不屬於路由策略過濾器

㈠ 過濾路由器與普通路由器的區別

普通路由器只是簡單地查看每一個數據包的目標地址，並且選取數據包發往目標地址的最佳路徑。過濾路由器，它將更嚴格地檢查數據包，除普通路由器的功能外，還決定數據包是否應該發送。「應該」或「不應該」由站點的安全策略決定，並由過濾路由器強制設置。
資料參考：http://www.bjeeic.org/pxzx/bbs/read.php?tid=5540

㈡ 怎麼使用Cisco路由器進行網頁內容過濾

如今，過濾網路內容已經不僅僅是企業的可選操作，而是已經成為了法律必須的以及企業為了防止員工犯錯所必須採取的行動。在本文中，作者David Davis將向大家解說Cisco IOS 路由器如何通過第三方服務實現Web內容過濾。
為了保護企業網路以及終端用戶免受惡意或不良網頁內容的入侵，我們可以使用基於訂閱的思科IOS內容過濾。這是思科首次將第三方公司如 SmartFilter (之前的N2H2公司)和Websense 提供的服務納入IOS 12.2(15)T。今年，在IOS12.4 (15) XZ和12.4(20)T中，思科IOS又加入了Trend Micro(趨勢)公司的URL過濾服務。
如果想使用上述功能，應該首先確保我們的路由器IOS支持該特性。通過Cisco IOS Feature Navigator，我們可以驗證所使用的軟體映像是否支持該特性。
當然，除了適當的IOS映像之外，我們必須在這些第三方公司進行服務注冊，這樣才能獲取他們的URL過濾服務。根據趨勢科技的向導，我們可以注冊路由器以獲取Trend Router Provisioning Server( TRPS ) 。更多的信息可以參閱Prerequisites for Cisco Subscription-based IOS Content Filtering。
作為網路管理員，我們肯定不想把大量時間用於關注用戶瀏覽的網路內容上。而互聯網過濾服務就是針對這種情況提供的方便功能。以前當我部署網頁過濾服務的時候，我總是喜歡對提出抱怨的用戶說： 「這是Web過濾服務，說你的某某網站是不允許訪問的。 」
通過部署URL過濾，我們可以利用第三方公司的服務從終端用戶過濾掉惡意或不恰當的互聯網流量。除了可以簡單的開啟或關閉過濾功能外，我們也可以為特定的網站和用戶開放這些內容或者站點。
終端用戶的URL請求與Trend Router Provisioning Server( TRPS )關聯 ，根據我們預先設定的策略允許或拒絕用戶的訪問。當用戶鍵入一個網址，服務會進行策略執行查詢。如果策略允許，那麼用戶可以繼續向訪問該網站，如果策略禁止，那麼用戶就被阻止訪問這個URL地址。
Cisco 過濾選項
白名單：(信任域名單) 設定特定的域名，允許通過路由器，比如設定www.techrepublic.com
黑名單：(非受信域名單) 設定特定的域名，無法通過路由器。設置信息會在路由器上進行緩存，以便後期檢查。比如www.badsite.com
阻止關鍵字： 設置用於過濾的 URL字元串或關鍵字，比如 *www.parrot.* 或者 *rockbaby* 。這樣的話，一旦URL中出現「rockbaby,」 ，路由器將阻止訪問而不需要經過TRPS伺服器。
緩存最近的請求： 此功能可以保存最近訪問請求的處理策略。因此對於之後用戶每一次請求就沒有必要再讓他們通過TRPS進程。
分組緩沖：此功能可讓你在等待查詢過程完成的過程中存儲網址信息。這是一個強大的功能，可以防止HTTP請求量過大導致路由器超負荷。默認的響應數是200，不過可以進行修改。此功能同樣也適用於第三方過濾器伺服器Websense和SmartFilter 。
如何配置用Cisco路由器進行網頁內容過濾?
要配置 Cisco IOS URL過濾，我們需要深刻了解防火牆規則以及URL過濾原理。當我們在趨勢科技的過濾系統進行注冊後，在Cisco IOS里對Trend Micro URL 過濾服務的設置可以遵循以下步驟：
為本地URL過濾配置 Class Maps
為Trend Micro URL過濾配置 Class Maps
為Trend Micro URL過濾配置 Parameter Maps
配置 URL過濾策略
附加URL過濾策略
有關配置第三方URL過濾所需的 IOS命令以及配置範例，可以參閱Cisco』s Subscription-based IOS Content Filtering 網頁。

㈢ 區域網網線太長，中間加了個tplink路由器當做交換機但是不能用，求解。

路由下接交換機倒是用過，交換機下接路由還真沒使過00

我給你提個辦法你看你那邊可以用不，因為網線最遠傳輸距離基本100M左右，所以兩個交換機是必須的。

16交換機-各PC

匯流排-無線路由<

8交換機-各PC

最遠的走線我盡量不超過100m。

㈣ 雙網路由器，內外網策略選路後MAC過濾無效，求解

1. 固定IP內網為什麼要搞在WAN口上，應該在LAN口上才對。

2. mac過濾對內網肯定沒有影響的，你換成ip地址過濾試試看。

3. 上網管控最好還是用專業設備（比如：WSG網關之類的專業網關），路由器的上網行為管理功能都比較弱的。
   

㈤ 華為路由器裡面的5種過濾器詳解 跪求啊！！！

這些都是不同命令行里的參數。
prefix-list：IP前綴列表。
# 定義if-match子句，設置匹配相關的IPv6路由信息。
<HUAWEI> system-view
[HUAWEI] route-policy policy permit node 10
[HUAWEI-route-policy] if-match ipv6 address prefix-list p1
[HUAWEI-route-policy] if-match ipv6 next-hop prefix-list p1
[HUAWEI-route-policy] if-match ipv6 route-source prefix-list p1

as-path-filter xxx：指定匹配的AS路徑過濾器號。
# 創建序號為2的AS路徑過濾器，允許AS路徑中包含20的路由通過。
<HUAWEI> system-view[HUAWEI] ip as-path-filter 2 permit [ 20 ]
# 查看AS路徑屬性中包含65420的所有BGP VPNv6路由信息。
<HUAWEI> system-view
[HUAWEI] ip as-path-filter 1 permit 65420*
[HUAWEI] display bgp vpnv6 all routing-table as-path-filter 1

community-filter：用來顯示匹配指定的BGP團體屬性過濾器的路由信息。
# 查看本端指定團體列表的所有BGP VPNv6路由信息。
<HUAWEI> system-view
[HUAWEI] ip community-filter 1 permit internet
[HUAWEI] display bgp vpnv6 all routing-table community-filter 1 whole-match

route-policy xxx：指定路由策略名稱
顯示名為policy1的Route-Policy信息。
<HUAWEI> display route-policy policy1

㈥ TP雙網路由設置策略選路是否會與MAC地址過濾沖突

首先你的概念有很多錯誤的地方，我不想一一打字了。

你的描述中：WAN1是外網IP：192.168.1.1，這里我理解的是：192.168.1.1是你的網關地址，就是說最終WAN1的區域網設備出外網的介面IP地址是192.168.1.1。是不是這樣？注意，都是內網IP，不是外網IP哦。
你的描述中：WAN2是內部網IP：10.16.14.1，就是說最終WAN2的區域網設備出外網的介面IP地址是10.16.14.1，我理解的意思是你有2個內網網段,一個是192.168.1.0，一個是10.16.14.0 ，是不是這樣？但是你有幾個寬頻地址?1個還是2個？是固定還是撥號？內網拓撲結構是怎樣？有沒有三層交換機？沒有描述，如能告知可以做具體判斷。
你的描述中：但過濾MAC地址的電腦內外都不能上了，不過濾就沒問題，這個不理解，最好是截圖，看看你所說的過濾是什麼樣的設置，我猜測了一下，出現這個情況，是不是你做了隔離閑置，導致2個網段不能互通？因為你說內網也不通了。
其實網路越簡單越易用，看到回復請補充，希望能幫到你。謝謝！

㈦ 求路由策略與策略路由有什麼區別B

策略路由是一種依據用戶制定的策略進行路由選擇的機制，與單純依照IP報文的目的地址查找路由表進行轉發不同，可應用於安全、負載分擔等目的。

策略路由支持基於acl包過濾、地址長度等信息，靈活地指定路由。而acl報文過濾則可以根據報文的源ip、目的ip、協議、埠號、優先順序、tos、時間段、vpn等各種豐富的信息將報文分類，然後控制將這些報文按照不同的路由轉發出去。

策略路由既可以應用於被轉發的報文，又可以應用於路由器本地產生的報文。前者稱為介面策略路由，後者稱為本地策略路由。
介面策略路由只對轉發的報文起作用，對本地產生的報文（比如本地的ping報文）不起作用。而本地策略路由只對本地產生的報文起作用，對轉發的報文不起作用。
介面策略路由配置在介面視圖下。
本地產生的報文的策略路由配置在系統視圖下。
注意：組播策略路由只支持轉發的報文，不對路由器本機產生的報文進行策略路由。 路由策略的作用
過濾路由信息的手段
發布路由信息時只發送部分信息
接收路由信息時只接收部分信息
進行路由引入時引入滿足特定條件的信息支持等值路由
設置路由協議引入的路由屬性

路由策略（routing policy）
設定匹配條件，屬性匹配後進行設置，由if-match和apply字句組成
訪問列表（access-list）
用於匹配路由信息的目的網段地址或下一跳地址，過濾不符合條件的路由信息
前綴列表（prefix-list）
匹配對象為路由信息的目的地址或直接作用於路由器對象（gateway）
自治系統路徑信息訪問列表（aspath-list）
僅用於BGP協議，匹配BGP路由信息的自治系統路徑域
團體屬性列表（community-list）
僅用於BGP協議，匹配BGP路由信息的自治系統團體域

策略路由與路由策略是兩個不同的概念，應用領域不同。
策略路由主要是控制報文的轉發，即可以不按照路由表進行報文的轉發（因為一般報文的轉發要通過查找轉發表，而配上策略路由後就不用管轉發表了，可以隨心所欲將報文從轉發出去了）。
路由策略主要控制路由信息的引入（控制哪些路由信息引到路由協議中，哪些路由不引入，主要是針對某種路由協議，是否允許其它路由信息引進來）、發布（控制哪些發布出去，哪些不發布出去，通過同一種路由協議發布出去）、接收（控制哪些接收，哪些丟棄）。路由策略：是用路由來進行某些路由策略設置。
策略路由：是設置針對路由的策略，主要通過其他軟體對路由的限制。
兩者的區別就在於誰是主導，路由策略是以路由為主來創建的策略，而策略路由是通過軟體對路由的設置。 路由策略：影響路由表的生成
策略路由：影響包的轉發，優先順序高於路由表
意思是：一個包要轉發，先匹配策略路由轉發，其次匹配路由表轉發route map和ACL很類似,它可以用於路由的再發布和策略路由,還經常使用在BGP中.策略路由(policy route)實際上是復雜的靜態路由,靜態路由是基於數據包的目標地址並轉發到指定的下一跳路由器,策略路由還利用和擴展IP ACL鏈接,這樣就可以提供更多功能的過濾和分類

route map的一些命令:

一 路由重發布相關

match命令可以和路由的再發布結合使用:

1.match interface {type number} […type number]:匹配指定的下一跳路由器的介面的路由

2.match ip address {ACL number|name} […ACL number|name]:匹配ACL所指定的目標IP地址的路由

3.match ip next-hop {ACL number|name} […ACL number|name]:匹配ACL所指定的下一跳路由器地址的路由

4.match ip route-source {ACL number|name} […ACL number|name]:匹配ACL所指定的路由器所宣告的路由

5.match metric {metric-value}:匹配指定metric大小的路由

6.match route-type {internal|external[type-1|type-2]|level-1|level-2}:匹配指定的OSPF,EIGRP或IS-IS的路由類型的路由

7.match tag {tag-value} […tag-value]:匹配帶有標簽(tag)的路由

set命令也可以和路由的再發布一起使用:

1.set level {level-1|level-2|level-1-2|stub-area|backbone}:設置IS-IS的Level,或OSPF的區域,匹配成功的路由將被再發布到該區域

2.set metric {metric-value|bandwidth delay RELY load MTU}:為匹配成功的路由設置metric大小

3.set metric-type {internal|external|type-1|type-2}:為匹配成功的路由設置metric的類型,該路由將被再發布到OSPF或IS-IS 1

4.set next-hop {next-hop}:為匹配成功的路由指定下一跳地址

5.set tag {tag-value}:為匹配成功的路由設置標簽

二 策略路由相關

match命令還可以和策略路由一起使用:

1.match ip address {ACL number|name} […ACL number|name]:匹配ACL所指定的數據包的特徵的路由

2.match length {min} {max}:匹配層3的數據包的長度

set命令也可以和策略路由一起使用:

1.set default interface {type number} […type number]:當不存在指向目標網路的顯式路由(explicit route)的時候,為匹配成功的數據包設置出口介面

2.set interface {type number} […type number]:當存在指向目標網路的顯式路由的時候,為匹配成功的數據包設置出口介面

3.set ip default next-hop {ip-address} […ip-address]:當不存在指向目標網路的顯式路由的時候,為匹配成功的數據包設置下一跳路由器地址

4.set ip precedence {precedence}:為匹配成功的IP數據包設置服務類型(Type of Service,ToS)的優先順序

5.set ip tos {tos}:為匹配成功的數據包設置服務類型的欄位的TOS位

Configuring Route Maps

route map是通過名字來標識的,每個route map都包含許可或拒絕操作以及一個序列號,序列號在沒有給出的情況下默認是10,並且route map允許有多個陳述,如下:

Linus(config)#route-map Hagar 20

Linus(config-route-map)#match ip address 111

Linus(config-route-map)#set metric 50

Linus(config-route-map)#route-map Hagar 15

Linus(config-route-map)#match ip address 112

Linus(config-route-map)#set metric 80

盡管先輸入的是20,後輸入的是15,IOS將把15放在20之前.

還可以允許刪除個別陳述,

如下: Linus(config)#no route-map Hagar 15 在刪除的時候要特別小心,假如你輸入了no route-map Hegar而沒有指定序列號,那麼整個route map將被刪除.並且如果在添加match和set語句的時候沒有指定序列號的話,那麼它們僅僅會修改陳述10.在匹配的時候,從上到下,如果匹配成功,將不再和後面的陳述進行匹配,指定操作將被執行

關於拒絕操作,是依賴於route map是使用再路由的再發布中還是策略路由中,

如果是在策略路由中匹配失敗(拒絕),那麼數據包將按正常方式轉發;

如果是用於路由再發布,並且匹配失敗(拒絕),那麼路由將不會被再發布 如果數據包沒有找到任何匹配,和ACL一樣,route map末尾也有個默認的隱含拒絕所有的操作,如果是在策略路由中匹配失敗(拒絕),那麼數據包將按正常方式轉發;如果是用於路由再發布,並且匹配失敗(拒絕),那麼路由將不會被再發布 如果route map的陳述中沒有match語句,那麼默認的操作是匹配所有的數據包和路由;

每個route map的陳述可能有多個match和set語句,如下:

! route-map Garfield permit 10

match ip route-source 15

match interface Serial0

set metric-type type-1

set next-hop 10.1.2.3 !

在這里,為了執行set語句,每個match語句中都必須進行匹配 .

基於策略的路由

基於策略的路由技術概述：

基於策略的路由為網路管理者提供了比傳統路由協議對報文的轉發和存儲更強的控制能力，傳統上，路由器用從路由協議派生出來的路由表，根據目的地址進行報文的轉發。

基於策略的路由比傳統路由強，使用更靈活，它使網路管理者不能夠根據目的地址而且能夠根據，報文大小，應用或IP源地址來選擇轉發路徑。策略可以定義為通過多路由器的負載平衡或根據總流量在各線上進行轉發的服務質量（QOS）。策略路由使網路管理者能根據它提供的機定一個報文採取的具體路徑。而在當今高性能的網路中，這種選擇的自由性是很需要的。

策略路由提供了這樣一種機制：根據網路管理者制定的標准來進行報文的轉發。策略路由用MATCH和SET語句實現路徑的選擇。

策略路由是設置在接收報文介面而不是發送介面。

基於源地址的策略路由

配置概述：

路由器A將192.1.1.1來的所有數據從介面S0發出，而將從192.1.1.2來的所有數據從介面S1發出。

路由器A定義幾個二級介面作為測試點。路由器A和B配置RIP.在A的ETHERNET介面上應用IP策略路由圖LAB1,為從192.168.1.1來的數據設置下一跳介面為S0，為從192..1.1.2來的數位設置下一跳介面為S1，所有其他的報文將用基於目的地址的路由。

路由器配置：

ROUTE A:

Version 11.2

No service udp-small-servers

No service tcp-small-servers

Hostname routerA

Interface ethernet0

Ip address 192.1.1.1 255.255.255.0 secondary

Ip address 192.1.1.2 255.255.255.0 secondary

Ip address 192.1.1.3 255.255.255.0 secondary

Ip address 192.1.1.10 255.255.255.0

Ip policy route-map lab1

//策略路由應用於E0口

interface serial0

ip addr 150.1.1.1 255.255.255.0

interface serial1

ip addr 151.1.1.1 255.255.255.0

router rip

network 192.1.1.0

network 150.1.0.0

network 151.1.0.0

ip local policy route-map lab1

//使路由器策略路由本地產生報文

no ip classless

access-list 1 permit 192.1.1.1

access-list 2 permit 192.1.1.2

route-map lab1 permit 10

//定義策略路由圖名稱：LAB1，10為序號，用來標明被匹配的路由順序。

Match ip address 1

//匹配地址為訪問列表1

Set interface serial0

//匹配下一跳為S0

Route-map lab1 permit 20

Match ip address 2

Set interface serial1

Line con0

Line aux0

Line vty 0 4

Login

End

路由器B為標准配置略。

相關調試命令：

show ip policy

show router-map

debug ip policy
注:PBR以前是CISCO用來丟棄報文的一個主要手段。比如：設置set interface null 0，按CISCO說法這樣會比ACL的deny要節省一些開銷。這里我提醒：

interface null 0
no ip unreachable//加入這個命令
這樣避免因為丟棄大量的報文而導致很多ICMP的不可達消息返回。
三層設備在轉發數據包時一般都基於數據包的目的地址（目的網路進行轉發），那麼策略路由有什麼特點呢？
1、可以不僅僅依據目的地址轉發數據包，它可以基於源地址、數據應用、數據包長度等。這樣轉發數據包更靈活。
2、為QoS服務。使用route-map及策略路由可以根據數據包的特徵修改其相關QoS項，進行為QoS服務。
3、負載平衡。使用策略路由可以設置數據包的行為，比如下一跳、下一介面等，這樣在存在多條鏈路的情況下，可以根據數據包的應用不同而使用不同的鏈路，進而提供高效的負載平衡能力。
策 略路由影響的只是本地的行為，所以可能會引起「不對稱路由」形式的流量。比如一個單位有兩條上行鏈路A與B，該單位想把所有HTTP流量分擔到A 鏈路，FTP流量分擔到B鏈路，這是沒有問題的，但在其上行設備上，無法保證下行的HTTP流量分擔到A鏈路，FTP流量分擔到B鏈路。
策略路由一般針對的是介面入(in)方向的數據包，但也可在啟用相關配置的情況下對本地所發出的數據包也進行策略路由。
本文就策略路由的以下四個方面做相關講解：
1、啟用策略路由
2、啟用Fast-Switched PBR
3、啟用Local PBR
4、啟用CEF-Switched PBR
啟用策略路由：
開始配置route-map。使用route-map map-tag [permit | deny] [sequence-number]進入route-map的配置模式。
使 用match語句定義感興趣的流量，如果不定義則指全部流量。match length min maxand/ormatch ip address {access-list-number | name}[...access-list-number | name]
使用set命令設置數據包行為。
set ip precedence [number | name]
set ip next-hop ip-address [... ip-address]
set interface interface-type interface-number [... type number]
set ip default next-hop ip-address [... ip-address]
set default interface interface-type interface-number [... type ...number]
這 里要注意set ip next-hop與set ip default next-hop、set interface與set default interface這兩對語句的區別，不含default的語句，是不查詢路由表就轉發數據包到下一跳IP或介面，而含有default的語句是先查詢路 由表，在找不到精確匹配的路由條目時，才轉發數據包到default語句指定的下一跳IP或介面。
進入想應用策略路由的介面。interface xxx
應用所定義的策略。注意必須在定義好相關的route-map後才能在介面上使用該route-map,在介面啟用route-map策略的命令為：
ip policy route-map map-tag
啟用Fast-Switched PBR
在Cisco IOS Release 12.0之前，策略路由只能通過「進程轉發」來轉發數據包，這樣數據包的轉發效率是非常低的，在不同的平台上，基本在每秒1000到10,000個數據 包。隨著緩存轉發技術的出現，Cisco實現了Fast-Switched PBR，大大提升了數據包的轉發速度。啟用方法即在介面中使用ip route-cache policy命令。
注意：Fast-switched PBR支持所有的match語句及大多數的set語句，但其有下面的兩個限制：
不支持set ip default next-hop 與 set default interface命令。
如 果在route-cache中不存在set中指定的介面相關的項，那麼僅在point-to-point時set interface命令才能夠Fast-switched PBR。而且，在進行「進程轉發」時，系統還會先查詢路由條目查看該interface是不是一個合理的路徑。而在fast switching時，系統不會對此進行檢查。
啟用Local PBR
默認情況下，路由器自身所產生的數據包不會被策略路由，如果想對路由器自身產生的數據包也進行策略路由，那麼需要在全局模式下使用如下命令來啟用：
ip local policy route-map map-tag

啟用CEF-Switched PBR
在支持CEF的平台上，系統可以使用CEF-Switched PBR來提高PBR的轉發速度，其轉發速度比Fast-Switched PBR更快！只要你在啟用PBR的路由器上啟用了CEF，那麼CEF-Switched PBR會自動啟用。
註：ip route-cache policy僅僅適用於Fast-Switched PBR，在CEF-Switched PBR中並不需要，如果你在啟用了CEF的路由器上使用PBR時，這個命令沒有任何作用，系統會忽略此命令的存在。
PBR配置案例：
案例1：
路由器通過兩條不同的鏈路連接至兩ISP，對於從async 1介面進入的流量，在沒有「精確路由」匹配的情況下，把源地址為1.1.1.1的數據包使用策略路由轉發至6.6.6.6, 源地址為2.2.2.2的數據包轉發至7.7.7.7，其它數據全部丟棄。
配置如下：
access-list 1 permit ip 1.1.1.1
access-list 2 permit ip 2.2.2.2
!
interface async 1
ip policy route-map equal-access
!
route-map equal-access permit 10
match ip address 1
set ip default next-hop 6.6.6.6
route-map equal-access permit 20
match ip address 2
set ip default next-hop 7.7.7.7
route-map equal-access permit 30
set default interface null0
案例2
在 路由器針對不同流量，修改其precedence bit，並設置下一跳地址。對於1.1.1.1產生的流量，設置precedence bit為priority，並設置其下一跳轉發地址為3.3.3.3；對於2.2.2.2產生的流量，設置precedence bit為critical，並設置其下一跳轉發地址為3.3.3.5。
配置如下：
access-list 1 permit ip 1.1.1.1
access-list 2 permit ip 2.2.2.2
!
interface ethernet 1
ip policy route-map Texas
!
route-map Texas permit 10
match ip address 1
set ip precedence priority
set ip next-hop 3.3.3.3
!
route-map Texas permit 20
match ip address 2
set ip precedence critical
set ip next-hop 3.3.3.5

㈧ 在華為路由器中可以針對設備配置cpu防攻擊策略以下哪種不屬於防cpu攻擊的方式

這個路由器可以針對具體的CPU進行相應的防策略工具設施，在處理的時候主要就是需要在路由器的系統參數當中添加這種過濾的方式。

㈨ 華為路由器的路由過濾問題

不太懂，從網上搜了一段看看有沒有幫助。

OSPF協議測試分析
l OSPF等cost雙鏈路情況下，不論是到單一不還是隨機目的地址的數據流，均無法實現
負載均衡。

l 不支持對virtual-link進行OSPF的MD5認證。

l 在3680平台作rip向OSPF再發布，當對由rip進入的多條路由粘貼不同tag標記時，368
0無法將大於一個以上的tag向外advertise。

l OSPF無法使用filter-policy(類似distribute-list)對進入路由作過濾。OSPF下，fi
lter-policy 僅能控制全局入方向路由，即無法對指定(介面)neighbour作in方向發布控
制。

l Ospf下，幾乎所有策略只能在import點作(router-policy無法在OSPF下使用)，路由器
無法對其它路由器發布的out方向的路由實施策略。

l Ospf下，在im點為不同路由添加的tag，無法傳遞到遠端，嚴重問題。

l 在對同一名字route-policy定義了多個seq時，雖然命令提示可以，但實際上不能單獨
刪除指定seq下的策略，即只能一次刪除全部，嚴重問題。

BGP協議測試分析

l 改變Cisco端BGP AS number 時，QuidwayR3680對應埠通信中斷，而埠顯示信息正
常，嚴重問題。

l 改變2630 BGP AS number時，26隨機死機。

l 在對同一名字route-policy定義了多個seq時，雖然命令提示可以，但實際上不能單獨
刪除指定seq下的策略，即只能一次刪除全部，嚴重問題。

l EBGP在作AS number prepend時，嚴重不正常。如：單一名稱多seq 的route-policy被
應用時，若作as number prepending的seq不在第一項，則無法prepending(在遠端路由
器看不到被prepending 的as number，如果作as number prepending的seq在第一項，則
所有應該用該route-policy import 入BGP的路由，都會被prepend同樣的AS numbers。

l 3680平台，用origin-policy、route-policy對aggregate route 作origin修改，不生
效。
l 3680，bgp，OSPF等動態協議相關統計信息太簡單，甚至無neighbour uptime、last
update time之類基本統計信息，維護、排錯極不便。

l 3680與2630作IBGP時，2630開啟synchronization時，2630所顯示的BGP表中，來自36
80的路由next hop顯示為null，且無法向另一遠端EBGP發布3680的路由，即不向外AS發
布。

l 在無數據流量，起單一BGP進程的情況下，QuidwayR2630 cpu達到27%左右，不正常。

l 3680平台，用suppress-policy、route-policy對aggregate route 作單個major net
單元的supress，結果顯示，所有參與aggregation的major net均被suppress。

l 3680平台，BGP(E or I)環境下，無法使用update-source 命令。在兩bgp neighbour
存在冗餘物理鏈路時，BGP connection將只能在單一鏈路上建立，該鏈路中斷則BGPcon
nection中斷，無法起到冗餘的作用。

l AS100內運行OSPF area 1，在各路由器interface loopback 1 1.0.0.x可互通的情況
下，quidway路由器無法通過對端路由器的1.0.0.x進行IBGP連接。
l AS100內運行OSPF area 1，在各路由器全部自物理介面可互通的情況下，作五個路由
器全IBGP連接時，quidway路由器無法與部分非直接路由器(one of the opposites)的物
理介面進行IBGP連接。

l 在定義多個peer group後，3680會把對其中一個peer group制定的attribute如next-
hop-local(類似cisco的next-hope-self)，origin，as prepending等向其它未制定att
riute的peer group傳遞，嚴重問題。。

l ACL、route-policy協作問題。
當acl後加deny any 項時，且route-policy啟用時，所有外出路由將在本地路由器的ou
t方向被filte掉，嚴重不正常。
l Router-reflector工作不正常。在分別用3680、2630b作router-reflector時，各自所
下連client學不到其它client的路由。如72學不到2630b的路由，3680學不到2630a的路
由等，嚴重問題。若去掉兩client對應埠IGP配置，則可以reflect，工作不正常。

l 測試bgp confederation 時，發現如下情況：
1. 每個路由器分別不能看到兩個非直接路由器之一的loop段。如3680上看不到26a的in
terface loopback 1 的ip address所屬網段。此時該loopback1介面開啟OSPF。
2. 在26a loopback1介面關啟ospf時，3680可以學到該loopback1所屬網段，但同時，兩
Cisco路由器之間bgp connection不能建立。

l 無BGP backdoor功能。

vrrp運行分析
l 0105版本下，在3680E、3640平台上對E口作vrrp，下連PC及路由器本身無法ping通浮
動地址。即vrrp工作不正常。
l 升級後至0108版本後，3680VRRP virtual ip可以被VRRPgroup所在segment 的Pcping
通，virtual MAC地址顯示正常，符合RFC3678 00-00-5e-00-01-vrid定義，但在路由器
上ping不能，且顯示mac空，經查驗RFC3768，此行為該標准並未作過多說明，但實際運
行中，這一點將給監控、排錯造成諸多不便。
l Display命令對VRRP的顯示將顯示所有VRRP組信息，無法顯示單個組，且統計信息過於
簡單。
l
NAT運行分析
l 華為路由器3680在作NAT時，fe-inside，serial-outside，以proxyhunter發包，當流
量增至200k/bps時，華為路由器CPU增至100%利用率，極不正常。
l 部分語法提示有問題，如nat server global等。
l 在3640平台上無法用nat server 語句實現global outside--àlocal inside 的stat
ic nat。
低端接入交換機試用結果
l 華為quidwayS3026同時在access int、trunk int運行同等優先順序STP，當access int
位於小埠(priority 較優先)時，stp演算法將block trunk int，造成trunk線路中斷。

l quidwayS3026交換機不自動開啟STP，默認情況下冗餘TOPO將引起流量風暴。