不属于路由策略过滤器

㈠ 过滤路由器与普通路由器的区别

普通路由器只是简单地查看每一个数据包的目标地址，并且选取数据包发往目标地址的最佳路径。过滤路由器，它将更严格地检查数据包，除普通路由器的功能外，还决定数据包是否应该发送。“应该”或“不应该”由站点的安全策略决定，并由过滤路由器强制设置。
资料参考：http://www.bjeeic.org/pxzx/bbs/read.php?tid=5540

㈡ 怎么使用Cisco路由器进行网页内容过滤

如今，过滤网络内容已经不仅仅是企业的可选操作，而是已经成为了法律必须的以及企业为了防止员工犯错所必须采取的行动。在本文中，作者David Davis将向大家解说Cisco IOS 路由器如何通过第三方服务实现Web内容过滤。
为了保护企业网络以及终端用户免受恶意或不良网页内容的入侵，我们可以使用基于订阅的思科IOS内容过滤。这是思科首次将第三方公司如 SmartFilter (之前的N2H2公司)和Websense 提供的服务纳入IOS 12.2(15)T。今年，在IOS12.4 (15) XZ和12.4(20)T中，思科IOS又加入了Trend Micro(趋势)公司的URL过滤服务。
如果想使用上述功能，应该首先确保我们的路由器IOS支持该特性。通过Cisco IOS Feature Navigator，我们可以验证所使用的软件映像是否支持该特性。
当然，除了适当的IOS映像之外，我们必须在这些第三方公司进行服务注册，这样才能获取他们的URL过滤服务。根据趋势科技的向导，我们可以注册路由器以获取Trend Router Provisioning Server( TRPS ) 。更多的信息可以参阅Prerequisites for Cisco Subscription-based IOS Content Filtering。
作为网络管理员，我们肯定不想把大量时间用于关注用户浏览的网络内容上。而互联网过滤服务就是针对这种情况提供的方便功能。以前当我部署网页过滤服务的时候，我总是喜欢对提出抱怨的用户说： “这是Web过滤服务，说你的某某网站是不允许访问的。 ”
通过部署URL过滤，我们可以利用第三方公司的服务从终端用户过滤掉恶意或不恰当的互联网流量。除了可以简单的开启或关闭过滤功能外，我们也可以为特定的网站和用户开放这些内容或者站点。
终端用户的URL请求与Trend Router Provisioning Server( TRPS )关联 ，根据我们预先设定的策略允许或拒绝用户的访问。当用户键入一个网址，服务会进行策略执行查询。如果策略允许，那么用户可以继续向访问该网站，如果策略禁止，那么用户就被阻止访问这个URL地址。
Cisco 过滤选项
白名单：(信任域名单) 设定特定的域名，允许通过路由器，比如设定www.techrepublic.com
黑名单：(非受信域名单) 设定特定的域名，无法通过路由器。设置信息会在路由器上进行缓存，以便后期检查。比如www.badsite.com
阻止关键字： 设置用于过滤的 URL字符串或关键字，比如 *www.parrot.* 或者 *rockbaby* 。这样的话，一旦URL中出现“rockbaby,” ，路由器将阻止访问而不需要经过TRPS服务器。
缓存最近的请求： 此功能可以保存最近访问请求的处理策略。因此对于之后用户每一次请求就没有必要再让他们通过TRPS进程。
分组缓冲：此功能可让你在等待查询过程完成的过程中存储网址信息。这是一个强大的功能，可以防止HTTP请求量过大导致路由器超负荷。默认的响应数是200，不过可以进行修改。此功能同样也适用于第三方过滤器服务器Websense和SmartFilter 。
如何配置用Cisco路由器进行网页内容过滤?
要配置 Cisco IOS URL过滤，我们需要深刻了解防火墙规则以及URL过滤原理。当我们在趋势科技的过滤系统进行注册后，在Cisco IOS里对Trend Micro URL 过滤服务的设置可以遵循以下步骤：
为本地URL过滤配置 Class Maps
为Trend Micro URL过滤配置 Class Maps
为Trend Micro URL过滤配置 Parameter Maps
配置 URL过滤策略
附加URL过滤策略
有关配置第三方URL过滤所需的 IOS命令以及配置范例，可以参阅Cisco’s Subscription-based IOS Content Filtering 网页。

㈢ 局域网网线太长，中间加了个tplink路由器当做交换机但是不能用，求解。

路由下接交换机倒是用过，交换机下接路由还真没使过00

我给你提个办法你看你那边可以用不，因为网线最远传输距离基本100M左右，所以两个交换机是必须的。

16交换机-各PC

总线-无线路由<

8交换机-各PC

最远的走线我尽量不超过100m。

㈣ 双网路由器，内外网策略选路后MAC过滤无效，求解

1. 固定IP内网为什么要搞在WAN口上，应该在LAN口上才对。

2. mac过滤对内网肯定没有影响的，你换成ip地址过滤试试看。

3. 上网管控最好还是用专业设备（比如：WSG网关之类的专业网关），路由器的上网行为管理功能都比较弱的。
   

㈤ 华为路由器里面的5种过滤器详解 跪求啊！！！

这些都是不同命令行里的参数。
prefix-list：IP前缀列表。
# 定义if-match子句，设置匹配相关的IPv6路由信息。
<HUAWEI> system-view
[HUAWEI] route-policy policy permit node 10
[HUAWEI-route-policy] if-match ipv6 address prefix-list p1
[HUAWEI-route-policy] if-match ipv6 next-hop prefix-list p1
[HUAWEI-route-policy] if-match ipv6 route-source prefix-list p1

as-path-filter xxx：指定匹配的AS路径过滤器号。
# 创建序号为2的AS路径过滤器，允许AS路径中包含20的路由通过。
<HUAWEI> system-view[HUAWEI] ip as-path-filter 2 permit [ 20 ]
# 查看AS路径属性中包含65420的所有BGP VPNv6路由信息。
<HUAWEI> system-view
[HUAWEI] ip as-path-filter 1 permit 65420*
[HUAWEI] display bgp vpnv6 all routing-table as-path-filter 1

community-filter：用来显示匹配指定的BGP团体属性过滤器的路由信息。
# 查看本端指定团体列表的所有BGP VPNv6路由信息。
<HUAWEI> system-view
[HUAWEI] ip community-filter 1 permit internet
[HUAWEI] display bgp vpnv6 all routing-table community-filter 1 whole-match

route-policy xxx：指定路由策略名称
显示名为policy1的Route-Policy信息。
<HUAWEI> display route-policy policy1

㈥ TP双网路由设置策略选路是否会与MAC地址过滤冲突

首先你的概念有很多错误的地方，我不想一一打字了。

你的描述中：WAN1是外网IP：192.168.1.1，这里我理解的是：192.168.1.1是你的网关地址，就是说最终WAN1的局域网设备出外网的接口IP地址是192.168.1.1。是不是这样？注意，都是内网IP，不是外网IP哦。
你的描述中：WAN2是内部网IP：10.16.14.1，就是说最终WAN2的局域网设备出外网的接口IP地址是10.16.14.1，我理解的意思是你有2个内网网段,一个是192.168.1.0，一个是10.16.14.0 ，是不是这样？但是你有几个宽带地址?1个还是2个？是固定还是拨号？内网拓扑结构是怎样？有没有三层交换机？没有描述，如能告知可以做具体判断。
你的描述中：但过滤MAC地址的电脑内外都不能上了，不过滤就没问题，这个不理解，最好是截图，看看你所说的过滤是什么样的设置，我猜测了一下，出现这个情况，是不是你做了隔离闲置，导致2个网段不能互通？因为你说内网也不通了。
其实网络越简单越易用，看到回复请补充，希望能帮到你。谢谢！

㈦ 求路由策略与策略路由有什么区别B

策略路由是一种依据用户制定的策略进行路由选择的机制，与单纯依照IP报文的目的地址查找路由表进行转发不同，可应用于安全、负载分担等目的。

策略路由支持基于acl包过滤、地址长度等信息，灵活地指定路由。而acl报文过滤则可以根据报文的源ip、目的ip、协议、端口号、优先级、tos、时间段、vpn等各种丰富的信息将报文分类，然后控制将这些报文按照不同的路由转发出去。

策略路由既可以应用于被转发的报文，又可以应用于路由器本地产生的报文。前者称为接口策略路由，后者称为本地策略路由。
接口策略路由只对转发的报文起作用，对本地产生的报文（比如本地的ping报文）不起作用。而本地策略路由只对本地产生的报文起作用，对转发的报文不起作用。
接口策略路由配置在接口视图下。
本地产生的报文的策略路由配置在系统视图下。
注意：组播策略路由只支持转发的报文，不对路由器本机产生的报文进行策略路由。 路由策略的作用
过滤路由信息的手段
发布路由信息时只发送部分信息
接收路由信息时只接收部分信息
进行路由引入时引入满足特定条件的信息支持等值路由
设置路由协议引入的路由属性

路由策略（routing policy）
设定匹配条件，属性匹配后进行设置，由if-match和apply字句组成
访问列表（access-list）
用于匹配路由信息的目的网段地址或下一跳地址，过滤不符合条件的路由信息
前缀列表（prefix-list）
匹配对象为路由信息的目的地址或直接作用于路由器对象（gateway）
自治系统路径信息访问列表（aspath-list）
仅用于BGP协议，匹配BGP路由信息的自治系统路径域
团体属性列表（community-list）
仅用于BGP协议，匹配BGP路由信息的自治系统团体域

策略路由与路由策略是两个不同的概念，应用领域不同。
策略路由主要是控制报文的转发，即可以不按照路由表进行报文的转发（因为一般报文的转发要通过查找转发表，而配上策略路由后就不用管转发表了，可以随心所欲将报文从转发出去了）。
路由策略主要控制路由信息的引入（控制哪些路由信息引到路由协议中，哪些路由不引入，主要是针对某种路由协议，是否允许其它路由信息引进来）、发布（控制哪些发布出去，哪些不发布出去，通过同一种路由协议发布出去）、接收（控制哪些接收，哪些丢弃）。路由策略：是用路由来进行某些路由策略设置。
策略路由：是设置针对路由的策略，主要通过其他软件对路由的限制。
两者的区别就在于谁是主导，路由策略是以路由为主来创建的策略，而策略路由是通过软件对路由的设置。 路由策略：影响路由表的生成
策略路由：影响包的转发，优先级高于路由表
意思是：一个包要转发，先匹配策略路由转发，其次匹配路由表转发route map和ACL很类似,它可以用于路由的再发布和策略路由,还经常使用在BGP中.策略路由(policy route)实际上是复杂的静态路由,静态路由是基于数据包的目标地址并转发到指定的下一跳路由器,策略路由还利用和扩展IP ACL链接,这样就可以提供更多功能的过滤和分类

route map的一些命令:

一 路由重发布相关

match命令可以和路由的再发布结合使用:

1.match interface {type number} […type number]:匹配指定的下一跳路由器的接口的路由

2.match ip address {ACL number|name} […ACL number|name]:匹配ACL所指定的目标IP地址的路由

3.match ip next-hop {ACL number|name} […ACL number|name]:匹配ACL所指定的下一跳路由器地址的路由

4.match ip route-source {ACL number|name} […ACL number|name]:匹配ACL所指定的路由器所宣告的路由

5.match metric {metric-value}:匹配指定metric大小的路由

6.match route-type {internal|external[type-1|type-2]|level-1|level-2}:匹配指定的OSPF,EIGRP或IS-IS的路由类型的路由

7.match tag {tag-value} […tag-value]:匹配带有标签(tag)的路由

set命令也可以和路由的再发布一起使用:

1.set level {level-1|level-2|level-1-2|stub-area|backbone}:设置IS-IS的Level,或OSPF的区域,匹配成功的路由将被再发布到该区域

2.set metric {metric-value|bandwidth delay RELY load MTU}:为匹配成功的路由设置metric大小

3.set metric-type {internal|external|type-1|type-2}:为匹配成功的路由设置metric的类型,该路由将被再发布到OSPF或IS-IS 1

4.set next-hop {next-hop}:为匹配成功的路由指定下一跳地址

5.set tag {tag-value}:为匹配成功的路由设置标签

二 策略路由相关

match命令还可以和策略路由一起使用:

1.match ip address {ACL number|name} […ACL number|name]:匹配ACL所指定的数据包的特征的路由

2.match length {min} {max}:匹配层3的数据包的长度

set命令也可以和策略路由一起使用:

1.set default interface {type number} […type number]:当不存在指向目标网络的显式路由(explicit route)的时候,为匹配成功的数据包设置出口接口

2.set interface {type number} […type number]:当存在指向目标网络的显式路由的时候,为匹配成功的数据包设置出口接口

3.set ip default next-hop {ip-address} […ip-address]:当不存在指向目标网络的显式路由的时候,为匹配成功的数据包设置下一跳路由器地址

4.set ip precedence {precedence}:为匹配成功的IP数据包设置服务类型(Type of Service,ToS)的优先级

5.set ip tos {tos}:为匹配成功的数据包设置服务类型的字段的TOS位

Configuring Route Maps

route map是通过名字来标识的,每个route map都包含许可或拒绝操作以及一个序列号,序列号在没有给出的情况下默认是10,并且route map允许有多个陈述,如下:

Linus(config)#route-map Hagar 20

Linus(config-route-map)#match ip address 111

Linus(config-route-map)#set metric 50

Linus(config-route-map)#route-map Hagar 15

Linus(config-route-map)#match ip address 112

Linus(config-route-map)#set metric 80

尽管先输入的是20,后输入的是15,IOS将把15放在20之前.

还可以允许删除个别陈述,

如下: Linus(config)#no route-map Hagar 15 在删除的时候要特别小心,假如你输入了no route-map Hegar而没有指定序列号,那么整个route map将被删除.并且如果在添加match和set语句的时候没有指定序列号的话,那么它们仅仅会修改陈述10.在匹配的时候,从上到下,如果匹配成功,将不再和后面的陈述进行匹配,指定操作将被执行

关于拒绝操作,是依赖于route map是使用再路由的再发布中还是策略路由中,

如果是在策略路由中匹配失败(拒绝),那么数据包将按正常方式转发;

如果是用于路由再发布,并且匹配失败(拒绝),那么路由将不会被再发布 如果数据包没有找到任何匹配,和ACL一样,route map末尾也有个默认的隐含拒绝所有的操作,如果是在策略路由中匹配失败(拒绝),那么数据包将按正常方式转发;如果是用于路由再发布,并且匹配失败(拒绝),那么路由将不会被再发布 如果route map的陈述中没有match语句,那么默认的操作是匹配所有的数据包和路由;

每个route map的陈述可能有多个match和set语句,如下:

! route-map Garfield permit 10

match ip route-source 15

match interface Serial0

set metric-type type-1

set next-hop 10.1.2.3 !

在这里,为了执行set语句,每个match语句中都必须进行匹配 .

基于策略的路由

基于策略的路由技术概述：

基于策略的路由为网络管理者提供了比传统路由协议对报文的转发和存储更强的控制能力，传统上，路由器用从路由协议派生出来的路由表，根据目的地址进行报文的转发。

基于策略的路由比传统路由强，使用更灵活，它使网络管理者不能够根据目的地址而且能够根据，报文大小，应用或IP源地址来选择转发路径。策略可以定义为通过多路由器的负载平衡或根据总流量在各线上进行转发的服务质量（QOS）。策略路由使网络管理者能根据它提供的机定一个报文采取的具体路径。而在当今高性能的网络中，这种选择的自由性是很需要的。

策略路由提供了这样一种机制：根据网络管理者制定的标准来进行报文的转发。策略路由用MATCH和SET语句实现路径的选择。

策略路由是设置在接收报文接口而不是发送接口。

基于源地址的策略路由

配置概述：

路由器A将192.1.1.1来的所有数据从接口S0发出，而将从192.1.1.2来的所有数据从接口S1发出。

路由器A定义几个二级接口作为测试点。路由器A和B配置RIP.在A的ETHERNET接口上应用IP策略路由图LAB1,为从192.168.1.1来的数据设置下一跳接口为S0，为从192..1.1.2来的数位设置下一跳接口为S1，所有其他的报文将用基于目的地址的路由。

路由器配置：

ROUTE A:

Version 11.2

No service udp-small-servers

No service tcp-small-servers

Hostname routerA

Interface ethernet0

Ip address 192.1.1.1 255.255.255.0 secondary

Ip address 192.1.1.2 255.255.255.0 secondary

Ip address 192.1.1.3 255.255.255.0 secondary

Ip address 192.1.1.10 255.255.255.0

Ip policy route-map lab1

//策略路由应用于E0口

interface serial0

ip addr 150.1.1.1 255.255.255.0

interface serial1

ip addr 151.1.1.1 255.255.255.0

router rip

network 192.1.1.0

network 150.1.0.0

network 151.1.0.0

ip local policy route-map lab1

//使路由器策略路由本地产生报文

no ip classless

access-list 1 permit 192.1.1.1

access-list 2 permit 192.1.1.2

route-map lab1 permit 10

//定义策略路由图名称：LAB1，10为序号，用来标明被匹配的路由顺序。

Match ip address 1

//匹配地址为访问列表1

Set interface serial0

//匹配下一跳为S0

Route-map lab1 permit 20

Match ip address 2

Set interface serial1

Line con0

Line aux0

Line vty 0 4

Login

End

路由器B为标准配置略。

相关调试命令：

show ip policy

show router-map

debug ip policy
注:PBR以前是CISCO用来丢弃报文的一个主要手段。比如：设置set interface null 0，按CISCO说法这样会比ACL的deny要节省一些开销。这里我提醒：

interface null 0
no ip unreachable//加入这个命令
这样避免因为丢弃大量的报文而导致很多ICMP的不可达消息返回。
三层设备在转发数据包时一般都基于数据包的目的地址（目的网络进行转发），那么策略路由有什么特点呢？
1、可以不仅仅依据目的地址转发数据包，它可以基于源地址、数据应用、数据包长度等。这样转发数据包更灵活。
2、为QoS服务。使用route-map及策略路由可以根据数据包的特征修改其相关QoS项，进行为QoS服务。
3、负载平衡。使用策略路由可以设置数据包的行为，比如下一跳、下一接口等，这样在存在多条链路的情况下，可以根据数据包的应用不同而使用不同的链路，进而提供高效的负载平衡能力。
策 略路由影响的只是本地的行为，所以可能会引起“不对称路由”形式的流量。比如一个单位有两条上行链路A与B，该单位想把所有HTTP流量分担到A 链路，FTP流量分担到B链路，这是没有问题的，但在其上行设备上，无法保证下行的HTTP流量分担到A链路，FTP流量分担到B链路。
策略路由一般针对的是接口入(in)方向的数据包，但也可在启用相关配置的情况下对本地所发出的数据包也进行策略路由。
本文就策略路由的以下四个方面做相关讲解：
1、启用策略路由
2、启用Fast-Switched PBR
3、启用Local PBR
4、启用CEF-Switched PBR
启用策略路由：
开始配置route-map。使用route-map map-tag [permit | deny] [sequence-number]进入route-map的配置模式。
使 用match语句定义感兴趣的流量，如果不定义则指全部流量。match length min maxand/ormatch ip address {access-list-number | name}[...access-list-number | name]
使用set命令设置数据包行为。
set ip precedence [number | name]
set ip next-hop ip-address [... ip-address]
set interface interface-type interface-number [... type number]
set ip default next-hop ip-address [... ip-address]
set default interface interface-type interface-number [... type ...number]
这 里要注意set ip next-hop与set ip default next-hop、set interface与set default interface这两对语句的区别，不含default的语句，是不查询路由表就转发数据包到下一跳IP或接口，而含有default的语句是先查询路 由表，在找不到精确匹配的路由条目时，才转发数据包到default语句指定的下一跳IP或接口。
进入想应用策略路由的接口。interface xxx
应用所定义的策略。注意必须在定义好相关的route-map后才能在接口上使用该route-map,在接口启用route-map策略的命令为：
ip policy route-map map-tag
启用Fast-Switched PBR
在Cisco IOS Release 12.0之前，策略路由只能通过“进程转发”来转发数据包，这样数据包的转发效率是非常低的，在不同的平台上，基本在每秒1000到10,000个数据 包。随着缓存转发技术的出现，Cisco实现了Fast-Switched PBR，大大提升了数据包的转发速度。启用方法即在接口中使用ip route-cache policy命令。
注意：Fast-switched PBR支持所有的match语句及大多数的set语句，但其有下面的两个限制：
不支持set ip default next-hop 与 set default interface命令。
如 果在route-cache中不存在set中指定的接口相关的项，那么仅在point-to-point时set interface命令才能够Fast-switched PBR。而且，在进行“进程转发”时，系统还会先查询路由条目查看该interface是不是一个合理的路径。而在fast switching时，系统不会对此进行检查。
启用Local PBR
默认情况下，路由器自身所产生的数据包不会被策略路由，如果想对路由器自身产生的数据包也进行策略路由，那么需要在全局模式下使用如下命令来启用：
ip local policy route-map map-tag

启用CEF-Switched PBR
在支持CEF的平台上，系统可以使用CEF-Switched PBR来提高PBR的转发速度，其转发速度比Fast-Switched PBR更快！只要你在启用PBR的路由器上启用了CEF，那么CEF-Switched PBR会自动启用。
注：ip route-cache policy仅仅适用于Fast-Switched PBR，在CEF-Switched PBR中并不需要，如果你在启用了CEF的路由器上使用PBR时，这个命令没有任何作用，系统会忽略此命令的存在。
PBR配置案例：
案例1：
路由器通过两条不同的链路连接至两ISP，对于从async 1接口进入的流量，在没有“精确路由”匹配的情况下，把源地址为1.1.1.1的数据包使用策略路由转发至6.6.6.6, 源地址为2.2.2.2的数据包转发至7.7.7.7，其它数据全部丢弃。
配置如下：
access-list 1 permit ip 1.1.1.1
access-list 2 permit ip 2.2.2.2
!
interface async 1
ip policy route-map equal-access
!
route-map equal-access permit 10
match ip address 1
set ip default next-hop 6.6.6.6
route-map equal-access permit 20
match ip address 2
set ip default next-hop 7.7.7.7
route-map equal-access permit 30
set default interface null0
案例2
在 路由器针对不同流量，修改其precedence bit，并设置下一跳地址。对于1.1.1.1产生的流量，设置precedence bit为priority，并设置其下一跳转发地址为3.3.3.3；对于2.2.2.2产生的流量，设置precedence bit为critical，并设置其下一跳转发地址为3.3.3.5。
配置如下：
access-list 1 permit ip 1.1.1.1
access-list 2 permit ip 2.2.2.2
!
interface ethernet 1
ip policy route-map Texas
!
route-map Texas permit 10
match ip address 1
set ip precedence priority
set ip next-hop 3.3.3.3
!
route-map Texas permit 20
match ip address 2
set ip precedence critical
set ip next-hop 3.3.3.5

㈧ 在华为路由器中可以针对设备配置cpu防攻击策略以下哪种不属于防cpu攻击的方式

这个路由器可以针对具体的CPU进行相应的防策略工具设施，在处理的时候主要就是需要在路由器的系统参数当中添加这种过滤的方式。

㈨ 华为路由器的路由过滤问题

不太懂，从网上搜了一段看看有没有帮助。

OSPF协议测试分析
l OSPF等cost双链路情况下，不论是到单一不还是随机目的地址的数据流，均无法实现
负载均衡。

l 不支持对virtual-link进行OSPF的MD5认证。

l 在3680平台作rip向OSPF再发布，当对由rip进入的多条路由粘贴不同tag标记时，368
0无法将大于一个以上的tag向外advertise。

l OSPF无法使用filter-policy(类似distribute-list)对进入路由作过滤。OSPF下，fi
lter-policy 仅能控制全局入方向路由，即无法对指定(接口)neighbour作in方向发布控
制。

l Ospf下，几乎所有策略只能在import点作(router-policy无法在OSPF下使用)，路由器
无法对其它路由器发布的out方向的路由实施策略。

l Ospf下，在im点为不同路由添加的tag，无法传递到远端，严重问题。

l 在对同一名字route-policy定义了多个seq时，虽然命令提示可以，但实际上不能单独
删除指定seq下的策略，即只能一次删除全部，严重问题。

BGP协议测试分析

l 改变Cisco端BGP AS number 时，QuidwayR3680对应端口通信中断，而端口显示信息正
常，严重问题。

l 改变2630 BGP AS number时，26随机死机。

l 在对同一名字route-policy定义了多个seq时，虽然命令提示可以，但实际上不能单独
删除指定seq下的策略，即只能一次删除全部，严重问题。

l EBGP在作AS number prepend时，严重不正常。如：单一名称多seq 的route-policy被
应用时，若作as number prepending的seq不在第一项，则无法prepending(在远端路由
器看不到被prepending 的as number，如果作as number prepending的seq在第一项，则
所有应该用该route-policy import 入BGP的路由，都会被prepend同样的AS numbers。

l 3680平台，用origin-policy、route-policy对aggregate route 作origin修改，不生
效。
l 3680，bgp，OSPF等动态协议相关统计信息太简单，甚至无neighbour uptime、last
update time之类基本统计信息，维护、排错极不便。

l 3680与2630作IBGP时，2630开启synchronization时，2630所显示的BGP表中，来自36
80的路由next hop显示为null，且无法向另一远端EBGP发布3680的路由，即不向外AS发
布。

l 在无数据流量，起单一BGP进程的情况下，QuidwayR2630 cpu达到27%左右，不正常。

l 3680平台，用suppress-policy、route-policy对aggregate route 作单个major net
单元的supress，结果显示，所有参与aggregation的major net均被suppress。

l 3680平台，BGP(E or I)环境下，无法使用update-source 命令。在两bgp neighbour
存在冗余物理链路时，BGP connection将只能在单一链路上建立，该链路中断则BGPcon
nection中断，无法起到冗余的作用。

l AS100内运行OSPF area 1，在各路由器interface loopback 1 1.0.0.x可互通的情况
下，quidway路由器无法通过对端路由器的1.0.0.x进行IBGP连接。
l AS100内运行OSPF area 1，在各路由器全部自物理接口可互通的情况下，作五个路由
器全IBGP连接时，quidway路由器无法与部分非直接路由器(one of the opposites)的物
理接口进行IBGP连接。

l 在定义多个peer group后，3680会把对其中一个peer group制定的attribute如next-
hop-local(类似cisco的next-hope-self)，origin，as prepending等向其它未制定att
riute的peer group传递，严重问题。。

l ACL、route-policy协作问题。
当acl后加deny any 项时，且route-policy启用时，所有外出路由将在本地路由器的ou
t方向被filte掉，严重不正常。
l Router-reflector工作不正常。在分别用3680、2630b作router-reflector时，各自所
下连client学不到其它client的路由。如72学不到2630b的路由，3680学不到2630a的路
由等，严重问题。若去掉两client对应端口IGP配置，则可以reflect，工作不正常。

l 测试bgp confederation 时，发现如下情况：
1. 每个路由器分别不能看到两个非直接路由器之一的loop段。如3680上看不到26a的in
terface loopback 1 的ip address所属网段。此时该loopback1接口开启OSPF。
2. 在26a loopback1接口关启ospf时，3680可以学到该loopback1所属网段，但同时，两
Cisco路由器之间bgp connection不能建立。

l 无BGP backdoor功能。

vrrp运行分析
l 0105版本下，在3680E、3640平台上对E口作vrrp，下连PC及路由器本身无法ping通浮
动地址。即vrrp工作不正常。
l 升级后至0108版本后，3680VRRP virtual ip可以被VRRPgroup所在segment 的Pcping
通，virtual MAC地址显示正常，符合RFC3678 00-00-5e-00-01-vrid定义，但在路由器
上ping不能，且显示mac空，经查验RFC3768，此行为该标准并未作过多说明，但实际运
行中，这一点将给监控、排错造成诸多不便。
l Display命令对VRRP的显示将显示所有VRRP组信息，无法显示单个组，且统计信息过于
简单。
l
NAT运行分析
l 华为路由器3680在作NAT时，fe-inside，serial-outside，以proxyhunter发包，当流
量增至200k/bps时，华为路由器CPU增至100%利用率，极不正常。
l 部分语法提示有问题，如nat server global等。
l 在3640平台上无法用nat server 语句实现global outside--àlocal inside 的stat
ic nat。
低端接入交换机试用结果
l 华为quidwayS3026同时在access int、trunk int运行同等优先级STP，当access int
位于小端口(priority 较优先)时，stp算法将block trunk int，造成trunk线路中断。

l quidwayS3026交换机不自动开启STP，默认情况下冗余TOPO将引起流量风暴。