一、路由器如何进行数据包过滤

数据包是TCP/IP协议通信传输中的数据单位，局域网中传输的不是“帧”吗?
但是TCP/IP协议是工作在OSI模型第三层(网络层)、第四层(传输层)上的，而帧是工作在第二层(数据链路层)。
上一层的内容由下一层的内容来传输，所以在局域网中，“包”是包含在“帧”里的。
一、数据包过滤有时也称为静态数据包过滤，它通过分析传入和传出的数据包以及根据既定标准传递或阻止数据包来控制对网络的访问，当路由器根据过滤规则转发或拒绝数据包时，它便充当了一种数据包过滤器。
当数据包到达过滤数据包的路由器时，路由器会从数据包报头中提取某些信息，根据过滤规则决定该数据包是应该通过还是应该丢弃。数据包过滤工作在开放式系统互联 (OSI) 模型的网络层，或是 TCP/IP 的 Internet 层。
二、作为第3层设备，数据包过滤路由器根据源和目的 IP 地址、源端口和目的端口以及数据包的协议，利用规则来决定是应该允许还是拒绝流量。这些规则是使用访问控制列表 (ACL) 定义的。
三、相信您还记得，ACL 是一系列 permit 或 deny 语句组成的顺序列表，应用于 IP 地址或上层协议。ACL 可以从数据包报头中提取以下信息，根据规则进行测试，然后决定是“允许”还是“拒绝”。
四、简单的说，你上网打开网页，这个简单的动作，就是你先发送数据包给网站，它接收到了之后，根据你发送的数据包的IP地址，返回给你网页的数据包，也就是说，网页的浏览，实际上就是数据包的交换。
1、数据链路层对数据帧的长度都有一个限制，也就是链路层所能承受的最大数据长度，这个值称为最大传输单元，即MTU。以以太网为例，这个值通常是1500字节。
2、对于IP数据包来讲，也有一个长度，在IP包头中，以16位来描述IP包的长度。一个IP包，最长可能是65535字节。
3、结合以上两个概念，第一个重要的结论就出来了，如果IP包的大小，超过了MTU值，那么就需要分片，也就是把一个IP包分为多个。
数据包的结构与我们平常写信非常类似，目的IP地址是说明这个数据包是要发给谁的，相当于收信人地址;
源IP地址是说明这个数据包是发自哪里的，相当于发信人地址，而净载数据相当于信件的内容，正是因为数据包具有这样的结构，安装了TCP/IP协议的计算机之间才能相互通信。
在使用基于TCP/IP协议的网络时，网络中其实传递的就是数据包。

二、路由器对数据包的处理流程

一、Routing Process
　　当一个数据包进入路由器：
　　1、拆去二层帧头；
　　2、进入缓冲区；
　　3、查看目标地址（匹配路由表）；
　　4、重新封装二层帧头；
　　5、转发。
　　二、Switching Process:
　　1、Check framing and buffer packet;
　　查看二层帧，进行CRC校验，层三的数据和头部进入缓冲区（buffer）；
　　2、Check routing table;
　　查路由表，从buffer中拿出目标IP和路由表进行匹配（与运算）；
　　3、Re-Encapsulation layer 2 header;
　　重新封装二层帧头；
　　注： （1）二层帧头包括源MAC地址和目标MAC地址。
　　（2）此时的二层帧头的源MAC已经变为路由器出接口的地址。
　　4、Forwarding from one local interface;
　　转发（从一个本地接口封装）；

三、怎么样才能截获路由器数据包

首先~~路由器是无法截获数据包的。。其次，现在的交换机也无法截获数据包。。。。HUB可以~~当然，还是可以通过其他办法截获到数据包。第一，最方便的，买一个HUB，然后计算机和HUB都连接到路由器上，通过Sniffe软件监听数据。。其次，也是我最喜欢用的。。ARP欺骗，在局域网中将一台计算机冒充路由，然后整个局域网的所有数据包都会发送到这台计算机，然后就等着数据包来找你，当然，这么做意味着整个局域网瞬间断网~ 其其其次。经济允许。买一台高端的Cisco路由。带有路由跟踪功能。这个其实最方便 - -、