acltcp頭標簽做過濾

A. 要實現對VLAN訪問的限制，則ACL應該加在（ ）介面上

你的意思可能是200和300不能主動發起到100的連接是吧?你這樣的情況因為100要訪問200和300，同時200和300也要能訪問100，否則100訪問200和300的流量沒法返回的話100也沒法訪問200和300，所以不能用vacl來做。當然也不能用pvlan來做。 你這樣的要求只能在路由器上做acl了，如果只是tcp的訪問你可以用acl裡面的established參數來控制。如果不僅僅是tcp的話，你就用cbac特性吧,2620上應該是支持的。不過要帶防火牆功能的ios才支持cbac的。

B. 火車頭採集器怎麼過濾除圖片標簽外的所有標簽

火車頭設置設置採集規則不是專業人士根本沒法操作的
建議你試試八爪魚採集器吧，相對簡單很多，幾分鍾就可以上手解決你的這問題。

C. acl 主要用於過濾流量.acl 有哪兩項額外用途

訪問控制列表的作用 訪問控制列表是應用在路由器介面的指令列表，這些指令列表用來告訴路由器哪些數據包可以接收、哪些數據包需要拒絕。至於數據包是被接收還是被拒絕，可以由類似於源地址、目的地址、埠號、協議等特定指示條件來決定。通過靈活地增加訪問控制列表，ACL可以當作一種網路控制的有力工具，用來過濾流入和流出路由器介面的數據包。 建立訪問控制列表後，可以限制網路流量，提高網路性能，對通信流量起到控制的手段，這也是對網路訪問的基本安全手段。在路由器的介面上配置訪問控制列表後，可以對入站介面、出站介面及通過路由器中繼的數據包進行安全檢測。 IP訪問控制列表的分類 標准IP訪問控制列表 當我們要想阻止來自某一網路的所有通信流量，或者充許來自某一特定網路的所有通信流量，或者想要拒絕某一協議簇的所有通信流量時，可以使用標准訪問控制列表來實現這一目標。標准訪問控制列表檢查路由的數據包的源地址，從而允許或拒絕基於網路、子網或主機的IP地址的所有通信流量通過路由器的出口。 擴展IP訪問控制列表 擴展訪問控制列表既檢查數據包的源地址，也檢查數據包的目的地址，還檢查數據包的特定協議類型、埠號等。擴展訪問控制列表更具有靈活性和可擴充性，即可以對同一地址允許使用某些協議通信流量通過，而拒絕使用其他協議的流量通過。 命名訪問控制列表 在標准與擴展訪問控制列表中均要使用表號，而在命名訪問控制列表中使用一個字母或數字組合的字元串來代替前面所使用的數字。使用命名訪問控制列表可以用來刪除某一條特定的控制條目，這樣可以讓我們在使用過程中方便地進行修改。 在使用命名訪問控制列表時，要求路由器的IOS在11.2以上的版本，並且不能以同一名字命名多個ACL，不同類型的ACL也不能使用相同的名字。 通配符掩碼 通配符掩碼是一個32比特位的數字字元串，它被用點號分成4個8位組，每組包含8比特位。在通配符掩碼位中，0表示「檢查相應的位」，1表示「不檢查相應的位」。通配符掩碼與IP地址是成對出現的，通配符掩碼與子網掩碼工作原理是不同的。在IP子網掩碼中，數字1和0用來決定是網路、子網，還是相應的主機的IP地址。如表示172.16.0.0這個網段，使用通配符掩碼應為0.0.255.255。 在通配符掩碼中，可以用255.255.255.255表示所有IP地址，因為全為1說明所有32位都不檢查相應的位，這是可以用any來取代。而0.0.0.0的通配符掩碼則表示所有32位都要進行匹配，這樣只表示一個IP地址，可以用host表示。所以在訪問控制列表中，可以選擇其中一種表示方法來說明網路、子網或主機。 實現方法 首先在全局配置模式下定義訪問列表，然後將其應用到介面中，使通過該介面的數據包需要進行相應的匹配，然後決定被通過還是拒絕。並且訪問列表語句按順序、邏輯地處理，它們在列表中自上向下開始匹配數據包。如果一個數據包頭與訪問許可權表的某一語句不匹配，則繼續檢測列表中的下一個語句。在執行到訪問列表的最後，還沒有與其相匹配的語句，數據包將被隱含的「拒絕」語句所拒絕。 標准IP訪問控制列表 在實現過程中應給每一條訪問控制列表加上相應的編號。標准IP訪問控制列表的編號為1至99，作用是阻止某一網路的所有通信流量，或允許某一網路的所有通信流量。語法為： Router(config)#access-list access-list-number(1~99) {denypermit} source [source-wildcard] 如果沒有寫通配符掩碼，則默認值會根據源地址自動進行匹配。下面舉例來說明：要阻止源主機為 192.168.0.45的一台主機通過E0，而允許其他的通訊流量通過E0埠。Router(config)#access-list 1 deny 192.168.0.45 0.0.0.0或Router(config)#access-list 1 deny host 192.168.0.45或Router(config)#access-list 1 deny 192.168.0.45Router(config)#access-list 1 permit anyRouter(config)#interface ethernet 0Router(config-if)#ip access-group 1 in 首先我們在全局配置模式下定義一條拒絕192.168.0.45主機通過的語句，通配符掩碼可以使用0.0.0.0或host，或使用預設值來表示一台主機，然後將其訪問列表應用到介面中。如果現在又修改了計算機的IP地址，那麼這條訪問控制列表將對您不起作用。 擴展IP訪問控制列表 擴展IP訪問控制列表的編號為100至199，並且功能更加靈活。例如，要阻止192.168.0.45主機Telnet流量，而允許Ping流量。 Router(config)#access-list 101 permit icmp 192.168.0.45 0.0.0.0 anyRouter(config)#access-list 101 deny tcp 192.168.0.45 0.0.0.0 any eq 23Router(config)#access-list 101 permit ip any anyRouter(config)#interface ethernet 0Router(config-if)#ip access-group 101 in 因為Ping命令使用網路層的ICMP協議，所以讓ICMP協議通過。而Telnet使用埠23，所以將埠號為23的數據包拒絕了，最終應用到某一介面，這樣就可以達到目的。 命名訪問控制列表 對於某一給定的協議，在同一路由器上有超過99條的標准ACL，或有超過100條的擴展ACL。想要通過一個字母數字串組成的名字來直觀地表示特定的ACL時，並且路由器的IOS版本在11.2及以上時，可以使用命名訪問控制列表，也就是用某些字元串來取代標准與擴展ACL的訪問列表號。命名訪問控制列表的語法格式為： Router(config)#ip access-list {standardextended} name 在ACL配置模式下，通過指定一個或多個允許或拒絕條件，來決定一個數據包是允許通過還是被丟棄。語法格式如下： Router(config{std-ext-}nacl)#{permitdeny} {source [source-wildcad]any} 下面是一個配置實例： ip access-list extended nyistpermit tcp 172.16.0.0 0.0.255.255 any eq 23deny tcp any anydeny udp 172.16.0.0 0.0.255.255 any lt 1024interface Ethernet 0ip access-group nyist in 基於時間訪問列表的應用 隨著網路的發展和用戶要求的變化，從IOS12.0開始，思科(CISCO)路由器新增加了一種基於時間的訪問列表。通過它，可以根據一天中的不同時間，或者根據一星期中的不同日期，或二者相結合來控制網路數據包的轉發。這種基於時間的訪問列表，就是在原來的標准訪問列表和擴展訪問列表中，加入有效的時間范圍來更合理有效地控制網路。首先定義一個時間范圍，然後在原來的各種訪問列表的基礎上應用它。 基於時間訪問列表的設計中，用time-range 命令來指定時間范圍的名稱，然後用absolute命令，或者一個或多個periodic命令來具體定義時間范圍。IOS命令格式為： time-range time-range-name absolute[start time date] [end time date]periodic days-of-the week hh:mm to [days-of-the week] hh:mm 下面分別來介紹一下每個命令和參數的詳細情況： time-range 用來定義時間范圍的命令。 time-range-name 時間范圍名稱，用來標識時間范圍，以便於在後面的訪問列表中引用。 absolute該命令用來指定絕對時間范圍。它後面緊跟著start和end兩個關鍵字。在這兩個關鍵字後面的時間要以24小時制hh:mm表示，日期要按照日/月/年來表示。如果省略start及其後面的時間，則表示與之相聯系的permit或deny語句立即生效，並一直作用到end處的時間為止。如果省略end及其後面的時間，則表示與之相聯系的permit或deny語句在start處表示的時間開始生效，並且一直進行下去。 periodic主要是以星期為參數來定義時間范圍的一個命令。它的參數主要有Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一個或者幾個的組合，也可以是daily(每天)、weekday(周一至周五)，或者weekend(周末)。 下面我們來看一個實例：在一個網路中，路由器的乙太網介面E0連接著202.102.240.0網路，還有一個串口S0連入Internet。為了讓202.102.240.0網路內的公司員工在工作時間內不能進行WEB瀏覽，從2003年5月1日1時到2003年5月31日晚24時這一個月中，只有在周六早7時到周日晚10時才可以通過公司的網路訪問Internet。 我們通過基於時間的擴展訪問控制列表來實現這一功能： Router# config tRouter(config)# interface Ethernet 0Router(config-if)#ip access-group 101 inRouter(config-if)#time-range httpRouter(config-if)#absolute start 1:00 1 may 2003 end 24:00 31 may 2003 periodic Saturday 7:00 to Sunday 22:00Router(config-if)#ip access-list 101 permit tcp any any eq 80 http 我們是在一個擴展訪問列表的基礎上，再加上時間控制就達到了目的。因為是控制WEB訪問的協議，所以必須要用擴展列表，那麼編號需在100至199之間。我們定義了這個時間范圍的名稱是http，這樣，我們就在列表中的最後一句方便地引用了。 合理有效地利用基於時間的訪問控制列表，可以更有效、更安全、更方便地保護我們的內部網路，這樣您的網路才會更安全，網路管理人員也會更加輕松。 檢驗 在路由器中用show running-config命令檢查當前正在運行的配置文件，用show ip access-list命令來查看訪問控制列表，並在計算機的命令提示符下用Ping/Telnet命令進行測試。

D. ACL通過哪幾個參數過濾數據包

ip
mac
頭部數據報文
協議類型

E. 路由器如何進行數據包過濾

數據包是TCP/IP協議通信傳輸中的數據單位，區域網中傳輸的不是「幀」嗎?
但是TCP/IP協議是工作在OSI模型第三層(網路層)、第四層(傳輸層)上的，而幀是工作在第二層(數據鏈路層)。
上一層的內容由下一層的內容來傳輸，所以在區域網中，「包」是包含在「幀」里的。
一、數據包過濾有時也稱為靜態數據包過濾，它通過分析傳入和傳出的數據包以及根據既定標准傳遞或阻止數據包來控制對網路的訪問，當路由器根據過濾規則轉發或拒絕數據包時，它便充當了一種數據包過濾器。
當數據包到達過濾數據包的路由器時，路由器會從數據包報頭中提取某些信息，根據過濾規則決定該數據包是應該通過還是應該丟棄。數據包過濾工作在開放式系統互聯 (OSI) 模型的網路層，或是 TCP/IP 的 Internet 層。
二、作為第3層設備，數據包過濾路由器根據源和目的 IP 地址、源埠和目的埠以及數據包的協議，利用規則來決定是應該允許還是拒絕流量。這些規則是使用訪問控制列表 (ACL) 定義的。
三、相信您還記得，ACL 是一系列 permit 或 deny 語句組成的順序列表，應用於 IP 地址或上層協議。ACL 可以從數據包報頭中提取以下信息，根據規則進行測試，然後決定是「允許」還是「拒絕」。
四、簡單的說，你上網打開網頁，這個簡單的動作，就是你先發送數據包給網站，它接收到了之後，根據你發送的數據包的IP地址，返回給你網頁的數據包，也就是說，網頁的瀏覽，實際上就是數據包的交換。
1、數據鏈路層對數據幀的長度都有一個限制，也就是鏈路層所能承受的最大數據長度，這個值稱為最大傳輸單元，即MTU。以乙太網為例，這個值通常是1500位元組。
2、對於IP數據包來講，也有一個長度，在IP包頭中，以16位來描述IP包的長度。一個IP包，最長可能是65535位元組。
3、結合以上兩個概念，第一個重要的結論就出來了，如果IP包的大小，超過了MTU值，那麼就需要分片，也就是把一個IP包分為多個。
數據包的結構與我們平常寫信非常類似，目的IP地址是說明這個數據包是要發給誰的，相當於收信人地址;
源IP地址是說明這個數據包是發自哪裡的，相當於發信人地址，而凈載數據相當於信件的內容，正是因為數據包具有這樣的結構，安裝了TCP/IP協議的計算機之間才能相互通信。
在使用基於TCP/IP協議的網路時，網路中其實傳遞的就是數據包。

F. 擴展acl匹配過濾需滿足哪些要求

ACL匹配是有順序的，從第一條開始，如果匹配了就不會往下查找。匹配第一條的了回，那第二條也就不會匹答配，另外IP只指IP這個協議,跟這個協議相關的只有TCP,UDP埠，狀態等。如果有1條IPX的條目就不會匹配這兩條，因為不屬於IP這個協議。

G. 思科路由器ACL封堵埠問題 求教

使用擴展ACL就可以：
Router(config)#ip access-list extend TEXT
//定義名字為TEXT的ACL
Router(config-acl)#permit tcp (udp) 源IP 反掩碼 [eq 埠號] 目的IP 反掩碼 eq 埠號
//定義ACL的條目，允許特定訪問埠號
Router(config)#int f0/0（介面號）
Router(config-if)#ip access-group TEXT in(out)
//介面調用名字為TEXT的ACL
1、例子，在介面F0/0上允許任何IP訪問TCP埠80（HTTP埠），其餘均過濾
ip access-list extend per_HTTP
permit tcp any any eq http
deny ip any any
exit
int f0/0
ip access-group per_HTTP in
2、例，在介面F0/0阻止1.1.1.1訪問到2.2.2.2的tcp和udp139埠其餘流量均放行：
access-list 199 deny tcp host 1.1.1.1 host 2.2.2.2 eq 139 //ACL另一種做法
access-list 199 deny udp host 1.1.1.1 host 2.2.2.2 eq 139
access-list 199 permit any any //ACL默認隱式deny any any
int f0/0
ip access-group 199 in

H. 單向ACL訪問控制列表的一些疑問

試試在deny tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
上面或下面加permit tcp 192.168.2.0 0.0.0.255 any

感覺上你這個問題理論上是不存在的，因內為你最後已經容permit any了

I. 火車頭標簽怎麼過濾信息

添加 HTML標簽排除～選擇所有即可

J. 火車頭採集標簽過濾

這個並不復雜，用到火車頭的兩個功能，一個是標簽過濾，一個是循環採集。這兩個功專能在編輯採集屬規則頁面里。

採集規則：

起始：<span>結尾：</span></div> 設置循環採集 設置標簽過濾 把網頁代碼類的都去掉