思科ADSL/PPPoE拨号 封禁IP完整配置

# 思科ADSL/PPPoE拨号（Dialer接口）封禁 206.82.0.0/16 完整配置
## 核心原理
ADSL拨号虚拟接口 `Dialer1` 是外网接口，**`in` 方向过滤公网主动流入的流量**，用**扩展ACL（100~199）** 精准阻断源网段 `206.82.0.0/16` 所有访问内网的数据包，不影响内网主动向外访问该网段。

### 网段反掩码换算
`206.82.0.0/16` 掩码 `255.255.0.0` → 反掩码 `0.0.255.255`

## 完整可复制配置（适配你现有Dialer1拨号环境）
```ios
conf t
! 1. 创建扩展ACL，拒绝206.82.0.0/16公网主动访问内网
access-list 160 deny ip 206.82.0.0 0.0.255.255 any log
! 放行所有其他公网正常流量（ACL末尾隐含deny any，必须加permit ip any any）
access-list 160 permit ip any any

! 2. 绑定到ADSL拨号外网接口Dialer1，入站过滤in（公网进来的包）
interface Dialer1
 ip access-group 160 in
exit
end
```

## 两种需求区分（按需选择）
### 需求1：仅禁止206.82.0.0/16 主动连入你的内网（推荐上面配置）
- 效果：公网 `206.82.x.x` 无法发起TCP/UDP连接访问你的内网服务器；
- 内网设备主动去访问 `206.82.x.x` 不受限制，可正常建立连接。

### 需求2：双向完全阻断（内网也不能访问206.82.0.0/16）
额外在Dialer1出站out方向追加规则：
```ios
conf t
access-list 160 deny ip any 206.82.0.0 0.0.255.255 log
interface Dialer1
 ip access-group 160 out
end
```

## 结合你之前业务ACL150兼容方案（无需新建ACL，直接复用）
如果你已经在用 `access-list 150` 做外网入站控制，直接追加封禁规则到现有ACL头部（ACL从上到下匹配，deny要放在permit前面）：
```ios
conf t
! 在原有ACL最顶部插入封禁网段
access-list 150 deny ip 206.82.0.0 0.0.255.255 any log
! 下面保留你原有所有规则不变
access-list 150 permit udp any host 218.1.210.220 range 16000 20000
access-list 150 deny udp any host 218.1.210.220 eq 5060
access-list 150 permit ip any any
! 接口绑定不变，已经绑定过Dialer1 in无需重复操作
end
```

## 校验与排错命令
1. 查看ACL匹配计数，确认206.82网段流量被拦截（匹配数字持续增长代表生效）
```ios
show access-list 160
show access-list 150
```
2. 查看Dialer接口ACL绑定状态
```ios
show run interface Dialer1
```
3. 实时查看被拦截的数据包日志（配置里加了`log`关键字）
```ios
terminal monitor
```
4. 临时清空ACL匹配计数
```ios
clear access-list counters 160
```

## 关键注意事项
1. **方向不能写反**：`ip access-group XXX in` 是过滤公网进来的流量；写out只会拦截内网主动对外访问，无法阻止外部主动扫描攻击。
2. ACL顺序优先级：deny网段规则必须放在所有permit规则**最前面**，否则会被放行规则先匹配，封禁失效。
3. `log` 参数作用：记录每一条被丢弃的数据包源目IP、协议，方便事后溯源攻击行为，生产环境建议保留。
4. ADSL拨号接口固定为Dialer1，物理ATM/以太网接口不需要绑定ACL，所有外网流量统一经过Dialer虚拟接口过滤。