1:filter是过滤掉的意思,就是不要了,respectively就是分别的意思。如果要过滤掉某个协议的信息,只要用ACL就好了。例如

ip access-list extended deny_snmp

 deny udp any any eq snmp

 permit ip any any

----------------------就是过滤掉了SNMP的一个列表。

2:要是允许的是traceroute 那么过滤列表是

permit icmp any any time-exceed

permit icmp any any port-unreachable

3: 如果是要permit tcp跟BGP连用的话,那么

permit tcp any eq bgp any

permit tcp any any eq bgp

如果是RIP那么直接

permit udp any any eq rip

4:如果要求允许DNS LOOKUPS and ZONE TRANSFER那么访问控制列表的写法是:

permit tcp any any eq domain

permit udp any any eq domain

5:spoof的命令 在端口下

ip verify unicast source reachable-via rx

前提是在全局启用IP CEF

6:如果要求telnet可以出去回来确认,那么在in方向的列表写法应为:

permit tcp any eq telnet any established

7:如果要是匹配二层协议在交换机上面做访问列表,那么直接用mac access-list extend做匹配,然后在用vlan access-group 来match跟动作,最后用vlan filter xx vlan-list xx来应用。

注意的是后面要跟一个默认的语句来做转发,免得过滤掉了所有的VLAN流量。

8:注意一个低级错误不要范,如果是要求用username password的方式验证的话那么注意在line vty 0 4下面一定要记得输入login local,否则无法生效!!

 9:有关于数据包分段的限制 在动态访问控制列表里面有:

Extended IP access list no_fragment
    10 deny ip any any fragments
    20 permit ip any any

这个意思是禁止fragments   Check non-initial fragments 非初始化的流量通过。也就是只是允许初始化的时候就分片以及完全没有分片的流量经过!

10:有时候如果需要匹配URL的时候可以用QOS的方法来匹配:

class-map match-all root_exploit

      match protocol http url "*root.exe*"

policy-map set_dscp_cs1

    class root_exploit

           drop

interface fastethernet 1/1

  service-policy input set_dscp_cs1

11:如果不让用access-list来完成任务,那么如果可以的话用input端口,在class-map下面,有一个选项就是匹配input端口的。

class-map match-all FROM_SERVER1

 match input-interface ethernet 0

12:RFC1918定义的是私有地址,用access-list来写的时候是:

permit ip 10.0.0.0 0.255.255.255 any

permit ip 172.16.0.0 0.15.255.255 any

permit ip 192.168.0.0 0.0.255.255 any

13:复杂的lock and key的动态访问列表,可以考虑将几个line 0------line 1 -4分开使用来完成要求。

14:如果是要求deny某个IP协议号,那么直接用

access-list 1oo deny 103 any any

如果要记录deny的日志 后面加上log就OK了 然后后面加一个logging的服务器地址。

15:如果是要求reflect某个访问列表或者要求,不一定非要用自反列表,有时候是in out方向全部应用这个列表罢了。

 16:如果要安静的deny掉一些数据包,那么在端口下敲入

no ip unreachable 这个命令。

17:ip option的命令在ACL当中是有匹配的 deny ip any any option any-options