思科认证考试辅导:路由器常用ACL和一些简单防护简介0 f1 {( Z6 P6 ]# e, D; E b- C U
1 IP欺骗简单防护。如过滤非公有地址访问内部网络。过滤自己内部网络地址;回环地址(127.0.0.0/8);RFC1918私有地址;DHCP自定义地址 (169.254.0.0/16);科学文档作者测试用地址(192.0.2.0/24);不用的组播地址(224.0.0.0/4);SUN公司的古老的测试地址(20.20.20.0/24;204.152.64.0/23);全网络地址(0.0.0.0/8)。# b }( `0 v- m+ V' G- J
Router(Config)# access-list 100 deny ip 127.0.0.0 0.255.255.255 any
( W4 V, c/ I& E6 \/ H" yRouter(Config)# access-list 100 deny ip 192.168.0.0 0.0.255.255 any/ V( y7 t* ^' `0 p& D' S
Router(Config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any! i( [1 x$ A0 g' r R) l4 O+ M
Router(Config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any
& a8 z0 U; H* l# ^3 i3 j0 u& t! S, u0 ]Router(Config)# access-list 100 deny ip 169.254.0.0 0.0.255.255 any
+ f. B) |; |& mRouter(Config)# access-list 100 deny ip 192.0.2.0 0.0.0.255 any# B) ?9 @+ Q( }- a
Router(Config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 any" J9 x0 B+ k" e1 B
Router(Config)# access-list 100 deny ip 20.20.20.0 0.0.0.255 any- }; d! s7 r0 @0 ?2 b: W) {
Router(Config)# access-list 100 deny ip 204.152.64.0 0.0.2.255 any# v y0 a9 ^5 A2 W3 O9 k
Router(Config)# access-list 100 deny ip 0.0.0.0 0.255.255.255 any
# f, ^: v, t. P5 \Router(Config)# access-list 100 permit ip any any
# e* d5 y/ q5 x2 xRouter(Config-if)# ip access-group 100 in* w2 w0 l* o1 D
2 建议采用访问列表控制流出内部网络的地址必须是属于内部网络的。(可选)如:9 F1 s4 ~% w7 h- s
Router(Config)# no access-list 101
: \" J3 i% w9 z: h0 NRouter(Config)# access-list 101 permit ip 192.168.0.0 0.0.255.255 any$ G G& Y# H5 f! l
Router(Config)# access-list 101 deny ip any any6 K6 G) @% @: G5 S, m- ~
Router(Config)# interface eth 0/1! K$ _: x3 y. W# u5 i4 ~
Router(Config-if)# description “internet Ethernet”
" w7 g0 {' {8 J9 B. LRouter(Config-if)# ip address 192.168.0.254 255.255.255.0
( [! Y* e$ Y7 d/ \0 K4 N5 kRouter(Config-if)# ip access-group 101 in |