單向屏蔽ICMP ECHO報(bào)文

　　1.配置如下的會(huì)見節(jié)制列表

　　access-list 100 permit icmp any 當(dāng)?shù)芈酚善鲝V域地點(diǎn) echo

　　access-list 100 deny icmp any any echo

　　access-list 100 permit ip any any

　　2.在路由器相應(yīng)端口上應(yīng)用

　　interface

　　ip access-group 100 in

　　列表第一行，是答允外網(wǎng)主機(jī)可以PING通我方路由器廣域口地點(diǎn)，便于外網(wǎng)舉辦網(wǎng)絡(luò)測(cè)試。列表第二行，系克制外網(wǎng)主機(jī)提倡的任何ICMP ECHO 報(bào)文達(dá)到我方網(wǎng)絡(luò)主機(jī)，杜絕了外網(wǎng)主機(jī)提倡的“端口掃描器Nmap ping操縱”。列表第三行答允所有的IP協(xié)議數(shù)據(jù)包通過，是擔(dān)保不影響其他各類應(yīng)用。端口應(yīng)用上配置在入偏向舉辦應(yīng)用，擔(dān)保了我方網(wǎng)絡(luò)主機(jī)可PING通外網(wǎng)任意主機(jī)，便于我方舉辦網(wǎng)絡(luò)連通性測(cè)試。

　　防備病毒流傳和黑客進(jìn)攻

　　針對(duì)微軟操縱系統(tǒng)的裂痕，一些病毒措施和裂痕掃描軟件通過UDP端口135、137、138、1434和TCP端口135、137、139、445、4444、5554、9995、9996等舉辦病毒流傳和進(jìn)攻，可如下配置會(huì)見節(jié)制列表阻止病毒流傳和黑客進(jìn)攻。

　　1.配置如下的會(huì)見節(jié)制列表

　　access-list 101 deny udp any any eq 135

　　access-list 101 deny udp any any eq 137

　　access-list 101 deny udp any any eq 138

　　access-list 101 deny udp any any eq 1434

　　access-list 101 deny tcp any any eq 135

　　access-list 101 deny tcp any any eq 137

　　access-list 101 deny tcp any any eq 139

　　access-list 101 deny tcp any any eq 445

　　access-list 101 deny tcp any any eq 4444

　　access-list 101 deny tcp any any eq 5554

　　access-list 101 deny tcp any any eq 9995

　　access-list 101 deny tcp any any eq 9996

　　access-list 101 permit ip any any

　　2.在路由器相應(yīng)端口上應(yīng)用

　　interface

　　ip access-group 101 in

　　說明：在同一端口上應(yīng)用會(huì)見節(jié)制列表的IN語句或OUT語句只能有一條，如需將兩組會(huì)見列表應(yīng)用到同一端口上的同一偏向，需將兩組會(huì)見節(jié)制列表舉辦歸并處理懲罰，方能應(yīng)用。

　　操作會(huì)見節(jié)制列表實(shí)現(xiàn)QoS

　　針對(duì)一些重要業(yè)務(wù)和非凡應(yīng)用，利用時(shí)要求擔(dān)保帶寬，不消時(shí)又能將帶寬讓出來給其他應(yīng)用，可用如下配置會(huì)見節(jié)制列表和數(shù)據(jù)包染色技能來實(shí)現(xiàn)。

　　1.配置如下的會(huì)見節(jié)制列表

　　access-list 102 permit ip 網(wǎng)段1IP 子網(wǎng)掩碼 host 處事器1IP

　　access-list 103 permit ip 網(wǎng)段2IP 子網(wǎng)掩碼 host 處事器2IP

　　access-list 104 permit ip 網(wǎng)段3IP 子網(wǎng)掩碼 host 處事器3IP

　　2.數(shù)據(jù)包染色標(biāo)志

　　class-map match-all Critical-1

　　match ip dscp 34

　　class-map match-all Critical-2

　　match ip dscp 26

　　class-map match-all Critical-3

　　match ip dscp 35

　　3.數(shù)據(jù)包染色分類

　　class-map match-any Critical-1

　　match access-group 102 /*匹配會(huì)見節(jié)制列表102 */

　　class-map match-any Critical-2

　　match access-group 103 /*匹配會(huì)見節(jié)制列表103 */

　　class-map match-any Critical-3

　　match access-group 104 /*匹配會(huì)見節(jié)制列表104 */

　　4.計(jì)策界說

　　policy-map AA

　　class Critical-1

　　bandwidth percent 10 /*界說保障帶寬為根基帶寬的10% */

　　random-detect dscp-based /*界說路由器帶寬擁塞時(shí)的數(shù)據(jù)包揚(yáng)棄計(jì)策 */

　　random-detect dscp 34 24 40 10

　　/* 界說產(chǎn)生擁塞時(shí)DSCP=34數(shù)據(jù)包的最小丟包率/最大丟包率/揚(yáng)棄概率別離是：24/40/10 */

　　class Critical-2

　　bandwidth percent 5

　　random-detect dscp-based

　　random-detect dscp 26 24 40 10

　　classs Critical-3

　　bandwidth percent 2

　　random-detect dscp-based

　　random-detect dscp 35 24 40 10

　　5.在路由器相應(yīng)端口長(zhǎng)舉辦計(jì)接應(yīng)用

　　interface Serial0/0

　　service-policy output AA

　　如上配置后，即實(shí)現(xiàn)了在端口Serial0/0上切合會(huì)見節(jié)制列表102的業(yè)務(wù)保障帶寬是根基帶寬的10%，美國(guó)云服務(wù)器 韓國(guó)vps云主機(jī)，切合會(huì)見節(jié)制列表103的業(yè)務(wù)保障帶寬為根基帶寬的5%，切合會(huì)見節(jié)制列表104的業(yè)務(wù)保障帶寬為根基帶寬的2%。