| |
2、使用访问控制列表(ACL)过滤RFC 1918中列出的所有地址
参考以下例子:
interface xy
ip access-group 101 in
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 permit ip any any
3、参照RFC 2267,使用访问控制列表(ACL)过滤进出报文
参考以下例子:
-- ISP端边界路由器 -- 客户端边界路由器 --
ISP端边界路由器应该只接受源地址属于客户端网络的通信,而客户端网络则应该只接受源地址未被客户端网络过滤的通信。以下是ISP端边界路由器的访问控制列表(ACL)例子:
access-list 190 permit ip any
access-list 190 deny ip any any [log]
interface
ip access-group 190 in
以下是客户端边界路由器的ACL例子:
access-list 187 deny ip any
access-list 187 permit ip any any
access-list 188 permit ip any
access-list 188 deny ip any any
interface
ip access-group 187 in
ip access-group 188 out
如果打开了CEF功能,通过使用单一地址反向路径转发(Unicast RPF),能够充分地缩短访问控制列表(ACL)的长度以提高路由器性能。为了支持Unicast RPF,只需在路由器完全打开CEF;打开这个功能的网络接口并不需要是CEF交换接口。
|
|
|
| 【收藏】【打印】【进入论坛】 |
|
|
|
|
| |
|
|
|
