当前位置：文档库 › 路由器防火墙功能应用实例

路由器防火墙功能应用实例

企业用户使用路由器共享上网，常常需要对内网计算机的上网权限进行限制，如限制某些计算机不能上网，限制某些计算机可以收发邮件但是不可以浏览网页，限制计算机不能访问某个站点，而一些计算机有高级权限，不受任何限制。路由器具有防火墙功能，功能可以灵活组合成一系列控制规则，形成完整的控制策略，有效管理员工上网，能方便您对局域网中的计算机进行进一步管理。“数据包过滤”功能可以控制局域网中计算机对互联网上某些网站的访问；“MAC地址过滤”是通过MAC地址过滤来控制局域网中计算机对Internet的访问；“域名过滤”可以限制局域网中的计算机对某些网站的访问。

下面以TL-R490路由器为例，说明设置的方法。局域网内有8台计算机，计算机1（IP:192.168.1.2）不能上网，计算机2（IP:192.168.1.3）可以收发邮件但是不可以浏览网页，计算机3（IP:192.168.1.4）不能访问这个站点（219.134.132.61），计算机4（IP:192.168.1.5）不可以收发邮件但是可以浏览网页，其他计算机不受任何限制。以下是通过数据包过滤的方式对访问互联网的权限进行设置，因为对于其他的计算机是不做任何限制，所以把缺省过滤规则设置为允许通过；如果不允许其他计算机上网，那么应该把缺省过滤规则设为禁止通过(当然你的IP过滤条目的操作方法应该是允许通过的)：

上面的第一条条目的目的是让计算机都能够通过DNS服务器解释到某个域名的IP地址，这样电脑才能够正常连接，当然本例不添加也行，因为默认规则是允许通过。在缺省过滤规则是禁止通过的情形下这个条目是一定要添加上去。

对于限制某些计算机不能上网的情况，除了上面介绍的“数据包过滤”设置外，还可以通过“MAC地址过滤”方式实现。

端口服务对应表：FTP--21 ，HTTP（浏览网页）---80，SMTP（发送邮件）---25，POP（接收邮件）----110，DNS(域名服务)--------53。

问：路由器配置指南

答：对路由器进行基本配置，使电脑通过路由器实现共享上网，过程相对来说比较容易实现。这篇文档下面的内容，主要讲述如下几部分：

1，收集并判断信息，为配置路由器做准备；

2，进入路由器管理界面，对路由器进行配置；

3，配置过程简单的故障定位排除；

让我们快快开始，进入正题！

1，配置路由器前的准备工作（如果您对您自己的连接方式清楚，可以直接跳到第2点）；

第一个需要确认的就是您的“宽带接入方式”是怎样的？

当然，最简捷的办法就是给您的ISP（互联网服务提供商）打个电话咨询一下；也可以通过您购买路由器以前的网络连接方式进行快速判断。

常见的硬件连接方式有下面几种：

1），电话线—> ADSL MODEM —> 电脑

2），双绞线（以太网线）—> 电脑

3），有线电视（同轴电缆）—> Cable MODEM —> 电脑

4），光纤—> 光电转换器—> 代理服务器—> PC

ADSL / VDSL PPPoE ：电脑上运行第三方拨号软件如Enternet300或WinXP 系统自带的拨号程序，填入ISP提供的账号和密码，每次上网前先要拨号；或者您的ADSL MODEM 已启用路由功能，填入了ISP提供的账号和密码，拨号的动作交给MODEM 去做；（这种宽带接入方式典型的比如南方电信提供的“网络快车”）

静态IP ：ISP提供给您固定的IP地址、子网掩码、默认网关、DNS ；

动态IP ：电脑的TCP/IP属性设置为“自动获取IP地址”，每次启动电脑即可上网；（这种宽带接入方式典型的比如深圳“天威视讯”）

802.1X+静态IP ：ISP提供固定的IP地址，专用拨号软件，账号和密码；

802.1X+动态IP ：ISP提供专用拨号软件，账号和密码；

WEB认证：每次上网之前，打开IE浏览器，先去ISP指定的主页，填入ISP提供的用户名密码，通过认证以后才可以进行其他得上网操作；（上面的黑体字就是您的宽带接入方式，但是接入方式和硬件连接方式并不是固定搭配的）

上面提到的这些连接认证方式只是普及率比较高的一些宽带接入方式，当然还会有其他的拓扑连接以及认证方式的存在；所以，当您不能肯定自己的宽带方式的时候，最好向ISP咨询：自己装的宽带接入，IP地址是静态的还是动态的？认证使用的协议是PPPoE、802.1X还是WEB认证？当上面的两个问题有了答案，就可以对路由器进行配置了；

2，怎样进入路由器管理界面？

先参照《用户手册》上面的图示，将ADSL MODEM、路由器、电脑连结起来；TL-R4XX系列路由器的管理地址出厂默认：IP地址：192. 168. 1. 1 ，子网掩码：255. 255. 255. 0 （TL-R400 和TL-R400+ 两款的管理地址默认为：192. 168. 123. 254 ，子网掩码：255. 255. 255. 0）用网线将路由器LAN口和电脑网卡连接好，因为路由

器上的以太网口具有极性自动翻转功能，所以无论您的网线采用直连线或交叉线都可以，需要保证的是网线水晶头的制作牢靠稳固，水晶头铜片没有生锈等。

电脑桌面上右键点击“网上邻居”，选择“属性”，在弹出的窗口中双击打开“本地连接”，在弹出的窗口中点击“属性”，然后找寻“Internet协议（TCP/IP）”，双击弹出“Internet协议（TCP/IP）属性”窗口；在这个窗口中选择“使用下面的IP地址”，然后在对应的位置填入：

IP地址：192. 168. 1. X（X范围2-254）、

子网掩码：255. 255. 255. 0 、

默认网关：192. 168. 1. 1 ，填完以后“确定”两次即可；

“Internet协议（TCP/IP）属性”窗口如下：

3，检查电脑和路由器能不能通讯？

可采用如下办法查看，打开电脑的DOS界面：

“开始”—>“程序”，点击“MS-DOS”（Win98操作系统）

“开始”—>“程序”—“附件”，点击“命令提示符”（Win2000/XP操作系统）

一是检查上面的IP地址配置是否生效？

在DOS窗口输入：ipconfig/all 并回车，当看到类似如下信息，表示配置生效，

IP Address . . . . . . . . . . . . . . . . . . . . . . . . . . ：192. 168. 1. 10

Subnet Mast . . . . . . . . . . . . . . . . . . . . . . . . . .：255. 255. 255. 0

Default Gateway. . . . . . . . . . . . . . . . . . . . . . . . ：192. 168. 1. 1

二是从电脑往路由器LAN口发送数据包，看数据包能不能返回？在DOS窗口运行：ping 192. 168. 1. 1 –t 并回车，如果出现如下类似信息，

Reply from 192. 168. 1. 1 : bytes=32 time<10ms TTL=128

如果回车后没有出现上面的信息，确提示输入的命令“不是内部命令或外部命令，也不是可运行的程序或批处

理程序”，则说明命令输入有误，请检查空格之类的输入是否被忽略；

4，进入路由器管理界面；

出现上图的信息，表示电脑可以和路由器通讯了，打开IE浏览器，在地址栏输入192. 168. 1. 1 并回车，正常情况下会出现要求输入用户名和密码的对话框。当然，也有例外情况：

如果打开IE浏览器地址栏输入地址回车，弹出“脱机工作”的对话框，点即“连接”后出现拨号的小窗口，请点击IE浏览器菜单栏的“工具”—“Internet选项”，在弹出的对话框内点击“连接”属性页，界面如下图：

像上面点击“局域网设置”进入如下界面：

进行了上面的操作，应该说进入路由器管理界面应该没有什么障碍了；

5，开始配置路由器；

有了刚开始时对宽带接入方式的信息准备，配置起来方便多了；刚进入路由器管理界面，会弹出一个类似下图“设置向导”界面，可以取消不理它；

进入路由器管理界面，在左列菜单栏中点击“网络参数”—>“WAN口设置”，就在这里配置路由器面向Internet 方向的WAN口的工作模式，这是最关键的一步；

假设您的宽带接入方式为ADSL PPPoE ，那就选择“WAN口连接类型”为“PPPoE”，填入“上网账号”、“上网口令”，如果您是包月用户，再选择连接模式为：“自动连接”，点击“保存”即完成配置；保存完后“上网口令”框内填入的密码会多出几位，这是路由器为了安全起见专门做的；

然后您点击管理界面左列的“运行状态”，在运行状态页面“WAN口属性”，刚开始看不到对应的IP地址子网掩码默认网关DNS服务器等地址，就好像下面的这幅图，那说明路由器正在拨号过程中，等到这些地址都出现了相应的信息后，将其中的DNS服务器地址填入电脑“Internet协议（TCP/IP）”页面对应位置确定后，基本的设置就完成了，没有大碍的话可以冲浪了！

正常情况下一两分钟内，上图椭圆形部分会出现一系列地址，表明拨号成功；

6，故障情况列举；

如果上图椭圆形区域一直都没有变，看不到任何地址，有下面几种原因导致，请逐一排除：

1）ADSL MODEM上一般都会有一个ADSL灯，正常情况下MODEM加电并接好电话线后，这个灯会大致规律性地快慢闪烁，闪烁最终停止变为长亮；如果这个灯无休止的闪啊闪就是不长亮，请联系并告知ISP您的ADSL MODEM同局端的交换机不能同步，这个ADSL/DSL灯长亮的条件，是必须的；

2）在配置过程中填入“上网口令”的时候不小心输错，不妨重新输入一遍；

3）ADSL MODEM 启用了“路由模式”，需要将ADSL MDOEM复位成“桥接模式”；怎么复位到桥接模式可以和MODEM厂家联系取得操作方法；也可以这样判断：电脑接MODEM，并且在电脑上拨号，拨号成功以后可以上网，如果是这种情况的话，则说明MODEM的工作方式是桥接模式，可以排除这一可能性；

4）ISP将电脑网卡的MAC地址帮定到了ADSL线路上；解决的办法就是使用路由器的“MAC地址克隆”功能，将网卡的MAC地址复制到路由器的WAN口；

如果上面的可能性都排除了，ADSL PPPoE拨号一般就没什么问题了，下面列举的是另2个值得关注的故障原因；5）您的宽带接入方式是那种以太网线直接引入，不是ADSL但同样需要拨号，拨号的软件不局限于一种，认证使用的协议也是PPPoE，但就是拨号成功不了；如果ISP承诺带宽是10Mbps ，建议：找个10/100M自适应的集线器，将宽带进线接在集线器上，然后再连结集线器到路由器WAN口；经过这样一个速率适配的过程，拨号应该没有问题的；

6）购买路由器前，您也是通过电脑运行拨号软件，填入用户名口令拨号。但拨号软件是ISP提供的专用软件，别的软件拨号是成功不了的；如果是这种情况，请联系ISP咨询一下：您的宽带接入，认证使用的协议是802. 1X

吗？如果是的，有种可能是认证系统在开发过程中加入私有信息，导致路由器拨号失败；

7，其他配置

1）安全设置

当可以正常上网了，可能出于不同的原因，您想要对内部局域网的电脑上网操作，开放不同的权限，比如只允许登录某些网站、只能收发E-mail、一部分有限制、一部分不限制；用户在这方面需求差异较大，有些通过路由器可以实现，有些用路由器是没办法完全实现的，比如“IP地址和网卡地址绑定”这个功能，路由器不能完全做到；

我们上网的操作，其实质是电脑不断发送请求数据包，这些请求数据包必然包含一些参数比如：源IP、目的IP、源端口、目的端口等等；路由器正是通过对这些参数的限制，来达到控制内部局域网的电脑不同上网权限的目的；

下面我们会列举具有代表性的配置举例，来说明路由器“防火墙设置”、“IP地址过滤”这些功能是怎样使用的？列举的事例以及上面红字部分的解释，都是为了帮助您尽可能理解各个功能参数的含义，只有理解了参数的含义，您才可以随心所欲的配置过滤规则，迅速实现您预期的目的，而不会因为配置错误导致不能使用这些功能，也不会因为由于得不到及时的技术支持而耽误您的应用；

上图是“防火墙设置”页面，可以看到这是一个总开关的设置页面，凡是没有使用的功能，就请不要在它前面打钩选中；

除了总开关，再有就是两个过滤功能“缺省过滤规则”的确定，何谓缺省过滤规则？我们在具体规则设置页面

里，定义一些特定的规则，对符合条件的数据包进行控制处理，而这儿的“缺省规则”顾名思义，限定的是我们定制的规则中没有涉及到不符合的数据包该怎么办？这个应该不难理解吧；

一个数据包，要吗符合我们设定的规则，要吗不符合我们设定的规则但同时必定符合缺省规则；

上图就是“IP地址过滤”页面，我们可以看到缺省的过滤规则，可以填加新条目；

上图就是详细具体的规则设置页面，各项参数如上；

我们配置一条规则：限制内部局域网的一台电脑，IP地址192. 168. 1. 10，只让它登录https://www.wendangku.net/doc/5917300154.html,这个网站，别的任何操作都不行；

上面这条规则可以解读为：内网电脑往公网发送数据包，数据包的源IP地址是要限制的这台电脑的IP地址192.

168. 1. 10，数据包目的IP地址202. 96. 137. 26 ，也就是https://www.wendangku.net/doc/5917300154.html,这个域名对应的公网IP地址，广域网请求因为是针对网站的限制，所以端口号是80 ；规则设置好界面如下图：

可以在配置好的规则页面清晰看到，规则生效时间是24小时，控制的对象是IP地址为192. 168. 1. 10这台主机，局域网后面的端口默认不要填，广域网IP地址栏填入的是https://www.wendangku.net/doc/5917300154.html,对应的公网IP地址，端口号因为是网站所以填80，协议一般默认选择ALL就行了；是否允许通过呢？因为缺省规则是禁止不符合设定规则的数据包通过路由器，所以符合设定规则的数据包允许通过，规则状态为生效的；

上面这幅图片新加了第二条规则，请问第二条规则设定的是什么数据包？

如果您的规则中涉及对网站进行限制，也就是目的请求端口是80的，则应该考虑对应的将53这个端口对应数

据包也允许通过，因为53对应的是去往“域名解析服务器”的数据包，用于将域名（如https://www.wendangku.net/doc/5917300154.html,）和IP地址（如202. 96. 137. 26）对应的，所以必须开！

配置“IP地址过滤规则”这个功能用来实现您的一些目的，最主要的是分析都要做那些控制，然后选择怎样的缺省规则？配置怎样的过滤规则？如果您决心了解这个功能的真正作用，通过仔细参考资料和在路由器上反复的实验，您一定可以完全掌握的！

阅读次数：84052

加装防火墙前后的路由器配置概要

在这里我讲述一下关于加装防火墙前后的路由配置变化，因为在原先没有防火墙的情况下，路由既起到路由选择的作用，又起到网关的作用。当加装防火墙的后，局域网的网关就设为防火墙的局域网IP地址。要修改路由首先还是先看该网络的拓扑结构。在这里我所描述的是这样拓扑结构：图 1 一、先将进入路由器设置将原来的配置备份一份，虽然这一份备份以后不一定用的上，可是万一防火墙安装失败呢？图 2 下面为没有安装防火墙以前的路由器配置情况。 User Access Verification Password: （键入TELNET密码，如果你是直接用CONSOLE口进入没有此项提示） Router>en

Password: Router#show config （察看ROUTER配置情况命令） Using 810 out of 7506 bytes ! version 12.1 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Router （ROUTER名字，这里为默认名字ROUTER） ! enable secret 5 $1$FreK$4oQGtvDEF1jv8dh3NNXnN0. enable password 123456789 （特权密码，当然这是加密的） ! ip subnet-zero ! interface Ethernet0 (配置局域网e0口 ip address 192.168.1.1 255.255.255.0 （e0口在其局域网中对应的ip为192.168.1.1 ip nat inside 255.255.255.0是表示为C类网络 ! interface Ethernet1 (E1口没有激活,也没有配置 no ip address shutdown ! interface Serial0 bandwidth 2048 ip address 211.97.213.41 255.255.255.252 (此为定义ROUTER外部接口的IP ip nat outside 255.255.255.252表示此合法的INTERNET-IP encapsulation ppp

(完整版)防火墙和路由器的区别

防火墙和路由器的区别目前市面上的路由器基本都带有简单的防火墙功能，不论是消费级还是企业级，可以实现一些诸如包过滤，IP过滤这样的功能。所以有些用户就开始质疑硬件防火墙的存在价值。那么我们就来详细的比较一下这两设备有什么差别。一、背景路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网段的数据包进行有效的路由管理，路由器所关心的是：能否将不同的网段的数据包进行路由从而进行通讯。防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点，重点是这个数据包是否应该通过、通过后是否会对网络造成危害。二、目的路由器的根本目的是：保持网络和数据的“通”。防火墙根本的的目的是：保证任何非允许的数据包“不通”。三、核心技术路由器核心的ACL列表是基于简单的包过滤，属于OSI第三层过滤。从防火墙技术实现的角度来说，防火墙是基于状态包过滤的应用级信息流过滤。内网的一台服务器，通过路由器对内网提供服务，假设提供服务的端口为TCP 80。为了保证安全性，在路由器上需要配置成：只允许客户端访问服务器的TCP 80端口，其他拒绝。这样的设置存在的安全漏洞如下： 1、IP地址欺骗（使连接非正常复位） 2、TCP欺骗（会话重放和劫持）存在上述隐患的原因是，路由器不能监测TCP的状态。如果在内网的客户端和路由器之间放上防火墙，由于防火墙能够检测TCP的状态，并且可以重新随机生成TCP的序列号，则可以彻底消除这样的漏洞。同时，有些防火墙带有一次性口令认证客户端功能，能够实现在对应用完全透明的情况下，实现对用户的访问控制，其认证支持标准的Radius协议和本地认证数据库，可以完全与第三方的认证服务器进行互操作，并能够实现角色的划分。 3.安全策略

加装防火墙前后的路由器配置

随着人们对网络知识的普及，企业或公司的网络安全性，就变得更加重要起来了。关于网络安全的最可靠方法是加装防火墙。在这里我讲述一下关于加装防火墙前后的路由配置变化，因为在原先没有防火墙的情况下，路由既起到路由选择的作用，又起到网关的作用。当加装防火墙的后，局域网的网关就设为防火墙的局域网IP地址。要修改路由首先还是先看该网络的拓扑结构。在这里我所描述的是这样拓扑结构：图1 一、先将进入路由器设置将原来的配置备份一份，虽然这一份备份以后不一定用的上，可是万一防火墙安装失败呢？图2

下面为没有安装防火墙以前的路由器配置情况。 User Access Verification Password: （键入TELNET密码，如果你是直接用CONSOLE口进入没有此项提示）Router>en Password: Router#show config （察看ROUTER配置情况命令） Using 810 out of 7506 bytes ! version 12.1 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Router （ROUTER名字，这里为默认名字ROUTER） ! enable secret 5 $1$FreK$4oQGtvDEF1jv8dh3NNXnN0.

enable password 123456789 （特权密码，当然这是加密的） ! ip subnet-zero ! interface Ethernet0 (配置局域网e0口) ip address 192.168.1.1 255.255.255.0 （e0口在其局域网中对应的ip为 192.168.1.1 ip nat inside 255.255.255.0是表示为C类网络) ! interface Ethernet1 (E1口没有激活,也没有配置) no ip address shutdown ! interface Serial0 bandwidth 2048 ip address 211.97.213.41 255.255.255.252 (此为定义ROUTER外部接口的IP ip nat outside 255.255.255.252表示此合法的INTERNET-IP) encapsulation ppp ! ip nat pool 165 211.97.213.41 211.97.213.46 netmask 255.255.255.248 (isp 给你分配的ip) ip nat inside source list 1 pool 165 overload ip classless ip route 0.0.0.0 0.0.0.0 Serial0 no ip http server

路由器防火墙的设置方法

路由器防火墙的设置方法对于大多数企业局域网来说，路由器已经成为正在使用之中的最重要的安全设备之一。一般来说，大多数网络都有一个主要的接入点。这就是通常与专用防火墙一起使用的“边界路由器”。经过恰当的设置，边缘路由器能够把几乎所有的最顽固的坏分子挡在网络之外。如果你愿意的话，这种路由器还能够让好人进入网络。不过，没有恰当设置的路由器只是比根本就没有安全措施稍微好一点。在下列指南中，我们将研究一下你可以用来保护网络安全的9个方便的步骤。这些步骤能够保证你拥有一道保护你的网络的砖墙，而不是一个敞开的大门。 1.修改默认的口令! 据卡内基梅隆大学的CERT/CC(计算机应急反应小组/控制中心)称，80%的安全突破事件是由薄弱的口令引起的。网络上有大多数路由器的广泛的默认口令列表。你可以肯定在某些地方的某个人会知道你的生日。https://www.wendangku.net/doc/5917300154.html,网站维护一个详尽的可用/不可用口令列表，以及一个口令的可靠性测试。 2.关闭IP直接广播(IP Directed Broadcast) 你的服务器是很听话的。让它做什么它就做什么，而且不管是谁发出的指令。Smurf攻击是一种拒绝服务攻击。在这种攻击中，攻击者使用假冒的源地址向你的网络广播地址发送一个“ICMP echo”请求。这要求所有的主机对这个广播请求做出回应。这种情况至少会降低你的网络性能。参考你的路由器信息文件，了解如何关闭IP直接广播。例如，“Central(config)#no ip source-route”这个指令将关闭思科路由器的IP直接广播地址。 3.如果可能，关闭路由器的HTTP设置正如思科的技术说明中简要说明的那样，HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。然而，遗憾的是，HTTP协议中没有一个用于验证口令或者一次性口令的有效规定。虽然这种未加密的口令对于你从远程位置(例如家里)设置你的路由器也许是非常方便的，但是，你能够做到的事情其他人也照样可以做到。特别是如果你仍在使用默认的口令!如果你必须远程管理路由器，你一定要确保使用SNMPv3以上版本的协议，因为它支持更严格的口令。 4.封锁ICMP ping请求 ping的主要目的是识别目前正在使用的主机。因此，ping通常用于更大规模的协同性攻击之前的侦察活动。通过取消远程用户接收ping请求的应答能力，你就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的“脚本小子”(script kiddies)。请注意，这样做实际上并不能保护你的网络不受攻击，但是，这将使你不太可能成为一个攻击目标。 5.关闭IP源路由 IP协议允许一台主机指定数据包通过你的网络的路由，而不是允许网络组件确定最佳的路径。这个功能的合法的应用是用于诊断连接故障。但是，这种用途很少应用。这项功能最常用的用途是为了侦察目的对你的网络进行镜像，或者用于攻击者在你的专用网络中寻找一个后门。除非指定这项功能只能用于诊断故障，否则应该关闭这个功能。

电脑网络基础知识：无线局域网、防火墙、交换机、路由器

电脑网络基础知识：无线局域网、防火墙、交换机、路由器 366小游戏https://www.wendangku.net/doc/5917300154.html,/ 无线局域网计算机局域网是把分布在数公里范围内的不同物理位置的计算机设备连在一起，在网络软件的支持下可以相互通讯和资源共享的网络系统。通常计算机组网的传输媒介主要依赖铜缆或光缆，构成有线局域网。但有线网络在某些场合要受到布线的限制：布线、改线工程量大；线路容易损坏；网中的各节点不可移动。特别是当要把相离较远的节点联结起来时，敷设专用通讯线路布线施工难度之大，费用、耗时之多，实是令人生畏。这些问题都对正在迅速扩大的联网需求形成了严重的瓶颈阻塞，限制了用户联网。 WLAN就是解决有线网络以上问题而出现的。WLAN利用电磁波在空气中发送和接受数据，而无需线缆介质。WLAN的数据传输速率现在已经能够达到11Mbps，传输距离可远至20km以上。无线联网方式是对有线联网方式的一种补充和扩展，使网上的计算机具有可移动性，能快速、方便的解决以有线方式不易实现的网络联通问题。与有线网络相比，WLAN具有以下优点：安装便捷：一般在网络建设当中，施工周期最长、对周边环境影响最大的就是网络布线的施工了。在施工过程时，往往需要破墙掘地、穿线架管。而WLAN最大的优势就是免去或减少了这部分繁杂的网络布线的工作量，一般只要在安放一个或多个接入点(Access Point)设备就可建立覆盖整个建筑或地区的局域网络。使用灵活：在有线网络中，网络设备的安放位置受网络信息点位置的限制。而一旦WLAN 建成后，在无线网的信号覆盖区域内任何一个位置都可以接入网络，进行通讯。经济节约：由于有线网络中缺少灵活性，这就要求网络的规划者尽可能地考虑未来的发展的需要，这就往往导致需要预设大量利用率较低的信息点。而一旦网络的发展超出了设计规划时的预期，又要花费较多费用进行网络改造。而WLAN可以避免或减少以上情况的发生。易于扩展：WLAN又多种配置方式，能够根据实际需要灵活选择。这样，WLAN能够胜任只有几个用户的小型局域网到上千用户的大型网络，并且能够提供像"漫游(Roaming)"等有线网络无法提供的特性。由于WLAN具有多方面的优点，其发展十分迅速。在最近几年里，WLAN 已经在医院、商店、工厂和学校等不适合网络布线的场合得到了广泛的应用。据权威调研机构Cahners In-Stat Group预计，全球无线局域网市场将在2000年至2004年保持快速增长趋势，每年平均增长率高达25%。无线局域网市场的网卡、接入点设备及其他相关设备的总销售额也将在2000年轻松突破10亿美元大关，在2004年达到21.97亿美元。网卡网络接口卡(NIC -Network Interface Card)又称网络适配器 (NIA-Network Interface Adapter)，简称网卡。用于实现联网计算机和网络电缆之间的物理连接，为计算机之间相互通信提供一条物理通道，并通过这条通道进行高速数据传输。在局域网中，每一台联网计算机都需要安装一块或多块网卡，通过介质连接器将计算机接入网络电缆系统。网卡完成物理层和数据链路层的大部分功能，包括网卡与网络电缆的物理连接、介质访问控制(如：CSMA/CD)、数据帧的拆装、帧的发送与接收、错误校验、数据信号的编/解码(如：曼彻斯特代码的转换)、数据的串、并行转换等功能。 Modem MODEM就是调制解调器。是调制器和解调器的合称。网友们通常戏称为"猫"。它是拨号上网的必备设备。通过Modem将计算机的数字信息变成音频信息才得以在电话线上传播。 Modem一般分内置和外置两种。内置式插入计算机内不占用桌面空间，使用电脑内部的电源，价格一般比外置式便宜。外置式安装简易，无需打开机箱，也无需占用电脑中的扩展槽。它有几个指示灯，能够随时报告Modem正在进行的工作。防火墙 1.什么是防火墙防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共

路由器和防火墙的选型

路由器和防火墙任务描述：了解路由器和防火墙的主要在定义、工作、功能及分类。背景知识： 1、什么是路由器？路由器的主要工作？路由器是互联网的主要节点设备，他可以连接不通传输速率并运行在不同环境下的局域网和广域网。路由器的主要工作：路由器工作在OSI模型的网络层，主要功能就是为经过路由器的每个数据选择最佳的路径。不想前面所讲的网桥和交换机，路由器是依靠与协议的。典型的路由器都带有自己的处理器、内存、电源和为各种不同类型的为网络连接器而准备的输入输出插座。其最重要的功能就是实现路由选择。 2、防火墙的功能和分类？防火墙是网络安全的屏障：一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低危机。由于只有经过精心选择的使用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保卫网络，这样外部的攻击者就不可能运用这些脆弱的协议来攻击内部网络。防火墙同时可以保卫网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。防火墙可以强化网络安全策略：通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全疑问分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。防火墙的种类防火墙技能可根据防备的形式和侧重点的不同而分为很多种类型，但总体来讲可分为二大类：分组过滤、使用代理。分组过滤（Packet filtering）：作用在网络层和传输层，它根据分组包头源地址，目的地址和端口号、协议类型等标志确定能不能允

路由器防火墙配置命令详解

路由器防火墙配置命令一、access-list 用于创建访问规则。（1）创建标准访问列表 access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] （2）创建扩展访问列表 access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-无效[ icmp-code ] ] [ log ] （3）删除访问列表 no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】 normal 指定规则加入普通时间段。 special 指定规则加入特殊时间段。 listnumber1 是1到99之间的一个数值，表示规则是标准访问列表规则。 listnumber2 是100到199之间的一个数值，表示规则是扩展访问列表规则。 permit 表明允许满足条件的报文通过。 deny 表明禁止满足条件的报文通过。 protocol 为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念；为IP时有特殊含义，代表所有的IP协议。 source-addr 为源地址。 source-mask 为源地址通配位，在标准访问列表中是可选项，不输入则代表通配位为0.0.0.0。 dest-addr 为目的地址。 dest-mask 为目的地址通配位。 operator[可选] 端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较操作

华为路由器防火墙配置

华为路由器防火墙配置一、access-list 用于创建访问规则。 (1)创建标准访问列表 access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] (2)创建扩展访问列表 access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source- mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ] (3)删除访问列表 no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】 normal 指定规则加入普通时间段。 special 指定规则加入特殊时间段。 listnumber1 是1到99之间的一个数值，表示规则是标准访问列表规则。 listnumber2 是100到199之间的一个数值，表示规则是扩展访问列表规则。 permit 表明允许满足条件的报文通过。 deny 表明禁止满足条件的报文通过。 protocol 为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念;为IP时

有特殊含义，代表所有的IP协议。 source-addr 为源地址。 source-mask 为源地址通配位，在标准访问列表中是可选项，不输入则代表通配位为0.0.0.0。 dest-addr 为目的地址。 dest-mask 为目的地址通配位。 operator[可选] 端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较操作有:等于(eq) 、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range，则后面需要跟两个端口。 port1 在协议类型为TCP或UDP时出现，可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。 port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或 0~65535之间的一个数值。 icmp-type[可选] 在协议为ICMP时出现，代表ICMP报文类型;可以是关键字所设定的预设值(如echo- reply)或者是0~255之间的一个数值。 icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码，是0~255之间的一个数值。 log [可选] 表示如果报文符合条件，需要做日志。 listnumber 为删除的规则序号，是1~199之间的一个数值。

桥接模式与路由模式区别

桥接模式与路由模式区别早期国内的ADSL线路接入都是桥接方式，由ADSL MODEM和电脑配合，在电脑上分配固定IP地址，开机就能接入局端设备进入互联网。但是这样在用户不开机上网时，IP是不会被利用，会造成目前日益缺少的公网IP资源的浪费，因此出现了PPPoE拨号的ADSL接入。 PPPoE拨号可以使用户开机时拨号接入局端设备，由局端设备分配给一个动态公网IP，这样公网IP紧张的局面就得到了缓解。目前国内的ADSL上网方式中，基本上是PPPoE拨号的方式。PPPoE 拨号出现以后，ADSL的接入设备——ADSL MODEM(ADSL调制解调器)就有一个新的兄弟产品，叫做ADSL ROUTER(ADSL路由器)。这种设备具有ADSL MODEM的最基本的桥接功能，所以个别产品也叫ADSL BRIDGE/ROUTER(ADSL桥接路由器)，俗称为“带路由的ADSL MODEM”。 ADSL ROUTER 具有自带的PPPoE拨号软件，并能提供DHCP服务，RIP-1路由等功能，因此它被移植了少量的路由器的功能。但是，并不是说PPPoE拨号就没有桥接，常见的这类组网有如：ADSL MODEM + PPPoE拨号软件(如EnterNet 300)。有个别地方的电信营运商仍主推一般的ADSL MODEM，这样就没有路由功能，实际上就是不鼓励用户“一线多机”。但是，现在的ADSL接入设备生产商竞争实在激烈，所以ADSL MODEM已基本停产，而转生产ADSL ROUTER，这就是现在所称的大多数的ADSL MODEM都“带路由”的原因，也就是ADSL 接入设备基本是ADSL ROUTER。由于组网方案的不同，ADSL ROUTER就有了桥接模式和路由模式的工作模式。若是有少量客户机的家庭用户或SOHO用户，就可以直接用PPPOE ROUTED——路由模式，由ADSL ROUTER来进行PPPoE拨号并进行路由。也可以用RFC 1483 BRIDGED，然后接入PC，在PC上运行PPPOE拨号软件进行拨号，或接入宽带路由器，由宽带路由器的内置PPPOE拨号工具进行拨号。若是在多用户环境，客户机的数量较多时，如：网吧、企业、社区，往往是ADSL ROUTER 加宽带路由器的组网形式，这时多数会让ADSL ROUTER工作在桥接模式下，由宽带路由器来进行拨号功能，并承担路由的工作，这是因为ADSL ROUTER的路由能力较低，在处理大数量客户机的路由请求时会出现性能下降或产生死机故障。所以说，桥接模式和路由模式其实是针对于ADSL ROUTER来说的。什么是桥接模式 ADSL ROUTER桥接模式有个正式专业的名称叫做RFC1483 桥接。RFC1483标准是为了实现在网络层上多协议数据包在ATM网络上封装传送而制定的，现已被广泛用于ATM技术中，成为在ATM网络上处理多协议数据包的封装标准。

路由器防火墙功能应用实例

路由器防火墙功能应用实例企业用户使用路由器共享上网，常常需要对内网计算机的上网权限进行限制，如限制某些计算机不能上网，限制某些计算机可以收发邮件但是不可以浏览网页，限制计算机不能访问某个站点，而一些计算机有高级权限，不受任何限制。路由器具有防火墙功能，功能可以灵活组合成一系列控制规则，形成完整的控制策略，有效管理员工上网，能方便您对局域网中的计算机进行进一步管理。“数据包过滤”功能可以控制局域网中计算机对互联网上某些网站的访问；“MAC地址过滤”是通过MAC地址过滤来控制局域网中计算机对Internet的访问；“域名过滤”可以限制局域网中的计算机对某些网站的访问。下面以TL-R490路由器为例，说明设置的方法。局域网内有8台计算机，计算机1（IP:192.168.1.2）不能上网，计算机2（IP:192.168.1.3）可以收发邮件但是不可以浏览网页，计算机3（IP:192.168.1.4）不能访问这个站点（219.134.132.61），计算机4（IP:192.168.1.5）不可以收发邮件但是可以浏览网页，其他计算机不受任何限制。以下是通过数据包过滤的方式对访问互联网的权限进行设置，因为对于其他的计算机是不做任何限制，所以把缺省过滤规则设置为允许通过；如果不允许其他计算机上网，那么应该把缺省过滤规则设为禁止通过(当然你的IP过滤条目的操作方法应该是允许通过的)：

上面的第一条条目的目的是让计算机都能够通过DNS服务器解释到某个域名的IP地址，这样电脑才能够正常连接，当然本例不添加也行，因为默认规则是允许通过。在缺省过滤规则是禁止通过的情形下这个条目是一定要添加上去。对于限制某些计算机不能上网的情况，除了上面介绍的“数据包过滤”设置外，还可以通过“MAC地址过滤”方式实现。端口服务对应表：FTP--21 ，HTTP（浏览网页）---80，SMTP（发送邮件）---25，POP（接收邮件）----110，DNS(域名服务)--------53。问：路由器配置指南答：对路由器进行基本配置，使电脑通过路由器实现共享上网，过程相对来说比较容易实现。这篇文档下面的内容，主要讲述如下几部分： 1，收集并判断信息，为配置路由器做准备； 2，进入路由器管理界面，对路由器进行配置； 3，配置过程简单的故障定位排除；

防火墙路由模式和NAT配置

应用场景：在网络的边界，如出口区域，在内网和外网之间增加防火墙设备，采用路由模式对局域网的整网进行保护。路由模式一般不单独使用，一般会有以下功能的配合，如在内外网之间配置灵活的安全策略，或者是进行NAT内网地址转换。功能原理：简介 ?路由模式指的是交换机和防火墙卡之间采用互为下一跳指路由的方式通信优点 ?能够支持三层网络设备的多种功能，NAT、动态路由、策略路由、VRRP等 ?能够通过VRRP多组的方式实现多张防火墙卡的冗余和负载分担缺点 ?不能转发IPv6和组播包 ?部署到已实施网络中需要重新改动原有地址和路由规划一、组网要求 1、在网络出口位置部署防火墙卡，插在核心交换机的3号槽位，通过防火墙卡区分内外网，外网接口有两个ISP出口； 2、在防火墙上做NAT配置，内网用户上外网使用私有地址段；二、组网拓扑三、配置要点要点1，配置防火墙 ?创建互联的三层接口，并指定IP地址

?配置动态路由或静态路由 ?创建作为NAT Outside的VLAN接口并指定IP ?配置NAT转换关系 ?配置NAT日志要点2，配置交换机 ?创建连接NAT Outside线路的VLAN并指定物理接口 ?创建互联到防火墙的三层接口 ?通过互联到防火墙的三层接口配置动态路由或静态路由四、配置步骤注意：步骤一、将交换机按照客户的业务需要配置完成，并将防火墙卡和交换机联通,并对防火墙卡进行初始化配置。 1）配置防火墙模块与PC的连通性：配置防火墙卡和交换机互联端口，可以用于防火墙的管理。 Firewall>enable ------>进入特权模式 Firewall#configure terminal ------>进入全局配置模式 Firewall(config)#interface vlan 4000 ------>进入vlan 4000接口 FW1(config-if-Vlan 4000)#ip address 10.0.0.1 255.255.255.252------>为vlan 4000接口上互联IP地址 Firewall(config-if)#exit ------>退回到全局配置模式 Firewall(config)#firewall default-policy-permit ------>10.3（4b5）系列版本的命令ip session acl-filter-default-permit ，10.3（4b6）命令变更为 firewall default-policy-permit 防火墙接口下没有应用ACL时或配置的ACL在最后没有Permit any则默认会丢弃所有包，配置以下命令可修改为默认转发所有包 2）防火墙配置路由模式，交换机与防火墙联通配置。交换机与防火墙卡是通过设备内部的两个万兆口互联，在插入防火墙模块后，交换机在FW所在槽位生成两个万兆端口，以下以防火墙卡接在核心交换机6槽。在交换机上配置将交换机与防火墙互联的接口进行聚合，并设置为trunk模式，设定允许VLAN。以6槽位的一个防火墙卡为例: Ruijie>enable ------>进入特权模式 Ruijie#configure terminal ------>进入全局配置模式 Ruijie(config)#vlan 4094 ------>配置一个冗余的VLAN Ruijie(config)#interface range tenGigabitEthernet 6/1,6/2 ------>配置交换机于防火墙互联的万兆6/1，6/2端口 Ruijie(config-if-range)#port-group 2 ------>配置互联端口为聚合口，

路由器里的防火墙有什么作用

防火墙已经成为企业网络建设中的一个关键组成部分。但有很多用户，认为网络中已经有了路由器，可以实现一些简单的包过滤功能，所以，为什么还要用防火墙呢?以下我们针对防火墙与业界应用最多、最具代表性的路由器在安全方面的对比，来阐述为什么用户网络中有了路由器还需要防火墙。一、两种设备产生和存在的背景不同 1、两种设备产生的根源不同路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网络的数据包进行有效的路由，至于为什么路由、是否应该路由、路由过后是否有问题等根本不关心，所关心的是:能否将不同的网段的数据包进行路由从而进行通讯。防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点，重点是这个(一系列)数据包是否应该通过、通过后是否会对网络造成危害。 2、根本目的不同路由器的根本目的是:保持网络和数据的“通”。防火墙根本的的目的是:保证任何非允许的数据包“不通”。二、核心技术的不同 Cisco路由器核心的ACL列表是基于简单的包过滤，从防火墙技术实现的角度来说，防火墙是基于状态包过滤的应用级信息流过滤。一个最为简单的应用:企业内网的一台主机，通过路由器对内网提供服务(假设提供服务的端口为tcp1455)。为了保证安全性，在路由器上需要配置成:外-〉内只允许client访问server 的tcp1455端口，其他拒绝。针对现在的配置，存在的安全脆弱性如下: 1、IP地址欺骗(使连接非正常复位) 2、TCP欺骗(会话重放和劫持) 存在上述隐患的原因是，路由器不能监测TCP的状态。如果在内网的client和路由器之间放上防火墙，由于防火墙能够检测TCP的状态，并且可以重新随机生成TCP的序列号，则

路由器与防火墙的区别

安全路由器与防火墙的区别目前市面上的路由器基本都带有简单的防火墙功能，不论是消费级还是企业级，可以实现一些诸如包过滤，IP过滤这样的功能。所以有些用户就开始质疑硬件防火墙的存在价值。那么我们就来详细的比较一下这两设备有什么差别。一、背景路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网段的数据包进行有效的路由管理，路由器所关心的是：能否将不同的网段的数据包进行路由从而进行通讯。防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点，重点是这个数据包是否应该通过、通过后是否会对网络造成危害。二、目的路由器的根本目的是：保持网络和数据的“通”。防火墙根本的的目的是：保证任何非允许的数据包“不通”。三、核心技术路由器核心的ACL列表是基于简单的包过滤，属于OSI第三层过滤。从防火墙技术实现的角度来说，防火墙是基于状态包过滤的应用级信息流过滤。内网的一台服务器，通过路由器对内网提供服务，假设提供服务的端口为TCP 80。为了保证安全性，在路由器上需要配置成：只允许客户端访问服务器的TCP 80端口，其他拒绝。这样的设置存在的安全漏洞如下： 1、IP地址欺骗（使连接非正常复位） 2、TCP欺骗（会话重放和劫持）存在上述隐患的原因是，路由器不能监测TCP的状态。如果在内网的客户端和路由器之间放上防火墙，由于防火墙能够检测TCP的状态，并且可以重新随机生成TCP 的序列号，则可以彻底消除这样的漏洞。同时，有些防火墙带有一次性口令认证客户端功能，能够实现在对应用完全透明的情况下，实现对用户的访问控制，其认证支持标准

华为路由器防火墙配置命令详细解释

一、access-list 用于创建访问规则。（1）创建标准访问列表 access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] （2）创建扩展访问列表 access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ] （3）删除访问列表 no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】 normal 指定规则加入普通时间段。 special 指定规则加入特殊时间段。

listnumber1 是1到99之间的一个数值，表示规则是标准访问列表规则。 listnumber2 是100到199之间的一个数值，表示规则是扩展访问列表规则。 permit 表明允许满足条件的报文通过。 deny 表明禁止满足条件的报文通过。 protocol 为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念；为IP时有特殊含义，代表所有的IP协议。 source-addr 为源地址。 source-mask 为源地址通配位，在标准访问列表中是可选项，不输入则代表通配位为0.0.0.0。 dest-addr 为目的地址。 dest-mask 为目的地址通配位。 operator[可选] 端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较

Cisco路由器与防火墙配置大全

Cisco 2811 路由器配置大全命令状态 1. router> 路由器处于用户命令状态，这时用户可以看路由器的连接状态，访问其它网络和主机，但不能看到和更改路由器的设置内容。 2. router# 在router>提示符下键入enable,路由器进入特权命令状态router#，这时不但可以执行所有的用户命令，还可以看到和更改路由器的设置内容。 3. router(config)# 在router#提示符下键入configure terminal,出现提示符router(config)#，此时路由器处于全局设置状态，这时可以设置路由器的全局参数。 4. router(config-if)#; router(config-line)#; router(config-router)#;… 路由器处于局部设置状态，这时可以设置路由器某个局部的参数。 5. > 路由器处于RXBOOT状态，在开机后60秒内按ctrl-break可进入此状态，这时路由器不能完成正常的功能，只能进行软件升级和手工引导。 6. 设置对话状态这是一台新路由器开机时自动进入的状态，在特权命令状态使用SETUP命令也可进入此状态，这时可通过对话方式对路由器进行设置。三、设置对话过程 1. 显示提示信息

2. 全局参数的设置 3. 接口参数的设置 4. 显示结果利用设置对话过程可以避免手工输入命令的烦琐，但它还不能完全代替手工设置，一些特殊的设置还必须通过手工输入的方式完成。进入设置对话过程后，路由器首先会显示一些提示信息： --- System Configuration Dialog --- At any point you may enter a question mark '?' for help. Use ctrl-c to abort configuration dialog at any prompt. Default settings are in square brackets '[]'. 这是告诉你在设置对话过程中的任何地方都可以键入“？”得到系统的帮助，按ctrl-c可以退出设置过程，缺省设置将显示在‘[]’中。然后路由器会问是否进入设置对话： Would you like to enter the initial configuration dialog? [yes]: 如果按y或回车，路由器就会进入设置对话过程。首先你可以看到各端口当前的状况： First, would you like to see the current interface summary? [yes]: Any interface listed with OK? value "NO" does not have a valid configuration Interface IP-Address OK? Method Status Protocol Ethernet0 unassigned NO unset up up Serial0 unassigned NO unset up up …………………………… 然后，路由器就开始全局参数的设置： Configuring global parameters:

防火墙的源路由和目的路由

一：服务器通过公网出口上网：在源路由中设置源地址为服务器ip，目的地址为0.0.0.0，下一跳为公网网关，再添加相应策略，即可实现服务器的上网方式。公网通过IP加端口访问服务器需要设置防火墙的端口映射，将同一IP的不同端口VIP到不同的服务器上，即实现你要求的第二个功能。二：防火墙接入公网和专网，IP分别是218.72.230.138和10.188.80.2。要实现局域网电脑走专网出口上网，服务器走公网出口上网，且要在公网上能通过IP 加端口访问到局域网内对应服务器。现防火墙配置如下： Eth1 ：172.50.78.1/ 255.255.255.0 局域网IP Eth3 ：218.72.230.138/ 255.255.255.252 公网IP Eth4 ：10.188.80.2/ 255.255.255.252 专网IP 端口影射 WEB服务器：80端口影射到内网172.50.78.252 FTP服务器：21端口影射到内网172.50.78.253 OA服务器：8080端口影射到内网172.50.78.254 静态路由：源地址：0.0.0.0 / 0.0.0.0. 目标地址：0.0.0.0 / 0.0.0.0 下一跳地址：10.188.80.2 接口ETH4 这条路由实现了所有网内电脑从专网出口上网。而172.50.78.252 253 254 这三个服务器，要通过公网出口上网，而且要能能过端口加IP访问到服务器上，策略路由要怎么写呢？求教！找了些资料，弄清了策略路由和静态路由的区别，现问题自己已经解决。不过还是要谢谢大家的解答。写了三条策略路由，源地址：172.50.78.252/ 255.255.255.255 目标地址：0.0.0.0 / 0.0.0.0 下一跳地址：218.72.230.138 接口ETH3

华为交换机路由器及防火墙技术参数要求

设备详细技术参数要求 1. 核心交换机设备技术要求功能大类技术要求及指标整机背板容量≥2.4Tbps *交换容量≥1.44Tbps *包转发率≥860Mpps 业务槽位≥6 支持独立双主控整机万兆端口密度>=72个（除了用于堆叠的万兆接口）支持全分布式转发支持无源背板支持风扇冗余，支持风扇模块分区管理，支持风扇自动调速提供整机高度数据电源要求支持分区供电，颗粒化电源，支持N+N电源冗余（AC和DC均支持）模块要求支持标准SFP, XFP, SFP+模块（支持标准SFP, XFP）万兆单板端口密度≥12 千兆单板光接口密度>=48 堆叠支持主控板堆叠，实配硬件用于堆叠，不占用业务槽位堆叠带宽>=256G 单板要求要求所有配置单板能进行IPV4，IPV6，MPLS VPN线速转发二层功能支持整机MAC地址>128K；支持静态MAC；支持DHCP Client, DHCP Server，DHCP Relay；支持Option 82；支持4K VLAN 支持1：1，N：1 VLAN mapping 支持端口VLAN，协议VLAN，IP子网VLAN；支持Super VLAN; 支持Voice VLAN;

支持IEEE 802.1d(STP)、 802.w(RSTP)、 802.1s(MSTP) 支持VLAN内端口隔离支持端口聚合，支持1:1, N:1端口镜像；支持流镜像；支持远程端口镜像（RSPAN）；支持ERSPAN, 通过GRE隧道实现跨域远程镜像；支持VCT，端口环路检测路由特性路由表≥128K 支持静态路由 ARP≥16K 支持RIP V1、V2, OSPF, IS-IS，BGP 支持IP FRR 支持路由协议多实例支持GR for OSPF/IS-IS/BGP 支持策略路由 *所有实际配置板卡支持MPLS分布式处理，全线速转发支持MPLS TE 支持L3 VPN QoS ACL≥32K 支持SP, WRR,DWRR,SP+WRR, SP+DWRR调度方式；支持双向CAR；提供广播风暴抑制功能；支持WRED；安全性支持DHCP Snooping trust, 防止私设DHCP服务器；支持DHCP snooping binding table (DAI, IP source guard), 防止ARP攻击、DDOS攻击、中间人攻击；支持BPDU guard， Root guard。支持802.1X.