打印本文 关闭窗口 | |
路由实例:三个接口上的RACL配置 | |
作者:陈鹏 文章来源:eNet 点击数 更新时间:2009/9/9 21:40:34 文章录入:陈鹏 责任编辑:陈鹏 | |
|
|
策略需求: 1. Internet可以访问DMZ区域内的Email、DNS、Web服务器 2. Internet不能访问内部网络 3. 内部Email服务器只可以访问DMZ Email服务器,不可以访问其他设备 4. DMZ Email服务器可以访问内部Email服务器来传发邮件 5. 内部用户可以访问Internet,接收回复数据包 6. 内部用户不能访问DMZ Email服务器或任何外部的Email服务器 配置: R1(config)#ip access-list extended internal_ACL /*该命名ACL用于限制流量离开内部网段*/ R1(config-ext-nacl)#permit tcp host 192.1.1.1 host 192.1.2.1 eq 25 reflect RACL_DMZ /*允许内部Email服务器发送Email到DMZ Email服务器,并允许返回流量通过RACL_DMZ*/ R1(config-ext-nacl)#deny tcp any any eq 25 /*拒绝任何内部主机发送Email到DMZ Email服务器或任何其他Email服务器*/ R1(config-ext-nacl)#deny ip host 192.1.1.1 any /*拒绝内部Email服务器访问任何其他DMZ设备或外部设备*/ R1(config-ext-nacl)#permit ip any 192.1.2.0 0.0.0.255 reflect RACL_DMZ /*为从内部网段到DMZ的流量建立RACL,这些临时条目被放在RACL_DMZ中*/ R1(config-ext-nacl)#permit ip any any /*允许所有其他的从内部网段到Internet的流量*/ R1(config-ext-nacl)#exit R1(config)#ip access-list extended dmz_ACL /*该命名ACL用于限制从DMZ和Internet网段到内部网段的流量*/ R1(config-ext-nacl)#permit tcp host 192.1.2.1 host 192.1.1.1 eq 25 /*允许DMZ Email服务器向内部Email服务器转发Email*/ R1(config-ext-nacl)#evaluate RACL_DMZ /*RACL_DMZ的引用允许内部设备发送给DMZ的流量可以返回到内部设备*/ R1(config-ext-nacl)#evaluate RACL_Internal_return /*RACL_Internal_return的引用允许内部设备发送到Internet的流量可以返回到内部设备。RACL_Internal_return的定义参见下面的部分*/ R1(config-ext-nacl)#exit R1(config)#ip access-list extended exit_ACL /*此命名ACL用于限制流量离开网络*/ R1(config-ext-nacl)#permit tcp host 192.1.2.1 any eq 25 reflect RACL_DMZ_return /*定义RACL_DMZ_return允许由DMZ Email服务器发起的流量返回到DMZ Email服务器*/ R1(config-ext-nacl)#permit udp host 192.1.2.2 any eq 53 reflect RACL_DMZ_return /*定义RACL_DMZ_return允许由DMZ DNS服务器发送到Internet的DNS查询返回到DMZ DNS服务器*/ R1(config-ext-nacl)#permit ip 192.1.1.0 0.0.0.255 any reflect RACL_Internal_return /*定义RACL_Internal_return允许由内部用户发送到Internet的流量返回到内部用户*/ R1(config-ext-nacl)#permit tcp host 192.1.2.1 eq 25 any R1(config-ext-nacl)#permit udp host 192.1.2.2 eq 53 any R1(config-ext-nacl)#permit tcp host 192.1.2.3 eq 80 any /*上面三条命令允许DMZ服务器的响应被转发到Internet用户*/ R1(config-ext-nacl)#exit R1(config)#ip access-list extended external_ACL /*此命名ACL用于过滤进入该网络的Internet流量*/ R1(config-ext-nacl)#permit tcp any host 192.1.2.1 eq 25 R1(config-ext-nacl)#permit udp any host 192.1.2.2 eq 53 R1(config-ext-nacl)#permit tcp any host 192.1.2.3 eq 80 /*上面三条命令允许Internet访问DMZ内的Email、DNS和Web服务器*/ R1(config-ext-nacl)#evaluate RACL_DMZ_return R1(config-ext-nacl)#evaluate RACL_Internal_return /*RACL_DMZ_return和RACL_Internal_return的引用允许由内部设备发送到Internet的流量返回内部设备,也允许由DMZ设备发起的流量从Internet返回。需要指出RACL_Internal_return被两个命名的ACL引用,允许返回的Internet流量经过外部ACL(应用到E1的输入方向)和DMZ ACL(应用到E0的输出方向)是必要的*/ R1(config-ext-nacl)#exit R1(config)#interface e0 /*进入e0接口*/ R1(config-if)#description Internal Network R1(config-if)#ip access-group DMZ_ACL out R1(config-if)#ip access-group internal_ACL in /*e0被连接到内部网段。该接口上有两个ACL被激活,internal_ACL用于限制流量离开该网段,并建立RACL允许返回流量回到该网段。DMZ_ACL用于限制从DMZ和Internet网段到内部网段的流量*/ R1(config-if)#exit R1(config)#interface e2 /*进入接口e2*/ R1(config-if)#description DMZ /*e2被连接到DMZ网段,这里没有应用ACL,所有的策略由内部接口和外部接口上的ACL来执行*/ R1(config-if)#exit R1(config)#interface e1 /*进入接口e1*/ R1(config-if)#description Internet R1(config-if)#ip access-group exit_ACL out R1(config-if)#ip access-group external_ACL in /*e1被连接到Internet。有一个ACL(external_ACL)被应用到该接口的输入方向,用来限制流量进入DMZ并允许返回流量回到内部用户。还有汗一个ACL(exit_ACL)被应用到了该接口的输出方向,用来建立RACL条目并允许DMZ网段对Internet查询的回复转发出去*/ R1(config-if)#exit R1(config)#ip reflexive-list timeout 60 /*将所有空闲连接的超时设为60秒,60秒之后空闲连接将从RACL中被删除*/ |
|
打印本文 关闭窗口 |