密的需要，也迫切需要 网络中有一个端口能提供这种实时监控功能。在企业中用端口镜像功能，可以很好的对企业内部的网络数据进行监控管理，在网络出现故障的时候，可以做到很好地故障定位。

28、ARP攻击
名词解释： ARP攻击，是针对以太网地址解析协议（ARP）的一种攻击技术
详细解释：此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包，且可让网络上特定计算
机或所有计算机无法正常连接。最早探讨ARP攻击的文章是由Yuri Volobue所写的《ARP与ICMP转向游戏》。
29、URL跳转
名词解释： 统一资源定位符（URL，英语 Uniform / Universal Resource Locator 的缩写）也被称为
网页地址，是因特网上标准的资源的地址（Address)。它最初是由蒂姆·伯纳斯-李发明用来作为万维网的地址的。现在它已经被万维网联盟编制为因特网标准RFC1738了。
详细解释：统一资源定位符（URL）是用于完整地描述Internet上网页和其他资源的地址的一种标识方法。 Internet上的每一个网页都具有一个唯一的名称标识，通常称之为URL地址，这种地址可以是本地磁盘，也可以是局域网上的某一台计算机，更多的是Internet上的站点。简单地说，URL就是Web地址，俗称“网址”。 URI 方案集，包含如何访问 Internet 上的资源的明确指令。 URL 是统一的，因为它们采用相同的基本语法，无论寻址哪种特定类型的资源（网页、新闻组）或描述通过哪种机制获取该资源。
30、域名过滤
名词解释：以针对某些特定范围域名进行过滤的一种机制，允许这些域名通过或不通过。 详细解释：目前的域名解析，只能针对特定域名进行翻译解析。但是如果根本就不想针对某些域名进行解析怎么办呢，针对这种情况可以设置一个过滤器，将这些域名直接过滤掉并告知请求方。 同样，如果只想针对某些特定域名进行解析，也可以利用这个过滤器来实现。即只让这些域名解析通过，别的通通屏蔽并告知请求方。 这样可以节省流量，提高效率，特别针对企业内部网有很大借鉴意义。

㈥ 网管型交换机、路由器一般都设置什么功能

CISCO和H3C 的命令事完全不一样的。没什么相同的地方。
交换机
高性能IPv4/IPv6双栈协议多层交换
高背板带宽为所有的端口提供非阻塞性能；
硬件支持IPv4/IPv6双协议栈多层线速交换，硬件区分和处理IPv4、IPv6协议报文，支持多种Tunnel隧道技术（如手工配置隧道、6to4隧道和 ISATAP隧道等等，可根据IPv6网络的需求规划和网络现状，提供灵活的IPv6网络间通信方案；
双协议栈的支持和处理，使得无需改变网络架构，即可将现有网络无缝地升级为下一代IPv6方案；
丰富完善的路由性能和超大容量路由表资源可满足大型网络动态路由需要；
基于LPM硬件路由转发方式使得RG-S3760系列不仅适用于大型网络环境，而且可防御各种网络病毒的侵袭，保障所有报文线速转发，有效保证了设备的安全性。

灵活完备的安全控制策略
具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击，如预防Dos攻击、防黑客IP扫描机制、端口ARP报文的合法性检查、多种硬件ACL策略等，还网络一片绿色；
业界领先的硬件CPU保护机制：特有的CPU保护策略（CPP技术），对发往CPU的数据流，进行流区分和优先级队列分级处理，并根据需要实施带宽限速，充分保护CPU不被非法流量占用、恶意攻击和资源消耗，保障了CPU安全，充分保护了交换机的安全；
硬件实现端口或交换机整机与用户IP地址和MAC地址的灵活绑定，严格限定端口上的用户接入或交换机整机上的用户接入问题；
专用的硬件防范ARP网关和ARP主机欺骗功能，有效遏制了网络中日益泛滥的ARP网关欺骗和ARP主机欺骗的现象，保障了用户的正常上网；
SSH（Secure Shell）和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息，保证管理设备信息的安全性，防止黑客攻击和控制设备；
控制非法用户使用网络，保证合法用户合理化使用网络，如多元素绑定、端口安全、时间ACL、基于数据流的带宽限速等，满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。

强大的多应用支持能力
支持各种单播和组播动态路由协议，可适应不同的网络规模和需要进行大量多播服务的环境，实现网络的可扩展和多业务应用；
支持IGMPv1/v2/v3全部版本，适应不同组播环境，满足组播安全应用的需要；
支持丰富的路由协议如等价路由、权重路由等丰富的三层特性和业务特性，满足不同网络链路规划下的通信需要。

完善的QoS策略
以DiffServ标准为核心的QoS保障系统，支持802.1P、IP TOS、二到七层流过滤、SP、WRR等完整的QoS策略，实现基于全网系统多业务的QoS逻辑；
具备MAC流、IP流、应用流等多层流分类和流控制能力，实现精细的流带宽控制、转发优先级等多种流策略，支持网络根据不同的应用、以及不同应用所需要的服务质量特性，提供服务。

高可靠性
支持生成树协议802.1d、802.1w、802.1s，完全保证快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路利用率；
支持VRRP虚拟路由器冗余协议，有效保障网络稳定；
支持RLDP，可快速检测链路的通断和光纤链路的单向性，并支持端口下的环路检测功能，防止端口下因私接Hub等设备形成的环路而导致网络故障的现象。

方便易用易管理
RG-S3760-24灵活复用的千兆接口形式，可灵活满足需要多个千兆链路上链、或多个千兆服务器的连接，方便用户灵活选择和网络扩展；
RG-S3760-12SFP/GT的SFP和电口任意选用的架构设计，可选配多种规格千兆接口模块，支持千兆铜缆、单/多模光纤接口模块的混合配置，支持模块热插拔，极大方便用户灵活配置和扩展网络；
网络时间协议保证交换机时间的准确性，并与网络中时间服务器时间统一化，方便日志信息和流量信息的分析、故障诊断等管理；
Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份，便于管理员网络维护和管理；
CLI界面，方便高级用户配置和使用；
Java-based Web管理方式，实现对交换机的可视化图形界面管理，快速和高效地配置设备。

路由器
高数据处理能力

采用先进的PowerPC 通讯专用处理器，2G带宽的PCI总线技术，包转发延迟小，高效的数据处理能力支持高密度端口，保证在高速环境下的网络应用。

高汇聚能力

R3740可以同时插4个NM-1CPOS-STM1模块，每个模块提供63路的2M接入，最多可以达到252路2M的接入。

主控板固化2个10/100/1000M快速以太网口，光口电口可选

主控板卡上固化两个10/100/1000M快速以太网口，可以根据实际情况，选择光口或者电口模块，在不购买任何模块的情况下，便可以实现宽带互联。

主控板可以拔插、更换，今后可以通过升级主控板升级路由器。

高可靠性

关键部件热插拔：所有电源、风扇都支持热插拔功能，充分满足网络维护、升级、优化的需求；

支持链路备份、路由备份等多种方式的备份技术，提高整个网络的可靠性；

支持VRRP热备份协议，实现线路和设备的冗余备份。

RPS冗余电源支持。

模块化结构设计

RG-R3740具有4个网络/语音模块插槽，支持种类丰富、功能齐全、高密度的网络/语音模块，可实现更多的组合应用。

良好的语音支持功能

支持G.711、G.723、G.729等多种语音编码格式，支持H.323协议栈，可以和多家VOIP厂商的设备互通；

支持实时传真功能；

支持语音网守功能。

良好的VPN功能

支持IPSec的VPN功能；

支持GRE的VPN功能；

支持L2TP/PPTP的VPDN应用；

在NAT应用下，支持L2TP/PPTP的穿透功能。

完善的QoS策略

支持PQ、CQ、FIFO、WFQ、CBWFQ、LLQ、RTPQ等拥塞管理排队策略；

支持WRED、RED的拥塞避免策略；

支持GTS流量整形策略；

支持CAR流量监管策略；

支持CTCP、CRTP等提高链路效率的QOS策略；

支持设置语音数据包优先级，可以为中小型企业提供满足要求的、高性价比的多功能服务平台。

高安全性

完善的防火墙技术，支持基于源目的IP、协议、端口以及时间段的访问列表控制策略；

支持IP与MAC地址的绑定，有效防止IP地址的欺骗；

支持认证、授权、记录用户信息的AAA认证技术，支持Radius认证协议；

支持动态路由协议中的路由信息认证技术，保证动态路由网络中路由信息的安全和可靠；

支持PPP协议中的PAP、CHAP认证及回拨技术；

方便易用易管理

采用标准CLI界面，操作更简单；

支持SNMP协议，配置文件的TFTP上传下载，方便网络管理；

支持Telnet/Console，方便的实现远程管理和控制；

多样的在线升级，为将来的功能扩展预留空间；

产品型号
RG-R3740

固定端口(主控板)
1个Console端口

1个AUX端口

2个10/100/1000M自适应快速以太网口

2个SFP光模块插槽（支持千兆以太网，与电口只能2选1）

主控板插槽
1个主控板卡插槽

模块插槽
4个网络/语音模块插槽

内部AIM插槽
1个

存储模块
Nor-Flash：2M

Nand-Flash：缺省32M，可以扩展到96M

DDR-RAM：缺省512M，最大1G

CPU
PowerPC通讯专用处理器

报文转发能力
600Kpps-1.2Mpps

可用模块
NM-2FE-TX ：2端口10Base-T/100Base-TX快速以太网接口模块

NM-2HAS：2端口高速同异步串口模块

NM-4HAS：4端口高速同异步串口模块

NM-8A：8端口异步串口模块

NM-16A：16端口异步串口模块

NM-2cE1：2端口可拆分通道化cE1模块

NM-4cE1：4端口可拆分通道化cE1模块

NM-1B-S/T：1端口ISDN模块（S/T接口）

NM-1B-U：1端口ISDN模块（U接口）

NM-4B-U：4端口ISDN模块（U接口）

NM- 4FXS：4端口语音模块（FXS接口）

NM- 8FXS：8端口语音模块（FXS接口）

NM- 4FXO：4端口语音模块（FXO接口）

NM-1E1V1：E1语音模块

AIM-VPN：硬件加密模块

NM-1CPOS-STM1：通道化POS模块

尺寸(宽 x高x深)
442mm×118mm×410mm，可以上19”标准机柜

电源
85VAC~265VAC，47Hz~63Hz，支持RPS冗余电源

整机功率
小于150W

温度
工作温度： 0℃ 到 40℃

存储温度：-40ºC 到 55ºC

湿度
工作湿度： 10% 到 90% RH

存储湿度： 5% 到 90% RH

建立运营基础：搭建一个高速、稳定的网络出口
从底层硬件架构保证：采用1.3GHz /64位RISC高性能专用网络处理器， 512M DDRII内存，支持60万条超大容量的NAT会话数，内嵌锐捷网络自主研发的RGNOS网络操作平台，提供电信级网络产品的高性能和高稳定性。
重视设备线速转发能力：包转发率高达1.5Mpps，可满足多条百兆/千兆光纤的线速转发。能够在遭受千兆DDoS攻击情况下仍然稳定运行。
关注硬件设计和支持：支持硬件端口镜像功能，监控口在提供监控功能的同时不影响网络性能，并兼容常见信息监控过滤系统。内置电信级宽频开关电源，具有防雷、防过压、防浪涌设计，适应电压不稳定场合。
双启动映像文件：升级过程断电依然可以自动恢复，让您升级无忧。

做好运营保障：做好内、外网的安全保护
全方位的ARP防御体系：通过扫描LAN口和“一键静态绑定”可迅速完成内网的IP/MAC静态绑定。支持关闭LAN口的MAC地址学习功能，拒绝非法用户上网。支持“可信任ARP”专利技术，实现动态ARP绑定和静态ARP绑定的完美结合。可智能验证ARP信息的真实性，即不需要进行静态绑定也不会被欺骗，同时还可以分等级显示存在ARP欺骗行为的主机信息，定位欺骗源。

抗DDoS攻击应对不正当竞争：具备1000M DDoS攻击防御能力。在100M DDoS攻击下，CPU利用率不高于15%，依然可以实现小包的线速转发。在1000M DDoS攻击下，CPU稳定在90%，设备正常转发。
防内外网攻击和防IP/端口扫描：可防御目前几乎所有类型的攻击，如：SYN flood，UDP flood，ICMP flood，Smurf/Fraggle攻击，分片报文攻击等。同时可记录攻击主机的地址信息，定位攻击源；也可将内网攻击主机列入黑名单，禁止其上网功能，硬件过滤攻击报文，不占用CPU资源。

硬件防病毒：通过添加规则过滤病毒报文，支持自动检测冲击波和震荡波病毒。可识别并阻断机器狗病毒的中毒过程，同时显示试图访问带毒网站的主机信息和带毒网站的IP地址。NBR系列路由器是业内唯一彻底阻断机器狗病毒的路由器。

访问控制/过滤：支持标准和扩展ACL（访问控制列表），可根据指定的IP地址范围、端口范围进行数据包的检测和过滤，支持专家ACL和时间ACL。支持域名过滤，阻断对非法、恶意网站的访问，健康上网。

业务提升关键：定制的智能特性提升用户上网体验
灵活的内外网应用：3个千兆WAN口实现多ISP线路接入，光电复用口满足运营商多种形态线路接入。VRRP热备份协议和基于Ping/DNS的线路检测，实现多台设备、多条宽带线路的负载均衡和线路备份。电信、网通自动选路功能，实现“电信数据自动走电信线路，网通数据自动走网通线路”。支持南方、北方选路策略，实用效果更好。

弹性带宽、智能限速：可针对全网、单个IP或IP段进行上传下载速率的分别弹性限制。弹性带宽功能会根据网络带宽的实时使用情况，按照设定的方式自动为每台在线PC智能分配最佳带宽。在网络繁忙的时候自动抑制占用大带宽的下载流量，保证网络不卡、不慢；在网络空闲的时候允许用户进行高速下载，充分利用网络资源，增强上网体验。
网络游戏硬件加速：通过对游戏端口和报文大小的双重识别，可为游戏报文划分高优先级的绿色通道，时刻保证快速游戏体验。

其他特性：支持GRE的VPN功能。支持L2TP/PPTP的VPDN应用。NAT应用下，支持L2TP/PPTP的穿透功能。

网络管理利器：智能联动控制、全web管理和监控见面
支持“智能联动”专利技术：在NBR的WEB界面上就可对全网交换机（锐捷系列安全交换机）进行统一管理配置。核心/接入交换机自动完成端口安全策略配置和全网PC的IP/MAC/端口三元素绑定，硬件过滤ARP欺骗、DDoS攻击等非法报文，完美解决内网完全问题。

高可用性的全WEB界面：独有的管理页面与监控页面分开设计，实现权限分离；在一个监控页面下集中显示了接口流量、IP流量、ARP绑定、NAT会话数、系统日志等信息，并可按上传速率、下载速率和IP地址对IP流量进行排序，轻松了解网络运行状况；提供系统事件告警页面和中文日志，快速定位网络故障。

针对高级用户，还提供命令行配置模式，实现更深入更细致的功能应用，体验RGNOS操作平台强大的路由特性。
技术参数
参数描述

产品型号
RG-NBR3000

固化WAN端口
2个10/100M/1000M光/电复用端口（Combo）

1个10/100M /1000M自适应RJ45端口（Auto MDI/MDIX）

固化LAN端口
5个10/100M/1000M自适应RJ45端口，（Auto MDI/MDIX）

CPU处理器
1.3GHz主频，64位RISC专业网络处理器

存储模块
DDRII：512M

FLASH：512M

BOOTROM：2M

指示灯
每端口：Link/Active（连接/工作）、Speed（速度）

每设备：Power、攻击告警、系统状态（饱和/繁忙/正常/空闲）

网络协议
l 支持TCP/IP 协议簇，实现了IP、ICMP、IGMP、TCP和UDP等协议

l 支持多种路由协议：静态路由、RIP(V1/V2)

l 支持DHCP Relay 、DHCP Server

l 支持PPPoE

l 支持NAT，支持多种NAT ALG，包括FTP、H.323、DNS等

l 支持DDNS

l 支持Ping、Tracert故障检测

l 支持QoS（PQ、CQ、FIFO、WFQ、CBWFQ等）

l 安全应用：PAP、CHAP、Firewall、ACL、端口镜像

管理协议
中文WEB配置管理和监控

支持SNMPv1/v2

CLI(Telnet/Console)

TFTP升级和配置文件管理

支持异步文件传输协议X-MODEM 升级方式

网络安全
l 彻底ARP 防攻击

l 防机器狗病毒

l 防内网攻击/外网攻击

l 支持安全地址绑定

l 防止WAN 口Ping

l 防端口扫描攻击

l 防止分片报文攻击

l 防止ICMP flood攻击

l 防止TearDrop攻击

l 防止Ping of Death

l 防止Land 攻击

l 防止Smurf/Fraggled攻击

l 防止Syn Flood

特色功能
支持弹性带宽（带宽动态分配，可设置上传、下载最大速率）

支持基于IP和MAC地址的限速

支持游戏带宽保证（跑跑卡丁车、魔兽、征途等16种游戏）

支持域名过滤、流量均衡、流量监控

支持对网内设备的联动管理

外型尺寸(高

×长×宽)
44.4mm×437mm×268mm

输入电压
AC: 100~240V 48/60Hz

整机功率
小于30W

参考 http://www.ruijie.com.cn/ProctDetail.aspx?proctid=244#

㈦ acl 主要用于过滤流量.acl 有哪两项额外用途

访问控制列表的作用 访问控制列表是应用在路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。至于数据包是被接收还是被拒绝，可以由类似于源地址、目的地址、端口号、协议等特定指示条件来决定。通过灵活地增加访问控制列表，ACL可以当作一种网络控制的有力工具，用来过滤流入和流出路由器接口的数据包。 建立访问控制列表后，可以限制网络流量，提高网络性能，对通信流量起到控制的手段，这也是对网络访问的基本安全手段。在路由器的接口上配置访问控制列表后，可以对入站接口、出站接口及通过路由器中继的数据包进行安全检测。 IP访问控制列表的分类 标准IP访问控制列表 当我们要想阻止来自某一网络的所有通信流量，或者充许来自某一特定网络的所有通信流量，或者想要拒绝某一协议簇的所有通信流量时，可以使用标准访问控制列表来实现这一目标。标准访问控制列表检查路由的数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。 扩展IP访问控制列表 扩展访问控制列表既检查数据包的源地址，也检查数据包的目的地址，还检查数据包的特定协议类型、端口号等。扩展访问控制列表更具有灵活性和可扩充性，即可以对同一地址允许使用某些协议通信流量通过，而拒绝使用其他协议的流量通过。 命名访问控制列表 在标准与扩展访问控制列表中均要使用表号，而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。使用命名访问控制列表可以用来删除某一条特定的控制条目，这样可以让我们在使用过程中方便地进行修改。 在使用命名访问控制列表时，要求路由器的IOS在11.2以上的版本，并且不能以同一名字命名多个ACL，不同类型的ACL也不能使用相同的名字。 通配符掩码 通配符掩码是一个32比特位的数字字符串，它被用点号分成4个8位组，每组包含8比特位。在通配符掩码位中，0表示“检查相应的位”，1表示“不检查相应的位”。通配符掩码与IP地址是成对出现的，通配符掩码与子网掩码工作原理是不同的。在IP子网掩码中，数字1和0用来决定是网络、子网，还是相应的主机的IP地址。如表示172.16.0.0这个网段，使用通配符掩码应为0.0.255.255。 在通配符掩码中，可以用255.255.255.255表示所有IP地址，因为全为1说明所有32位都不检查相应的位，这是可以用any来取代。而0.0.0.0的通配符掩码则表示所有32位都要进行匹配，这样只表示一个IP地址，可以用host表示。所以在访问控制列表中，可以选择其中一种表示方法来说明网络、子网或主机。 实现方法 首先在全局配置模式下定义访问列表，然后将其应用到接口中，使通过该接口的数据包需要进行相应的匹配，然后决定被通过还是拒绝。并且访问列表语句按顺序、逻辑地处理，它们在列表中自上向下开始匹配数据包。如果一个数据包头与访问权限表的某一语句不匹配，则继续检测列表中的下一个语句。在执行到访问列表的最后，还没有与其相匹配的语句，数据包将被隐含的“拒绝”语句所拒绝。 标准IP访问控制列表 在实现过程中应给每一条访问控制列表加上相应的编号。标准IP访问控制列表的编号为1至99，作用是阻止某一网络的所有通信流量，或允许某一网络的所有通信流量。语法为： Router(config)#access-list access-list-number(1~99) {denypermit} source [source-wildcard] 如果没有写通配符掩码，则默认值会根据源地址自动进行匹配。下面举例来说明：要阻止源主机为 192.168.0.45的一台主机通过E0，而允许其他的通讯流量通过E0端口。Router(config)#access-list 1 deny 192.168.0.45 0.0.0.0或Router(config)#access-list 1 deny host 192.168.0.45或Router(config)#access-list 1 deny 192.168.0.45Router(config)#access-list 1 permit anyRouter(config)#interface ethernet 0Router(config-if)#ip access-group 1 in 首先我们在全局配置模式下定义一条拒绝192.168.0.45主机通过的语句，通配符掩码可以使用0.0.0.0或host，或使用缺省值来表示一台主机，然后将其访问列表应用到接口中。如果现在又修改了计算机的IP地址，那么这条访问控制列表将对您不起作用。 扩展IP访问控制列表 扩展IP访问控制列表的编号为100至199，并且功能更加灵活。例如，要阻止192.168.0.45主机Telnet流量，而允许Ping流量。 Router(config)#access-list 101 permit icmp 192.168.0.45 0.0.0.0 anyRouter(config)#access-list 101 deny tcp 192.168.0.45 0.0.0.0 any eq 23Router(config)#access-list 101 permit ip any anyRouter(config)#interface ethernet 0Router(config-if)#ip access-group 101 in 因为Ping命令使用网络层的ICMP协议，所以让ICMP协议通过。而Telnet使用端口23，所以将端口号为23的数据包拒绝了，最终应用到某一接口，这样就可以达到目的。 命名访问控制列表 对于某一给定的协议，在同一路由器上有超过99条的标准ACL，或有超过100条的扩展ACL。想要通过一个字母数字串组成的名字来直观地表示特定的ACL时，并且路由器的IOS版本在11.2及以上时，可以使用命名访问控制列表，也就是用某些字符串来取代标准与扩展ACL的访问列表号。命名访问控制列表的语法格式为： Router(config)#ip access-list {standardextended} name 在ACL配置模式下，通过指定一个或多个允许或拒绝条件，来决定一个数据包是允许通过还是被丢弃。语法格式如下： Router(config{std-ext-}nacl)#{permitdeny} {source [source-wildcad]any} 下面是一个配置实例： ip access-list extended nyistpermit tcp 172.16.0.0 0.0.255.255 any eq 23deny tcp any anydeny udp 172.16.0.0 0.0.255.255 any lt 1024interface Ethernet 0ip access-group nyist in 基于时间访问列表的应用 随着网络的发展和用户要求的变化，从IOS12.0开始，思科(CISCO)路由器新增加了一种基于时间的访问列表。通过它，可以根据一天中的不同时间，或者根据一星期中的不同日期，或二者相结合来控制网络数据包的转发。这种基于时间的访问列表，就是在原来的标准访问列表和扩展访问列表中，加入有效的时间范围来更合理有效地控制网络。首先定义一个时间范围，然后在原来的各种访问列表的基础上应用它。 基于时间访问列表的设计中，用time-range 命令来指定时间范围的名称，然后用absolute命令，或者一个或多个periodic命令来具体定义时间范围。IOS命令格式为： time-range time-range-name absolute[start time date] [end time date]periodic days-of-the week hh:mm to [days-of-the week] hh:mm 下面分别来介绍一下每个命令和参数的详细情况： time-range 用来定义时间范围的命令。 time-range-name 时间范围名称，用来标识时间范围，以便于在后面的访问列表中引用。 absolute该命令用来指定绝对时间范围。它后面紧跟着start和end两个关键字。在这两个关键字后面的时间要以24小时制hh:mm表示，日期要按照日/月/年来表示。如果省略start及其后面的时间，则表示与之相联系的permit或deny语句立即生效，并一直作用到end处的时间为止。如果省略end及其后面的时间，则表示与之相联系的permit或deny语句在start处表示的时间开始生效，并且一直进行下去。 periodic主要是以星期为参数来定义时间范围的一个命令。它的参数主要有Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一个或者几个的组合，也可以是daily(每天)、weekday(周一至周五)，或者weekend(周末)。 下面我们来看一个实例：在一个网络中，路由器的以太网接口E0连接着202.102.240.0网络，还有一个串口S0连入Internet。为了让202.102.240.0网络内的公司员工在工作时间内不能进行WEB浏览，从2003年5月1日1时到2003年5月31日晚24时这一个月中，只有在周六早7时到周日晚10时才可以通过公司的网络访问Internet。 我们通过基于时间的扩展访问控制列表来实现这一功能： Router# config tRouter(config)# interface Ethernet 0Router(config-if)#ip access-group 101 inRouter(config-if)#time-range httpRouter(config-if)#absolute start 1:00 1 may 2003 end 24:00 31 may 2003 periodic Saturday 7:00 to Sunday 22:00Router(config-if)#ip access-list 101 permit tcp any any eq 80 http 我们是在一个扩展访问列表的基础上，再加上时间控制就达到了目的。因为是控制WEB访问的协议，所以必须要用扩展列表，那么编号需在100至199之间。我们定义了这个时间范围的名称是http，这样，我们就在列表中的最后一句方便地引用了。 合理有效地利用基于时间的访问控制列表，可以更有效、更安全、更方便地保护我们的内部网络，这样您的网络才会更安全，网络管理人员也会更加轻松。 检验 在路由器中用show running-config命令检查当前正在运行的配置文件，用show ip access-list命令来查看访问控制列表，并在计算机的命令提示符下用Ping/Telnet命令进行测试。

㈧ 请分析访问控制列表（ACL）与包过滤防火墙的区别

ACL一般用在交换机和路由器上，应用的时候是有方向的（入方向或者出方向），我们知道数据包是有来有回的，acl只能做到单向访问限制。比如交换机上配了2个vlan，vlan10和vlan20，vlan10的192.168.10.1访问vlan20的192.168.20.1，如果在vlan10上启用acl应用在inbound方向，策略为允许192.168.10.1访问192.168.20.1，然后又在vlan20上启用acl应用在inbound方向，策略为192.168.20.1拒绝访问192.168.10.1。这种情况下其实两边都是不通的。应为从192.168.10.1ping192.168.20.1去的时候是可以到达的，但是回来的时候就让vlan20上的acl给阻止了。
但是如果交换机换成防火墙就不一样了，防火墙是基于5元组的包过滤的方式实现的访问控制，如果是上面同样的配置，那么结果就是192.168.10.1能访问192.168.20.1，反过来就不通了。
因为192.168.10.1去访问192.168.20.1的时候这条会话会别标记，能去就能会，这是跟acl的本质区别，能记录数据的来回，而acl做不到。
手打，谢谢。

㈨ 使用什么类型的acl 过滤到一台路由器控制平面的数据

访问控制列表（Access Control List，ACL） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。
信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求，为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL可以过滤网络中的流量，是控制访问的一种网络技术手段。

㈩ 交换机中ACL有哪些种类根据数据包的哪些类型来定义规则，进行数据包的过滤

1.只要是tcp或者udp或者ip报文中有的都可以设置acl访问控制列表。
2.常见的是ip和端口号。
3. ip数据包. tcp数据包，udp数据包。