單向屏蔽ICMP ECHO報文

　　1.配置如下的會見節制列表

　　access-list 100 permit icmp any 當地路由器廣域地點 echo

　　access-list 100 deny icmp any any echo

　　access-list 100 permit ip any any

　　2.在路由器相應端口上應用

　　interface

　　ip access-group 100 in

　　列表第一行，是答允外網主機可以PING通我方路由器廣域口地點，便于外網舉辦網絡測試。列表第二行，系克制外網主機提倡的任何ICMP ECHO 報文達到我方網絡主機，杜絕了外網主機提倡的“端口掃描器Nmap ping操縱”。列表第三行答允所有的IP協議數據包通過，是擔保不影響其他各類應用。端口應用上配置在入偏向舉辦應用，擔保了我方網絡主機可PING通外網任意主機，便于我方舉辦網絡連通性測試。

　　防備病毒流傳和黑客進攻

　　針對微軟操縱系統的裂痕，一些病毒措施和裂痕掃描軟件通過UDP端口135、137、138、1434和TCP端口135、137、139、445、4444、5554、9995、9996等舉辦病毒流傳和進攻，可如下配置會見節制列表阻止病毒流傳和黑客進攻。

　　1.配置如下的會見節制列表

　　access-list 101 deny udp any any eq 135

　　access-list 101 deny udp any any eq 137

　　access-list 101 deny udp any any eq 138

　　access-list 101 deny udp any any eq 1434

　　access-list 101 deny tcp any any eq 135

　　access-list 101 deny tcp any any eq 137

　　access-list 101 deny tcp any any eq 139

　　access-list 101 deny tcp any any eq 445

　　access-list 101 deny tcp any any eq 4444

　　access-list 101 deny tcp any any eq 5554

　　access-list 101 deny tcp any any eq 9995

　　access-list 101 deny tcp any any eq 9996

　　access-list 101 permit ip any any

　　2.在路由器相應端口上應用

　　interface

　　ip access-group 101 in

　　說明：在同一端口上應用會見節制列表的IN語句或OUT語句只能有一條，如需將兩組會見列表應用到同一端口上的同一偏向，需將兩組會見節制列表舉辦歸并處理懲罰，方能應用。

　　操作會見節制列表實現QoS

　　針對一些重要業務和非凡應用，利用時要求擔保帶寬，不消時又能將帶寬讓出來給其他應用，可用如下配置會見節制列表和數據包染色技能來實現。

　　1.配置如下的會見節制列表

　　access-list 102 permit ip 網段1IP 子網掩碼 host 處事器1IP

　　access-list 103 permit ip 網段2IP 子網掩碼 host 處事器2IP

　　access-list 104 permit ip 網段3IP 子網掩碼 host 處事器3IP

　　2.數據包染色標志

　　class-map match-all Critical-1

　　match ip dscp 34

　　class-map match-all Critical-2

　　match ip dscp 26

　　class-map match-all Critical-3

　　match ip dscp 35

　　3.數據包染色分類

　　class-map match-any Critical-1

　　match access-group 102 /*匹配會見節制列表102 */

　　class-map match-any Critical-2

　　match access-group 103 /*匹配會見節制列表103 */

　　class-map match-any Critical-3

　　match access-group 104 /*匹配會見節制列表104 */

　　4.計策界說

　　policy-map AA

　　class Critical-1

　　bandwidth percent 10 /*界說保障帶寬為根基帶寬的10% */

　　random-detect dscp-based /*界說路由器帶寬擁塞時的數據包揚棄計策 */

　　random-detect dscp 34 24 40 10

　　/* 界說產生擁塞時DSCP=34數據包的最小丟包率/最大丟包率/揚棄概率別離是：24/40/10 */

　　class Critical-2

　　bandwidth percent 5

　　random-detect dscp-based

　　random-detect dscp 26 24 40 10

　　classs Critical-3

　　bandwidth percent 2

　　random-detect dscp-based

　　random-detect dscp 35 24 40 10

　　5.在路由器相應端口長舉辦計接應用

　　interface Serial0/0

　　service-policy output AA

　　如上配置后，即實現了在端口Serial0/0上切合會見節制列表102的業務保障帶寬是根基帶寬的10%，美國云服務器 韓國vps云主機，切合會見節制列表103的業務保障帶寬為根基帶寬的5%，切合會見節制列表104的業務保障帶寬為根基帶寬的2%。