深入理解路由与远程访问服务中的筛选器与基本防火墙.docVIP

IP筛选器的属性如下图所示，你可以通过源网络、目标网络和协议来对IP数据包进行筛选器；你可以只设置源IP网络或目标网络，或者都不设置，根据协议来进行筛选。 对于源网络和目标网络的匹配，RRAS是按照以下原则进行： 将IP数据包的源IP地址和目的IP地址分别与IP筛选器中设置的源网络和目标网络的子网掩码进行相与操作，然后再和IP筛选器中的源网络的IP地址和目的网络的IP地址进行比较。 因此，对于筛选器的设置，子网掩码中设置为“0”的位，在IP地址中必须设置为“0”。这是为什么呢？因为在相与操作中，与“0”相与永远为“0”，因此任何IP地址和子网掩码的“0”位相与后均为“0”。而如果你设置的筛选器中IP地址对应的位却设置为“1”，那么你的筛选器将永远都得不到匹配，因此此筛选器就没有任何作用。如果你设置错误，则RRAS会提示你输入的IP地址和子网掩码不兼容，如下图所示： 因此，定义源网络和目标网络的方法为： 定义某个IP地址时，使用子网掩码55。例如定义源网络为IP地址，应采用子网掩码55；而/24网络的子网广播地址，应采用IP地址55、子网掩码55来定义。 定义某个网络时，在子网掩码为“0”的位设置IP地址位为“0”。例如要定义网络/24，则采用IP地址、子网掩码来定义；要定义网络92/27，则采用IP地址92、子网掩码24来定义。 你还可以通过协议来进行筛选。在IP筛选器