我理解 BVI 非常类似于网络交换机。但它的优点是可以拥有访问控制列表。
我正在这样做,但我想更有效地区分传入和传出。现在,我所能做的就是 IP 地址。
如何添加针对 IP 欺骗的保护?我想阻止 WAN 端口(FastEthernet4)上的某人使用仅应存在于 LAN 端口的 IP 地址之一。
答案1
在 BVI 桥接的物理设备上应用入站过滤器。
bridge irb
!
interface WAN INTERFACE
no ip address
bridge-group 1
ip access group 101 in
!
interface BVI 1
IP CONFIG GOES HERE
!
bridge 1 route ip
!
access-list 101 deny ip YOUR IPS any log
access-list 101 permit ip any any