路由實例三個接口上的RACL配置

　　

　　策略需求：

　　1. Internet可以訪問DMZ區域內的Email、DNS、Web服務器

　　2. Internet不能訪問內部網絡

　　3. 內部Email服務器只可以訪問DMZ Email服務器，不可以訪問其他設備

　　4. DMZ Email服務器可以訪問內部Email服務器來傳發郵件

　　5. 內部用戶可以訪問Internet，接收回復數據包

　　6. 內部用戶不能訪問DMZ Email服務器或任何外部的Email服務器

　　配置：

　　R1(config)#ip access-list extended internal_ACL

　　/*該命名ACL用於限制流量離開內部網段*/

　　R1(config-ext-nacl)#permit tcp host 192.1.1.1 host 192.1.2.1 eq 25 reflect RACL_DMZ

　　/*允許內部Email服務器發送Email到DMZ Email服務器，並允許返回流量通過RACL_DMZ*/

　　R1(config-ext-nacl)#deny tcp any any eq 25

　　/*拒絕任何內部主機發送Email到DMZ Email服務器或任何其他Email服務器*/

　　R1(config-ext-nacl)#deny ip host 192.1.1.1 any

　　/*拒絕內部Email服務器訪問任何其他DMZ設備或外部設備*/

　　R1(config-ext-nacl)#permit ip any 192.1.2.0 0.0.0.255 reflect RACL_DMZ

　　/*為從內部網段到DMZ的流量建立RACL，這些臨時條目被放在RACL_DMZ中*/

　　R1(config-ext-nacl)#permit ip any any

　　/*允許所有其他的從內部網段到Internet的流量*/

　　R1(config-ext-nacl)#exit

　　R1(config)#ip access-list extended dmz_ACL

　　/*該命名ACL用於限制從DMZ和Internet網段到內部網段的流量*/

　　R1(config-ext-nacl)#permit tcp host 192.1.2.1 host 192.1.1.1 eq 25

　　/*允許DMZ Email服務器向內部Email服務器轉發Email*/

　　R1(config-ext-nacl)#evaluate RACL_DMZ

　　/*RACL_DMZ的引用允許內部設備發送給DMZ的流量可以返回到內部設備*/

　　R1(config-ext-nacl)#evaluate RACL_Internal_return

　　/*RACL_Internal_return的引用允許內部設備發送到Internet的流量可以返回到內部設備。RACL_Internal_return的定義參見下面的部分*/

　　R1(config-ext-nacl)#exit

　　R1(config)#ip access-list extended exit_ACL

　　/*此命名ACL用於限制流量離開網絡*/

　　R1(config-ext-nacl)#permit tcp host 192.1.2.1 any eq 25 reflect RACL_DMZ_return

　　/*定義RACL_DMZ_return允許由DMZ Email服務器發起的流量返回到DMZ Email服務器*/

　　R1(config-ext-nacl)#permit udp host 192.1.2.2 any eq 53 reflect RACL_DMZ_return

　　/*定義RACL_DMZ_return允許由DMZ DNS服務器發送到Internet的DNS查詢返回到DMZ DNS服務器*/

本新聞共2頁,當前在第1頁  1  2  

路由實例三個接口上的RACL配置