轻松配置Cisco IOS防止IP欺骗

采用访问控制列表（ACLS）

　　阻止IP欺骗的最简单方法是对所有互联网数据使用进站过滤。过滤将扔掉所有落入以上IP地址的数据包。换言之，通过创建一张访问控制列表，可以剔除所有来自上述范围内的IP地址的入站数据。

　　这里是一个配置的示例：

　　Router# conf t

　　Enter configuration commands， one per line. End with CNTL/Z.

　　Router（config）# ip access-list ext ingress-antispoof

　　Router（config-ext-nacl）# deny ip 10.0.0.0 0.255.255.255 any

　　Router（config-ext-nacl）# deny ip 172.16.0.0 0.15.255.255 any

　　Router（config-ext-nacl）# deny ip 192.168.0.0 0.0.255.255 any

　　Router（config-ext-nacl）# deny ip 127.0.0.0 0.255.255.255 any

　　Router（config-ext-nacl）# deny ip 224.0.0.0 31.255.255.255 any

　　Router（config-ext-nacl）# deny ip 169.254.0.0 0.0.255.255 any

　　Router（config-ext-nacl）# permit ip any any

　　Router（config-ext-nacl）# exit

　　Router（config）#int s0/0

　　Router（config-if）#ip access-group ingress-antispoof in

　　根据RFC 2267规定，互联网服务提供商（ISP）必须在网络上使用类似这一类的过滤。注意末尾处ACL包含permit ip any any的方式。在“真实世界”中，你的路由器中可能拥有一个状态式防火墙（stateful fireful），它可以保护你的内部局域网。

　　当然你可以在这方面更进一步，即过滤所有来自内网中其他子网的进站信息，以便保证没有人在一个子网内向其它子网进行IP地址欺骗。你还可以实施出站ACL来防止你的网络中的用户仿冒其他网络的IP地址。不过记住这只是整个网络安全策略中的一个方面。