办法一: 只在办理VLAN的接口上设置装备摆设,其它VLAN接口不消设置装备摆设。
在入标的目的放置reflect
ip access-list extended infilter
permit ip any any reflect cciepass
在出标的目的放置evaluate
ip access-list extended outfilter
evaluate cciepass
deny ip 10。
54。48。0 0。0。0。255 any
deny ip 10。54。49。0。0。0。0。255 any
deny ip 10。54。50。0 0。0。0。255 any
deny ip 10。54。51。0 0。0。0。255 any
permit ip any any
应用到办理接口
int vlan 63
ip access-group infilter in
ip access-group outfilter out
办法二:在办理VLAN接口上不放置任何拜候列表,而是在其它VLAN接口都放。
以办公VLAN为例:
在出标的目的放置reflect
ip access-list extended outfilter
permit ip any any reflect cciepass
在入标的目的放置evaluate
ip access-list extended infilter
deny ip 10。
54。48。0 0。0。0。255 10。54。49。0 0。0。0。255
deny ip 10。54。48。0 0。0。0。255 10。54。50。0 0。0。0。255
deny ip 10。54。48。0 0。0。0。255 10。
54。51。0 0。0。0。255
deny ip 10。54。48。0 0。0。0。255 10。54。63。0 0。0。0。255
evaluate cciepass
permit ip any any
应用到办公VLAN接口:
int vlan 48
ip access-group infilter in
ip access-group outfilter out
IP棍骗得简单防护。
如过滤非公有地址拜候内部收集。过滤本身内部收集地址;回环地址(127。0。0。0/8);RFC1918私有地址;DHCP自定义地址(169。254。0。0/16);科学文档做者测试用地址(192。0。2。0/24);不消的组播地址(224。0。
0。0/4);SUN公司的古老的测试地址(20。20。20。0/24;204。152。64。0/23);全收集地址(0。0。0。0/8)。
Router(Config)# access-list 100 deny ip 192。168。0。
0 0。0。0。255 any log
Router(Config)# access-list 100 deny ip 127。0。0。0 0。255。255。255 any log
Router(Config)# access-list 100 deny ip 192。
168。0。0 0。0。255。255 any log
Router(Config)# access-list 100 deny ip 172。16。0。0 0。15。255。255 any log
Router(Config)# access-list 100 deny ip 10。
0。0。0 0。255。255。255 any log
Router(Config)# access-list 100 deny ip 169。254。0。0 0。0。255。255 any log
Router(Config)# access-list 100 deny ip 192。
0。2。0 0。0。0。255 any log
Router(Config)# access-list 100 deny ip 224。0。0。0 15。255。255。255 any
Router(Config)# access-list 100 deny ip 20。
20。20。0 0。0。0。255 any log
Router(Config)# access-list 100 deny ip 204。152。64。0 0。0。2。255 any log
Router(Config)# access-list 100 deny ip 0。
0。0。0 0。255。255。255 any log
建议接纳拜候列表控造流出内部收集的地址必需是属于内部收集的。如:
Router(Config)# no access-list 101
Router(Config)# access-list 101 permit ip 192。
168。0。0 0。0。0。255 any
Router(Config)# access-list 101 deny ip any any log
Router(Config)# interface eth 0/1
Router(Config-if)# description “internet Ethernet”
Router(Config-if)# ip address 192。
168。0。254 255。255。255。0
Router(Config-if)# ip access-group 101 in。