华为ar路由包过滤

㈠ 华为路由器里面的5种过滤器详解 跪求啊！！！

这些都是不同命令行里的参数。
prefix-list：IP前缀列表。
# 定义if-match子句，设置匹配相关的IPv6路由信息。
<HUAWEI> system-view
[HUAWEI] route-policy policy permit node 10
[HUAWEI-route-policy] if-match ipv6 address prefix-list p1
[HUAWEI-route-policy] if-match ipv6 next-hop prefix-list p1
[HUAWEI-route-policy] if-match ipv6 route-source prefix-list p1

as-path-filter xxx：指定匹配的AS路径过滤器号。
# 创建序号为2的AS路径过滤器，允许AS路径中包含20的路由通过。
<HUAWEI> system-view[HUAWEI] ip as-path-filter 2 permit [ 20 ]
# 查看AS路径属性中包含65420的所有BGP VPNv6路由信息。
<HUAWEI> system-view
[HUAWEI] ip as-path-filter 1 permit 65420*
[HUAWEI] display bgp vpnv6 all routing-table as-path-filter 1

community-filter：用来显示匹配指定的BGP团体属性过滤器的路由信息。
# 查看本端指定团体列表的所有BGP VPNv6路由信息。
<HUAWEI> system-view
[HUAWEI] ip community-filter 1 permit internet
[HUAWEI] display bgp vpnv6 all routing-table community-filter 1 whole-match

route-policy xxx：指定路由策略名称
显示名为policy1的Route-Policy信息。
<HUAWEI> display route-policy policy1

㈡ 路由器如何进行数据包过滤

数据包是TCP/IP协议通信传输中的数据单位，局域网中传输的不是“帧”吗?
但是TCP/IP协议是工作在OSI模型第三层(网络层)、第四层(传输层)上的，而帧是工作在第二层(数据链路层)。
上一层的内容由下一层的内容来传输，所以在局域网中，“包”是包含在“帧”里的。
一、数据包过滤有时也称为静态数据包过滤，它通过分析传入和传出的数据包以及根据既定标准传递或阻止数据包来控制对网络的访问，当路由器根据过滤规则转发或拒绝数据包时，它便充当了一种数据包过滤器。
当数据包到达过滤数据包的路由器时，路由器会从数据包报头中提取某些信息，根据过滤规则决定该数据包是应该通过还是应该丢弃。数据包过滤工作在开放式系统互联 (OSI) 模型的网络层，或是 TCP/IP 的 Internet 层。
二、作为第3层设备，数据包过滤路由器根据源和目的 IP 地址、源端口和目的端口以及数据包的协议，利用规则来决定是应该允许还是拒绝流量。这些规则是使用访问控制列表 (ACL) 定义的。
三、相信您还记得，ACL 是一系列 permit 或 deny 语句组成的顺序列表，应用于 IP 地址或上层协议。ACL 可以从数据包报头中提取以下信息，根据规则进行测试，然后决定是“允许”还是“拒绝”。
四、简单的说，你上网打开网页，这个简单的动作，就是你先发送数据包给网站，它接收到了之后，根据你发送的数据包的IP地址，返回给你网页的数据包，也就是说，网页的浏览，实际上就是数据包的交换。
1、数据链路层对数据帧的长度都有一个限制，也就是链路层所能承受的最大数据长度，这个值称为最大传输单元，即MTU。以以太网为例，这个值通常是1500字节。
2、对于IP数据包来讲，也有一个长度，在IP包头中，以16位来描述IP包的长度。一个IP包，最长可能是65535字节。
3、结合以上两个概念，第一个重要的结论就出来了，如果IP包的大小，超过了MTU值，那么就需要分片，也就是把一个IP包分为多个。
数据包的结构与我们平常写信非常类似，目的IP地址是说明这个数据包是要发给谁的，相当于收信人地址;
源IP地址是说明这个数据包是发自哪里的，相当于发信人地址，而净载数据相当于信件的内容，正是因为数据包具有这样的结构，安装了TCP/IP协议的计算机之间才能相互通信。
在使用基于TCP/IP协议的网络时，网络中其实传递的就是数据包。

㈢ 华为路由器AR 28-11 如何配置可以使某个IP 禁止上网

lan设置，有一个ip地址，或者是mac地址过滤功能，开启，输入就可以了！不过一般禁的话，最好禁mac，ip地址一般都是自动获取，或者别人直接改ip，还是禁mac算了.

㈣ 路由器如何设置IP与MAC地址过滤

局域网设置MAC地址绑定和IP地址过滤需要通过3层交换机才可以完成，普通二层交换机通常不具备这些功能。

以华为交换机为例，一般需要执行如下一些命令：

1、查看arp记录，即ip与mac的对应表

disparp|in<查询字符串>

简单解释一下这个命令：

disp：是display的简写

arp：displayarp表示显示所有arp缓存里面的记录

|：管道，这个不解释，懂命令行的人都应该有点管道的常识

in：是include命令的简写，用于进行查询

<查询字符串>：可以指定一个ip或mac，disparp将显示所有的记录，加了includexxx后，就可以查指定IP或MAC的arp记录。

2、绑定IP地址与MAC地址

先要进入System-View模式，输入"sys"即可。

system-view:

[s3928]arpstatic121.221.60.2110013-3909-d0aa

这个就不多说了吧，注意一下MAC地址模式，跟我们Windows系统里面显示的HH-HH-HH-HH-HH-HH的格式似乎有点不同，有木有？

绑定之后，再用disparp查看它这一条记录时，Type值会显示为static（静态的），这表示你手动绑定的。如果你没有手工绑定，交换机也有学习的功能，他学习到的IP与MAC的对应记录，Type值为dynamic（动静的）。

3、解除绑定

[s3928]undoarp221.231.142.248

最后，提醒一下，如果给一个IP绑定一个错误的MAC地址，那么这个IP就上不了网了。

如果是针对局域网内主机访问互联网时的mac地址过滤和ip绑定，可在路由器完成，以tplink r4149为例：

1、浏览器输入路由器管理ip，默认192.168.1.1，回车；

2、输入路由器管理员账户及密码，点击确定，默认皆为admin；

3、点击安全设置，点击勾选开启防火墙，点击勾选开启MAC地址过滤，点击禁仅允许访问mac地址列表中的mac地址访问internet，点击保存；

㈤ 华为路由器的路由过滤问题

不太懂，从网上搜了一段看看有没有帮助。

OSPF协议测试分析
l OSPF等cost双链路情况下，不论是到单一不还是随机目的地址的数据流，均无法实现
负载均衡。

l 不支持对virtual-link进行OSPF的MD5认证。

l 在3680平台作rip向OSPF再发布，当对由rip进入的多条路由粘贴不同tag标记时，368
0无法将大于一个以上的tag向外advertise。

l OSPF无法使用filter-policy(类似distribute-list)对进入路由作过滤。OSPF下，fi
lter-policy 仅能控制全局入方向路由，即无法对指定(接口)neighbour作in方向发布控
制。

l Ospf下，几乎所有策略只能在import点作(router-policy无法在OSPF下使用)，路由器
无法对其它路由器发布的out方向的路由实施策略。

l Ospf下，在im点为不同路由添加的tag，无法传递到远端，严重问题。

l 在对同一名字route-policy定义了多个seq时，虽然命令提示可以，但实际上不能单独
删除指定seq下的策略，即只能一次删除全部，严重问题。

BGP协议测试分析

l 改变Cisco端BGP AS number 时，QuidwayR3680对应端口通信中断，而端口显示信息正
常，严重问题。

l 改变2630 BGP AS number时，26随机死机。

l 在对同一名字route-policy定义了多个seq时，虽然命令提示可以，但实际上不能单独
删除指定seq下的策略，即只能一次删除全部，严重问题。

l EBGP在作AS number prepend时，严重不正常。如：单一名称多seq 的route-policy被
应用时，若作as number prepending的seq不在第一项，则无法prepending(在远端路由
器看不到被prepending 的as number，如果作as number prepending的seq在第一项，则
所有应该用该route-policy import 入BGP的路由，都会被prepend同样的AS numbers。

l 3680平台，用origin-policy、route-policy对aggregate route 作origin修改，不生
效。
l 3680，bgp，OSPF等动态协议相关统计信息太简单，甚至无neighbour uptime、last
update time之类基本统计信息，维护、排错极不便。

l 3680与2630作IBGP时，2630开启synchronization时，2630所显示的BGP表中，来自36
80的路由next hop显示为null，且无法向另一远端EBGP发布3680的路由，即不向外AS发
布。

l 在无数据流量，起单一BGP进程的情况下，QuidwayR2630 cpu达到27%左右，不正常。

l 3680平台，用suppress-policy、route-policy对aggregate route 作单个major net
单元的supress，结果显示，所有参与aggregation的major net均被suppress。

l 3680平台，BGP(E or I)环境下，无法使用update-source 命令。在两bgp neighbour
存在冗余物理链路时，BGP connection将只能在单一链路上建立，该链路中断则BGPcon
nection中断，无法起到冗余的作用。

l AS100内运行OSPF area 1，在各路由器interface loopback 1 1.0.0.x可互通的情况
下，quidway路由器无法通过对端路由器的1.0.0.x进行IBGP连接。
l AS100内运行OSPF area 1，在各路由器全部自物理接口可互通的情况下，作五个路由
器全IBGP连接时，quidway路由器无法与部分非直接路由器(one of the opposites)的物
理接口进行IBGP连接。

l 在定义多个peer group后，3680会把对其中一个peer group制定的attribute如next-
hop-local(类似cisco的next-hope-self)，origin，as prepending等向其它未制定att
riute的peer group传递，严重问题。。

l ACL、route-policy协作问题。
当acl后加deny any 项时，且route-policy启用时，所有外出路由将在本地路由器的ou
t方向被filte掉，严重不正常。
l Router-reflector工作不正常。在分别用3680、2630b作router-reflector时，各自所
下连client学不到其它client的路由。如72学不到2630b的路由，3680学不到2630a的路
由等，严重问题。若去掉两client对应端口IGP配置，则可以reflect，工作不正常。

l 测试bgp confederation 时，发现如下情况：
1. 每个路由器分别不能看到两个非直接路由器之一的loop段。如3680上看不到26a的in
terface loopback 1 的ip address所属网段。此时该loopback1接口开启OSPF。
2. 在26a loopback1接口关启ospf时，3680可以学到该loopback1所属网段，但同时，两
Cisco路由器之间bgp connection不能建立。

l 无BGP backdoor功能。

vrrp运行分析
l 0105版本下，在3680E、3640平台上对E口作vrrp，下连PC及路由器本身无法ping通浮
动地址。即vrrp工作不正常。
l 升级后至0108版本后，3680VRRP virtual ip可以被VRRPgroup所在segment 的Pcping
通，virtual MAC地址显示正常，符合RFC3678 00-00-5e-00-01-vrid定义，但在路由器
上ping不能，且显示mac空，经查验RFC3768，此行为该标准并未作过多说明，但实际运
行中，这一点将给监控、排错造成诸多不便。
l Display命令对VRRP的显示将显示所有VRRP组信息，无法显示单个组，且统计信息过于
简单。
l
NAT运行分析
l 华为路由器3680在作NAT时，fe-inside，serial-outside，以proxyhunter发包，当流
量增至200k/bps时，华为路由器CPU增至100%利用率，极不正常。
l 部分语法提示有问题，如nat server global等。
l 在3640平台上无法用nat server 语句实现global outside--àlocal inside 的stat
ic nat。
低端接入交换机试用结果
l 华为quidwayS3026同时在access int、trunk int运行同等优先级STP，当access int
位于小端口(priority 较优先)时，stp算法将block trunk int，造成trunk线路中断。

l quidwayS3026交换机不自动开启STP，默认情况下冗余TOPO将引起流量风暴。

㈥ 华为的18-23路由怎么在命令行下限制访问某些网站

、单纯的限制某些网站
不能访问，网络游戏（比如联众）不能玩，这类限制一般是限制了欲访问的IP地址。
对于这类限制很容易突破，用普通的HTTP代理就可以了，或者SOCKS代理也是可以的。现在网上找HTTP代理还是很容易的，一抓一大把。在IE里加了HTTP代理就可以轻松访问目的网站了。
二、限制了某些协议
如不能FTP了等情况，还有就是限制了一些网络游戏的服务器端IP地址，而这些游戏又不支持普通HTTP代理。
这种情况可以用SOCKS代理，配合Sockscap32软件，把软件加到SOCKSCAP32里，通过SOCKS代理访问。一般的程序都可以突破限制。对于有些游戏，可以考虑Permeo
Security Driver 这个软件。如果连SOCKS也限制了，那可以用socks2http了，不会连HTTP也限制了吧。
三、基于包过滤的限制
或者禁止了一些关键字。这类限制就比较强了，一般是通过代理服务器或者硬件防火墙做的过滤。比如：通过ISA Server 2004禁止MSN
，做了包过滤。这类限制比较难突破，普通的代理是无法突破限制的。
这类限制因为做了包过滤，能过滤出关键字来，所以要使用加密代理，也就是说中间走的HTTP或者SOCKS代理的数据流经过加密，比如跳板，SSSO，
FLAT等，只要代理加密了就可以突破了， 用这些软件再配合Sockscap32，MSN就可以上了。 这类限制就不起作用了。
四、基于端口的限制
限制了某些端口，最极端的情况是限制的只有80端口可以访问，也就只能看看网页，连OUTLOOK收信，FTP都限制了。当然对于限制几个特殊端口，突破原理一样。
这种限制可以通过以下办法突破，1、找普通HTTP80端口的代理，12.34.56.78：80，象这样的，配合socks2http，把HTTP代理装换成SOCKS代理，然后再配合SocksCap32，就很容易突破了。这类突破办法中间走的代理未
加密。通通通软件也有这个功能。2、用类似FLAT软件，配合SocksCap32，不过所做的FLAT代理最好也是80端口，当然不是80端口也没关系，因为FLAT还支持再通过普通的HTTP代理访问，不是80端口，就需要再加一个80端口的HTTP
代理。这类突破办法中间走的代理加密，网管不知道中间所走的数据是什么。代理跳板也可以做到，不过代理仍然要80端口的。对于单纯是80端口限制，还可以用一些端口转换的技术突破限制。可以参考我下边的帖子。
五、以上一些限制综合的
比如有限制IP的，也有限制关键字，比如封MSN，
还有限制端口的情况。一般用第四种情况的第二个办法就可以完全突破限制。只要还允许上网，呵呵，所有的限制都可以突破。
六、还有一种情况就是你根本就不能上网
没给你上网的权限或者IP，或者做IP与MAC地址绑定了。两个办法：
1、你在公司应该有好朋友吧，铁哥们，铁姐们都行，找一个能上网的机器，借一条通道，装一个小软件就可以解决问题了，FLAT应该可以，有密钥，别人也上不了，而且可以自己定义端口。。其他能够支持这种方式代
理的软件也可以。我进行了一下测试，情况如下：局域网环境，有一台代理上网的服务器，限定了一部分IP，
给予上网权限，而另一部分IP不能上网，在硬件防火墙或者是代理服务器上做的限制。我想即使做MAC地址与IP绑定也没有用了，照样可以突破这个限制。
在局域网内设置一台能上网的机器，然后把我机器的IP设置为不能上网的，然后给那台能上网的机器装FLAT服务器端程序，只有500多K，
本机通过FLAT客户端，用SOCKSCAP32加一些软件，如IE，测试上网通过，速度很快，而且传输数据还是加密的，非常棒。
第一步：在我的机器上（192.168.1.226）启动HTTPTunnel客户端。启动MS-DOS的命令行方式，然后执行htc -F
8888
192.168.1.231:80命令，其中htc是客户端程序，-f参数表示将来自192.168.1.231:80的数据全部转发到本机的8888端口，这个端口可以随便选，只要本机没有占用就可以。
然后我们用Netstat看一下本机现在开放的端口，发现8888端口已在侦听。
第二步：在对方机器上启动HTTPTunnel的服务器端，并执行命令
“hts -f localhost:21
80”，这个命令的意思是说把本机21端口发出去的数据全部通过80端口中转一下，并且开放80端口作为侦听端口，再用Neststat看一下他的机器，就会发现80端口现在也在侦听状态。

第三步：在我的机器上用FTP连接本机的8888端口，现在已经连上对方的机器了，快点去下载吧！
可是，人家看到的怎么是127.0.0.1而不是192.168.1.231的地址？因为我现在是连接本机的8888端口，防火墙肯定不会有反应，因为我没往外发包，当然局域网的防火墙不知道了。现在连接上本机的8888端口以后，FTP的数据包不管是控
制信息还是数据信息，都被htc伪装成HTTP数据包然后发过去，在防火墙看来，这都是正常数据，相当于欺骗了防火墙。
需要说明的是，这一招的使用需要其他机器的配合，就是说要在他的机器上启动一个hts，把他所提供的服务，如FTP等重定向到防火墙所允许的80端口上，这样才可以成功绕过防火墙！肯定有人会问，如果对方的机器上本身就有WWW服务，也就是说他的80端口
在侦听，这么做会不会冲突？HTTPTunnel的优点就在于，即使他的机器以前80端口开着，现在这么用也不会出现什么问题，正常的Web访问仍然走老路子，重定向的隧道服务也畅通无阻！