Я понимаю, что BVI очень похож на сетевой коммутатор. Но он включает в себя возможность иметь список управления доступом.
Я делаю это, но мне хотелось бы более эффективно различать входящие и исходящие. Сейчас все, что мне нужно, - это IP-адрес.
Как мне добавить защиту от подмены IP? Я хотел бы запретить кому-либо на порту WAN (FastEthernet4) использовать один из IP-адресов, которые должны существовать только в порту LAN.
Примените входящие фильтры к физическому устройству, подключенному BVI.
bridge irb
!
interface WAN INTERFACE
no ip address
bridge-group 1
ip access group 101 in
!
interface BVI 1
IP CONFIG GOES HERE
!
bridge 1 route ip
!
access-list 101 deny ip YOUR IPS any log
access-list 101 permit ip any any