路由器交换机安全设置有哪些？

  办法一： 只在办理VLAN的接口上设置装备摆设，其它VLAN接口不消设置装备摆设。

在入标的目的放置reflect

ip access-list extended infilter

permit ip any any reflect cciepass

在出标的目的放置evaluate

ip access-list extended outfilter

evaluate cciepass

deny ip 10。

  54。48。0 0。0。0。255 any

deny ip 10。54。49。0。0。0。0。255 any

deny ip 10。54。50。0 0。0。0。255 any

deny ip 10。54。51。0 0。0。0。255 any

permit ip any any

应用到办理接口

int vlan 63

ip access-group infilter in

ip access-group outfilter out

办法二：在办理VLAN接口上不放置任何拜候列表，而是在其它VLAN接口都放。

以办公VLAN为例：

在出标的目的放置reflect

ip access-list extended outfilter

permit ip any any reflect cciepass

在入标的目的放置evaluate

ip access-list extended infilter

deny ip 10。

  54。48。0 0。0。0。255 10。54。49。0 0。0。0。255

deny ip 10。54。48。0 0。0。0。255 10。54。50。0 0。0。0。255

deny ip 10。54。48。0 0。0。0。255 10。

  54。51。0 0。0。0。255

deny ip 10。54。48。0 0。0。0。255 10。54。63。0 0。0。0。255

evaluate cciepass

permit ip any any

应用到办公VLAN接口：

int vlan 48

ip access-group infilter in

ip access-group outfilter out

IP棍骗得简单防护。

  如过滤非公有地址拜候内部收集。过滤本身内部收集地址；回环地址(127。0。0。0/8)；RFC1918私有地址；DHCP自定义地址(169。254。0。0/16)；科学文档做者测试用地址(192。0。2。0/24)；不消的组播地址(224。0。

  0。0/4)；SUN公司的古老的测试地址(20。20。20。0/24;204。152。64。0/23)；全收集地址(0。0。0。0/8)。

Router(Config)# access-list 100 deny ip 192。168。0。

  0 0。0。0。255 any log

Router(Config)# access-list 100 deny ip 127。0。0。0 0。255。255。255 any log

Router(Config)# access-list 100 deny ip 192。

  168。0。0 0。0。255。255 any log

Router(Config)# access-list 100 deny ip 172。16。0。0 0。15。255。255 any log

Router(Config)# access-list 100 deny ip 10。

  0。0。0 0。255。255。255 any log

Router(Config)# access-list 100 deny ip 169。254。0。0 0。0。255。255 any log

Router(Config)# access-list 100 deny ip 192。

  0。2。0 0。0。0。255 any log

Router(Config)# access-list 100 deny ip 224。0。0。0 15。255。255。255 any

Router(Config)# access-list 100 deny ip 20。

  20。20。0 0。0。0。255 any log

Router(Config)# access-list 100 deny ip 204。152。64。0 0。0。2。255 any log

Router(Config)# access-list 100 deny ip 0。

  0。0。0 0。255。255。255 any log

建议接纳拜候列表控造流出内部收集的地址必需是属于内部收集的。如：

Router(Config)# no access-list 101

Router(Config)# access-list 101 permit ip 192。

  168。0。0 0。0。0。255 any

Router(Config)# access-list 101 deny ip any any log

Router(Config)# interface eth 0/1

Router(Config-if)# description “internet Ethernet”

Router(Config-if)# ip address 192。

  168。0。254 255。255。255。0

Router(Config-if)# ip access-group 101 in。