1:filter是过滤掉的意思,就是不要了,respectively就是分别的意思。如果要过滤掉某个协议的信息,只要用ACL就好了。例如
ip access-list extended deny_snmp
deny udp any any eq snmp
permit ip any any
----------------------就是过滤掉了SNMP的一个列表。
2:要是允许的是traceroute 那么过滤列表是
permit icmp any any time-exceed
permit icmp any any port-unreachable
3: 如果是要permit tcp跟BGP连用的话,那么
permit tcp any eq bgp any
permit tcp any any eq bgp
如果是RIP那么直接
permit udp any any eq rip
4:如果要求允许DNS LOOKUPS and ZONE TRANSFER那么访问控制列表的写法是:
permit tcp any any eq domain
permit udp any any eq domain
5:spoof的命令 在端口下
ip verify unicast source reachable-via rx
前提是在全局启用IP CEF
6:如果要求telnet可以出去回来确认,那么在in方向的列表写法应为:
permit tcp any eq telnet any established
7:如果要是匹配二层协议在交换机上面做访问列表,那么直接用mac access-list extend做匹配,然后在用vlan access-group 来match跟动作,最后用vlan filter xx vlan-list xx来应用。
注意的是后面要跟一个默认的语句来做转发,免得过滤掉了所有的VLAN流量。
8:注意一个低级错误不要范,如果是要求用username password的方式验证的话那么注意在line vty 0 4下面一定要记得输入login local,否则无法生效!!
9:有关于数据包分段的限制 在动态访问控制列表里面有:
Extended IP access list no_fragment
10 deny ip any any fragments
20 permit ip any any
这个意思是禁止fragments Check non-initial fragments 非初始化的流量通过。也就是只是允许初始化的时候就分片以及完全没有分片的流量经过!
10:有时候如果需要匹配URL的时候可以用QOS的方法来匹配:
class-map match-all root_exploit
match protocol http url "*root.exe*"
policy-map set_dscp_cs1
class root_exploit
drop
interface fastethernet 1/1
service-policy input set_dscp_cs1
11:如果不让用access-list来完成任务,那么如果可以的话用input端口,在class-map下面,有一个选项就是匹配input端口的。
class-map match-all FROM_SERVER1
match input-interface ethernet 0
12:RFC1918定义的是私有地址,用access-list来写的时候是:
permit ip 10.0.0.0 0.255.255.255 any
permit ip 172.16.0.0 0.15.255.255 any
permit ip 192.168.0.0 0.0.255.255 any
13:复杂的lock and key的动态访问列表,可以考虑将几个line 0------line 1 -4分开使用来完成要求。
14:如果是要求deny某个IP协议号,那么直接用
access-list 1oo deny 103 any any
如果要记录deny的日志 后面加上log就OK了 然后后面加一个logging的服务器地址。
15:如果是要求reflect某个访问列表或者要求,不一定非要用自反列表,有时候是in out方向全部应用这个列表罢了。
16:如果要安静的deny掉一些数据包,那么在端口下敲入
no ip unreachable 这个命令。
17:ip option的命令在ACL当中是有匹配的 deny ip any any option any-options
转载于:https://blog.51cto.com/stame/570718