直面自我

一个美国老工程师的心理话: 给年轻工程师的十大忠告

[1]好好规划自己的路，不要跟着感觉走！根据个人的理想决策安排，绝大部分人并不指望成为什么院士或教授，而是希望活得滋润一些，爽一些。那么，就需要慎重安排自己的轨迹。从哪个行业入手，逐渐对该行业深入了解，不要频繁跳槽，特别是不要为了一点工资而转移阵地，从长远看，这点钱根本不算什么，当你对一个行业有那么几年的体会，以后钱根本不是问题。频繁地动荡不是上策，最后你对哪个行业都没有摸透，永远是新手！　　　

[separator]

[2]可以做技术，切不可沉湎于技术。千万不可一门心思钻研技术！给自己很大压力，如果你的心思全部放在这上面，那么注定你将成为孔乙己一类的人物！适可而止为之，因为技术只不过是你今后前途的支柱之一，而且还不是最大的支柱，除非你只愿意到老还是个工程师！　　　

[3]不要去做技术高手，只去做综合素质高手！在企业里混，我们时常瞧不起某人，说他“什么都不懂，凭啥拿那么多钱，凭啥升官！”这是普遍的典型的工程师的迂腐之言。8051很牛吗？人家能上去必然有他的本事，而且是你没有的本事。你想想，老板搞经营那么多年，难道见识不如你这个新兵？人家或许善于管理，善于领会老板意图，善于部门协调等等。因此务必培养自己多方面的能力，包括管理，亲和力，察言观色能力，攻关能力等，要成为综合素质的高手，则前途无量，否则只能躲在角落看示波器！技术以外的技能才是更重要的本事！！从古到今，美国日本，一律如此！　　　

[4]多交社会三教九流的朋友！不要只和工程师交往，认为有共同语言，其实更重要的是和其他类人物交往，如果你希望有朝一日当老板或高层管理，那么你整日面对的就是这些人。了解他们的经历，思维习惯，爱好，学习他们处理问题的模式，了解社会各个角落的现象和问题，这是以后发展的巨大的本钱，没有这些以后就会笨手笨脚，跌跌撞撞，遇到重重困难，交不少学费，成功的概率大大降低！

　[5]知识涉猎不一定专，但一定要广！多看看其他方面的书，金融，财会，进出口，税务，法律等等，为以后做一些积累，以后的用处会更大！会少交许多学费！！　　　

[6]抓住时机向技术管理或市场销售方面的转变！要想有前途就不能一直搞开发，适当时候要转变为管理或销售，前途会更大，以前搞技术也没有白搞，以后还用得着。搞管理可以培养自己的领导能力，搞销售可以培养自己的市场概念和思维，同时为自己以后发展积累庞大的人脉！应该说这才是前途的真正支柱！！！　　　

[7]逐渐克服自己的心里弱点和性格缺陷！多疑，敏感，天真（贬义，并不可爱），犹豫不决，胆怯，多虑，脸皮太薄，心不够黑，教条式思维。。。这些工程师普遍存在的性格弱点必须改变！很难吗？只在床上想一想当然不可能，去帮朋友守一个月地摊，包准有效果，去实践，而不要只想！不克服这些缺点，一切不可能，甚至连项目经理都当不好--尽管你可能技术不错！　　　

[8]工作的同时要为以后做准备！建立自己的工作环境！及早为自己配置一个工作环境，装备电脑，示波器（可以买个二手的），仿真器，编程器等，业余可以接点活，一方面接触市场，培养市场感觉，同时也积累资金，更重要的是准备自己的产品，咱搞技术的没有钱，只有技术，技术的代表不是学历和证书，而是产品，拿出象样的产品，就可技术转让或与人合作搞企业！先把东西准备好，等待机会，否则，有了机会也抓不住！　　　

[9]要学会善于推销自己！不仅要能干，还要能说，能写，善于利用一切机会推销自己，树立自己的品牌形象，很必要！要创造条件让别人了解自己，不然老板怎么知道你能干？外面的投资人怎么相信你？提早把自己推销出去，机会自然会来找你！搞个个人主页是个好注意！！特别是培养自己在行业的名气，有了名气，高薪机会自不在话下，更重要的是有合作的机会...　　　

[10]该出手时便出手！永远不可能有100%把握！！！条件差不多就要大胆去干，去闯出自己的事业，不要犹豫，不要彷徨，干了不一定成功，但至少为下一次冲击积累了经验，不干永远没出息，而且要干成必然要经历失败。不经历风雨，怎么见彩虹，没有人能随随便便成功！

 

 

据华盛顿邮报、纽约时报、雅虎及其它媒体综合资料，Google AdSense推出至今已经让很多人取得了丰厚的收入，而全球Google AdSense发布者中有8位的收入明显超过了其他人，以下是这些发布者的排名。

主演：车太贤、全智贤

我和她从一个门登上开往仁川的地铁。如果不是醉得东倒西歪，还真是一个蛮有魅力的女孩。哈哈！好特别呀。我看她醉醺醺、头重脚轻的样子挺可爱，就偷偷地盯着她看。突然，她令人不安地微微颤抖起来，终于呼啦~，呜！没错，她对着前面秃顶大叔的脑袋吐了起来！！车厢内整个乱了套了，嘿，真是有趣极了。故事就这么开始了。吐乾净后，她迷迷糊糊地瞅着我说一声“亲爱的”就扑通倒在了我的怀中。其实我觉得这女孩挺不错。不知怎地，她象是受到沉重的失恋之痛。怪可怜的。我的心也好像凉了起来。好，我就当一次医生，治一治她内心的伤痛。如果想知道河水到底有多深，她就可以毫不犹豫地把你推倒河里！但是如果我掉进水里，她也可以二话不说地跳进水里就我。如果我想对付对付地混过她的生日，我就可能会被杀死！但是，我被抓为人质时，她也可以冒着生命危险救我！最近她经常会笑。看着她晴朗的笑脸，我无限幸福。我是否能成为她的依靠，对此我没有把握。我似乎从来没有给过她什么，也没有安抚过她什么。今天我们怀着一片真心装入了“时间保险箱”，这个保险箱将在两年后启开。两年后，在它开启的时候，我们将再次印证我们的真心。她就是这样代替了分手宣言。就像今天分手，明天相会，我们坚信分手后一定会再次相见。只不过今天和明天的距离并不很短暂……我相信。

    1.更改telnet登录慢的问题：cd /etc vi resolv.conf将里面内容清空

    2.更改root用户不能直接远程登录问题：cd /etc cd pam.d vi login注释掉这行#auth required pam_securetty.so //该行注释掉

    3.挂接USB移动硬盘将移动硬盘挂上。

    #df 查看Linux下硬盘盘符mount /dev/sda1 /mnt/usb （举例）

    5.更改Linux启动时用图形界面还是字符界面cd /etc vi inittab将id：5：initdefault： 其中5表示默认图形界面改id：3： initdefault： 3表示字符界面

Router#show interface e0/0 Ethernet0/0 is up, line protocol is down Hardware is AmdP2, address is 0009.4375.5e20 (bia 0009.4375.5e20) Internet address is 192.168.1.53/24 MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec, reliability 172/255, txload 3/255, rxload 39/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) ARP type: ARPA, ARP Timeout 04:00:00 Last input never, output 00:00:07, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue :0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 0 packets input, 0 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 input packets with dribble condition detected 50 packets output, 3270 bytes, 0 underruns 50 output errors, 0 collisions, 2 interface resets 0 babbles, 0 late collision, 0 deferred 50 lost carrier, 0 no carrier 0 output buffer failures, 0 output buffers swapped out

[separator]

(1) 接口和活动状态 在上面的显示中，内容表示硬件接口是活动的，而处理行协议的软件过程相信次接口可用。如果路由器操作员拆卸此硬件接口，第一个字段将显示信息is administratively down.如果路由器在活动间隔内收到5000个以上的错误，单词Disabled将出现在此字段中，以显示连路由器自动禁用此端口。行协议字段还显示以 前提到的三个描述之一：up 、down、administratively down.如果字段项是up,则表示处理行协议和软件过程相信此接口可用，因为她正在接收keepalives的目的也是如此，其他设备可以确定某个空闲 连接是否仍然活动。对于以太网接口，Keepalives的默认值是10s。我们不久将注意到，Keepalives设置可以通过为特定接口使用show interfaces命令来获得。可以用keepalive interface 命令来改变keepalives 设置。此命令的格式如下： Keepalive seconds (2) 硬件字段为你提供接口的硬件类型。在以上的例子中，硬件是CISCO扩展总线(CxBus)以太网，即接口处理器的533-Mbps数据总线。因此，硬件 通知我们高速CxBus接口处理器用于支持以太网连接。同时还要注意显示字段包括接口的Mac地址。Mac是48位长的。因为Mac地址的头24位是表示 生产厂家ID，所以十六进制数00-10-79是由IEEE分配给Csico的标识符。 (3) Internet地址 如果某个接口是为IP路由配置，那么将为它分配一个Internet地址。此地址后面是他的子网掩码。IP地址是205.141.192.1/24 。反斜杠(/)后面表示此地址的头24位表示网络，他等于子网掩码255.255.255.0。 (4) MTU 最大传输单元（MTU）表示运行在接口上的协议的信息字段所支持的最大字节数。因为以太网桢的信息字段的最大长度是1500字节，所以它的MTU显示为 1500字节。对于几乎所有的以太网应用程序，默认的1500字节MTU应该是有效的。对于令牌环，默认的MTU值为8192字节；但是应该注意的一点是 RFC1191建议的MTU值为16-Mbps令牌环选择17 914的，而为4-Mbps令牌环选择4464字节。 最小的MTU是64个字节，而最大的值是65535字节。如果IP数据报超过最大的 MTU，将对它进行分段，这将增加额外开销，因为每个最后的数据报都包含它自己的报头。虽然在高速LAN连接中，通常无需担心与分段有关的额外开销，但在 低速串行接口上，这可能会是一个比较严重的问题。可以用MTU interface命令来改变默认的MTU，此命令格式如下： mtu bytes 字节数可以是从64~6553。 (5) BW 接口带宽(BW)通常指的是接口的运行速率，用每秒千字节表示。因为以太网运行速率为10Mbps，所以BW值显示为10 000Kb。 可以用Bandwidth命令设置信息带宽值，但实际上不用它来调整接口的带宽，因为对于某些类型的介质，如以太网，带宽是固定的。对于其他的介质，如串 行线，通常通过调整硬件来调整其运行速率。例如通过DSU/CSU上设置不同的时钟速率来提高或降低串行接口的运行速率。因此，bandwidth命令主 要目的是使当前带宽与高层协议通信。 可以通过以下命令格式设置带宽值，千位表示以千位每秒表示的带宽。 Bandwidth kilobits (6) DLY 此字段表示接口的延迟，用微秒表示。以太网的延迟（DLY）为1000s。可以使用delay interface命令为接口设置延迟值。此命令的格式如下： delay tens-of-microseconds (7) 可靠性 可靠性字段表示接口的可靠性，用255分之几表示。此字段 中所显示的值由在5分钟内的幂平均值计算。因为以太网为每个桢计算CRC，所以可靠性是基于CRC错误率，而不是位错误率。255/255表示接口在5分 钟内100%可靠。 虽然没有可靠性命令，可以考虑定期使用的一个重要命令是clear conuter EXEC命令。此命令的功能是清楚或重置接口计数器。此命令的一般格式取决于正在使用的路由器。下面显示的是第二种格式用于Cisco7000系列产品： clear counter [type number] clear counter [type slot/port] type表示特定的接口类型。如果你不指定特定接口，所有接口的计数器都被清除。 (8) 负载 接口上的发送和接收负载均显示为255分之几。与可靠性字段类似，负载字段也是计算5分钟内的幂平均值。从上面可以看出，发送(Txload)负载表示为 3/255，而接收(rxload)负载为39/255。因为以太网运行速率为10Mbps，所以可以通过将每分数乘以运行速率来获得接口活动的一般指 示。这是因为每个以太网桢都至少有26个额外字节，而当信息字段少于45字节时，将使PAD字符添加到信息字段中。 (9) 封装 此字段表示分配给接口的封装方法。在上面的例子中，封装显示为ARPA，他的标准的以太网2.0版封装方法。其他封装方法还包括IEEE 802.3以太网的关键字iso1,以及IEEE 802.3桢的关键字snap（子网访问协议）桢变异。 (10) 回送 回送字段表示接口是否处于运行的回送模式。如果设置回送，这是当技术人员夜间将接口放入回送接口进行测试，而忘了重置回送时发生的常见问题，这会导致第二 天早上会有一些有趣的电话打到控制中心。 可以使用Loopback interface设置命令将接口置于运行的回送模式。Loopback命令没有参数，应使用no Loopback命令删除或禁用回送。以下例子显示了将以太网接口设置为回送模式。 Interface ethernet0/0 Loopback 可以使用show interface loopback EXEC命令查看回送的状态。如果你的路由器有大量的接口，并且技术人员进行定期检测，那么在一大早使用次命令以避免不必要的问题是一个不错的主意。 (11) ARP类型 此字段表示分配的地址解析协议（ARP）类型。在IP环境中，ARP类型是ARPA。默认情况下，以太网接口使用ARPA关键字以指定IP接口上的 ARPA封装。可以通过使用arp interface 命令将封装更改为HP PROBE或SNAP，此命令格式如下： arp {arpa/probe/snap} 请注意HP Probe被IOS用于试图解析IEEE802.3或以太网本地数据连路地址。应将ARP类型设为probe,以使得一个或多个路由器接口透明地与使用称 为”虚拟地址请求和回复”的地址解析技术的HP IEEE802.3 主机通信。 (12) ARP 超时 此字段表示当非活动时，ARP项在清洗之前保留于缓存中的时间长度。ARP超时的默认值为4个小时，如上面例子所示： 可以通过使用ARP timeout命令调整 ARP缓存项在缓存中的时间长度。此命令格式如： arp timeout seconds (13) 最后的输入和输出 此字段表示最后一个分组或侦被接口成功接收或发送以来的小时、分钟和秒数。可以使用此字段中的值确定活动接口是否依然激活或者死接口何时出现故障。关于前 者，在第一个show interface 命令指示接口新的最后输出(这还可以指示是否有问题发生)后10秒或1分钟，再输入第二个show interface命令。它还表示如果出现问题，并非由于无法接收分组。例如，上面的例子中，最后一个成功输入发生在2秒之前。如果我们等待几秒，并发布 又一个show interface命令，就可以获得对此计数器的更新。 (14) 输出中断 输出中断字段表示自接口由于发送时间太长而进行最后一次重置以来的时间。此字段的值用小时、分钟和秒数指定，或者如果未发生中断(hang)情况，将永不 显示。如果自最后一次重置以来的小时数超过24，将显示天数和小时数，直到字段益出。当发生此情形时，将在此字段中显示星号(*)。 (15) 最后一次清除 此字段表示测量累计统计信息的接口计数器最后一次被重置为0的时间。清除会影响几乎所以的统计信息，除了诸如负载和可靠性等路由统计信息之外。 最后一次清除所显示的实际值是基于32位ms计数器的使用。显示星号表示经过的时间太长无法显示，而显示0:00:00表示计数器在2的31次幂ms到2 的32次幂ms之前清除。在许多路由器上最后一次清除值将以星期和月或日和小时表示。例如，在上面的例子里，show interfaces计数器最后一次清除显示为1w2d。 (16) 排队策略 此字段表示分配给接口的配对策略。默认为先入后出(First in first out ,FIFO)。如果以前为接口分配了优先级配对方式，将在此字段中列出此配对方法。
(17) 队列消息
 对于输出和输入队列，显示为m/n形式的一队数字，随后是由于队列已满而丢失的分组数。这里替代了m的值表示队列中的分组数，而替代n的值表示用分组表 示最大队列大小。通过检查丢失的分组数以及在一段时间内m和n之间的关系，就可以确定是否需要建议对特定接口的队列长度进行调整以减少丢失的分组。但是， 还应考虑与接口相连的介质和使用级别，以确定对输出队列长度进行调试是否有益。使用率高的介质最有可能引起队列中分组的丢失：路由器在传输数据时，将遭遇 困难，从而导致输出分组排队，而这反过来导致当输出队列已满，且有其他分组到达以便通过接口传输到介质时出现分组丢失。在输入方，丢失的分组和m和n的较 大比值表示路由器正忙于进行其他工作，而无法适时地处理进入的分组。如果次情形持续的时间比较长，则通常表示需要一个更强大的路由器以满足工作需要。通 常，此情形可通过许多路由器接口的进入方向上的大量丢失的分组而观察到。在上面的 show interfaces中队列信息字段值显示目前任一队列中均无分组。而且，虽然输出队列已满而造成63个分组丢失，但没有分组由于输入队列而丢失。后者是 一种常见情形，因为大多数路由器（除非配置过度）不应该在处理进入的数据方面有问题。 (18) 5-分钟I/O速率
 下一个字段显示在前5分钟通过接口发送和接收的平均位数和平均分组数。当解释在此字段中显示的数据时，必须考虑几个因素。首先，必须考虑接口的运行模式 和接口相连的网络的配置。例如，如果接口是LAN接口，则即可以运行在混乱模式，从而度曲LAN上的每一侦，也可以运行在非混乱模式，即仅读取广播榛和直 接投递到接口的桢。  如果端口处于混乱模式，则读取所有的分组，并提供一种测试在网络中流动的数据的方法。如果接口不处于混乱状态，则仅对她发送和接收的流量有感觉，这可能 只占网络中所有流量的一小部分。  考虑到网络配置，如果接口连接到只有一个站的LAN，如WEB服务器，那么所有的流量将流经路由器的接口。这意味着可以获得一种相对准确的测试网络活动 方法，而无需考虑接口所处的模式。  需要考虑的另一个因素是5分钟I/O速率表示5分钟时间常数的幂平均值之一事实。因此，任意一个5分钟I/O速率都是这段时间内每秒流量的大概值。但是 4个5分钟的时间跨度所产生的平均值将在20分钟的统一流量的即时速率的2%以内。  因为分组的长度可变，所以每秒位率通常比从传输介质角度检查接口上的活动更有用。在上面的例子中，输入速率1 540 000bps约表示接口运行速率的1/6。你可能会感到奇怪，为什么输入速率比接口输出速率大将近一个数量级，回答在于接口的连接。在这一特定的路由器使 用环境中，以太网接口连接到一个只具有一个另外的站（即公司WEB服务器）的10BASE-T  LAN。WEB页请求以统一资源定位器（URL）的形式流动，而对URL请求的响应是WEB页；这解释了为什么输入和输出方向上的流量级别不成正比。现 在，我们了解了5分钟I/O速率，接下来让我们介绍可为某个接口显示的特定分组的输入和输出信息。
(19) 分组和字节输入
 此字段首先表示路由器接收的无错误分组的总数量。其次，它还表示路由器接收的无错误分组的总字节数。
 如果用字节数除以分组数，就可以获得字节表示的平均分组长度。此信息可用于为在接口上流动的流量类型提供一般表示。例如，相对短的分组通常传输交互式的查询/响应流量，而相对长的分组通常传输包括WEB页的文件及包含在大多数这些页中的图形。
(20) 无缓冲
 无缓冲字段表示接口所接收的、由于路由器缺乏缓冲空间而不得不丢弃的分组数。不要将此缓冲空间与接口的内部缓冲弄混。当出现连续的“无缓冲”情形时，通常表示路由器需要更多的内存。但是，如果定期遇到no  buffers值，则可能是由于LAN上的广播风暴或者串行端口上的噪音发作所致。可以通过检查下一字段确定出现无缓冲值的原因是否属于广播风暴所致。
(21) 接收的广播
 此字段表示接口所接收的广播或多播分组的总数量。要注意的重要一点是许多广播是自然通信过程的一部分。例如，用于将第三层IP地址解析为第2层Mac地 址的ARP取决于发放一个广播，以查询与必须获得的第3层地址相关的第2层地址的LAN的每一站，如此才能正确形成侦来传递分组。同样，在Novell IPX环境中，服务器每30s广播服务声明协议(SAP)分组。这些定义了服务器所提供的服务。
 如果你是严格的IP环境，那么更有可能从ARP请求获得一部分广播。如果你具有以来于时间的应用程序，那么确确实实可以通过为运行以来于时间的应用程序 将固定项设置为路由器的ARP缓存，从而用一个动作解决两个问题。这样做不仅可以避免路由器必须执行ARP操作，还允许解析过程通过检查内存而发生，这比 等待广播的响应快得多。因为数据流量在ARP广播期间中断，所以减少ARP广播能够提高接口的信息传输功能。因为ARP表在路由器内部维护。 (22) Runts
 Runt是一个错误情形术语，与它相关的分组长度小于某个协议相关的最小长度。在以太网环境中，最小分组长度在适配卡上是64字节，而在LAN上是72 字节。因此，如果某个接口接收到以太网分组小于72字节，那么它将是一个错误情形，分组将被丢弃。通常，冲突可以引起Runt的产生，而出现故障的适配卡 也可以引起此情形的发生。 (23) Giants
 Giants是又一个错误情形。它表示分组超过了协议最大分组长度。在以太网环境中，适配卡的最大分组长度是1518字节，而在网络中流动的分组最大长 度为1526字节。因此长度（包括前导码和起始界符字段）超过1526字节的分组被视为Giant。这样的分组也会被丢弃，而Giant 数表示由于此情形而丢弃的分组数。导致Giant分组的通常原因是滞后冲突或适配卡出现故障。
(24) Throttles
 虽然这样情形很少发生，但是如果路由器察觉缓冲或处理器过载，将关掉它的接收器。这一情形称为Throttles，而实际并非通信问题。相反，它是一个路由器功能问题，要求你检查系统缓冲及处理器的状态。如果使用show  interfaces命令时指示有大量的“无缓冲”和Throttle，那么通常表示应考虑给路由器添加内存

源码:
--------------------------------------------------------------------------
hostname Perimeter-Router              ! 路由器名称
enable secret ena-secret                ! 特权访问口令为 ena-secret

interface serial 0                     ! 定义接口
description To The Internet           ! 目的描述

[separator]

ip address 161.71.73.33 255.255.255.248       ! 设置IP地址
ip access-list 101 in                           ! 定义入站过滤器
ip access-list 102 out                             ! 定义出站过滤器
access-list 101 permit tcp any any established Note 1   ! 允许所有tcp业务流入，会话始于园区网内

access-list 101 permit tcp any host 144.254.1.3 eq ftp   ! 允许 ftp 到不洁网
                                                                      access-lsit 101 permit tcp any host 144.254.1.3 eq    ! 允许 ftp 数据到不洁网中的ftp服务器

access-list 101 deny ip 127.0.0.0 0.255.255.255 any     ! 阻止来自Internet并以RFC
access-list 101 deny ip 10.0.0.0 0.255.255.255 any       !保留地址为源的数据包入站
access-list 101 deny ip 172.16.0.0 0.240.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny icmp any any echo-reply              ! 拒绝任何应答
access-list 101 deny icmp any any host-unreachable      ! 拒绝任何无法接通的主机
access-list 101 deny udp any any eq snmp                  ! 拒绝引入的SNMP
access-list 101 deny udp any eq 2000                        ! 拒绝引入的openwindows access-list 101 deny udp any any gt 6000                   ! 拒绝引入的X-windows
access-list 101 deny tcp any any eq 2000                     ! 拒绝引入的openwindows access-list 101 deny tcp any any gt 6000                     ! 拒绝引入的X-windows
access-list 101 deny udp any any eq 69                        ! 拒绝引入的tftpd
access-list 101 deny udp any any eq 111                       ! 拒绝引入的SunRPC
access-list 101 deny udp any any eq 2049                      ! 拒绝引入的NFS
access-list 101 deny tcp any any eq 111                       ! 拒绝引入的SunRPC
access-list 101 deny tcp any any eq 2049                      ! 拒绝引入的 NFS
access-list 101 deny tcp any any eq 87                        ! 拒绝引入的连接
access-list 101 deny tcp any any eq 512               ! 拒绝引入的 BSD UNIX “r”指令
access-list 101 deny tcp any any eq 513               ! 拒绝引入的 BSD UNIX “r”指令
access-list 101 deny tcp any any eq 514               ! 拒绝引入的 BSD UNIX “r”指令
access-list 101 deny tcp any any eq 515                ! 拒绝引入的 lpd
access-list 101 deny tcp any any eq 540                ! 拒绝引入的  uucpd
access-list 101 permit ip any any             ! 其它均允许

access-list 102 permit ip 144.254.0.0 0.0.255.255 any           ! 只允许有源的包
access-list 102 deny ip any any                           ! 园区网到Internet的地址

aaa new-model                                         ! 在全范围实现AAA
aaa authentication login default tacacs+        !默认登录方法经由 tacacs+
aaa authentication login staff tacacs+ local   !通过tacacs+鉴别工作人员用户名... 如果无法连接服务器，退而求其次的方法是本地鉴别
aaa authorization exec tacacs+ local           ! 鉴别通过后，授权运行 exec shell
aaa authorization commands 0 tacacs+ none               ! 鉴别与指定特权等级相关的运行模式指令
aaa authorization commands 1 tacacs+ none     ! 如果无可用的tacacs+ 服务器， aaa authorization commands 15 tacacs+ local   ! 15级权限指令就需要本地鉴别，其它不需要任何鉴别
aaa accounting update newinfo                    ! 每当有新的记帐信息需要报告时，中间记帐记录将被送到服务器
aaa accounting exec start-stop tacacs+         ! 对终端会话进行记帐
aaa accounting network start-stop tacacs+     ! 对所有 PPP, SLIP和ARAP连接记帐
username staff password 7 staffpassword       ! 创建本地口令并以加密格式存储
tacacs-server host 144.254.5.9                  ! 定义tacacs+ 服务器地址
tacacs-server key thisisasecret                 ! 定义共享的 tacacs+ 密码

line con 0
exec-timeout 5 30                        ! 确认控制台会话结束时间
login authentication staff             ! 只有用户名工作人员可接入控制台
line aux 0
transport input none                     ! 没有telnet进入
no exec                                                         ！该端口没有得到运行提示
line vty 0 3
exec-timeout 5 30                        ! 确认 telnet 会话结束时间
login authentication default           ! 通过 tacacs+ 登录鉴别
privilege level 15                       ! 获得15级权限
line vty 4
exec-timeout 5 30                        ! 确认 telnet 会话结束时间
login authentication staff             ! 鉴别为工作人员
rotary 1
privilege level 1
logging on                                 ! 开启syslog
logging 144.254.5.5                      ! 定义syslog服务器地址
logging console information             ! 定义登录的信息