路由实例:三接口RACL配置

战略需要:



1。互联网可以访问电子邮件,DNS,在DMZ区的Web服务器



2。Internet无法访问内部网络



三.内部邮件服务器只能访问DMZ邮件服务器,并没有其他的设备可以访问



4。DMZ邮件服务器可以访问内部邮件服务器发送邮件



5。内部用户可以访问Internet接收应答包。



6。内部用户无法访问DMZ邮件服务器或任何外部邮件服务器



配置:



R1(config)# IP访问列表扩展internal_acl



名称ACL被用来限制流左内部段。



R1(config EXT NaCl)#允许TCP主机主机25 192.1.1.1 192.1.2.1情商反映racl_dmz



*允许内部邮件服务器发送邮件到DMZ邮件服务器,并允许回流通过racl_dmz * /



R1(config EXT NaCl)#否认TCP任何情商25



应拒绝任何内部主机发送电子邮件到DMZ邮件服务器或任何其他电子邮件服务器。



R1(config EXT NaCl)#否认IP主机192.1.1.1任何



/ *拒绝内部的邮件服务器来访问任何其他军事设备或外部设备。



R1(config EXT NaCl)#允许任何IP 192.1.2.0 0.0.0.255反映racl_dmz



*来自网络内部的流量到DMZ Rac1的建立,这些临时的项目放在racl_dmz。



R1(config EXT NaCl)#允许任意IP流量



应该允许所有其他内部网络流量到因特网。



R1(config EXT NaCl)#退出



R1(config)# IP访问列表扩展dmz_acl



名称ACL用于限制从DMZ和Internet网络流量的内段 / *。



R1(config EXT NaCl)#允许TCP主机主机192.1.1.1 192.1.2.1情商25



允许DMZ邮件服务器上的邮件* / / *转发到内部邮件服务器



R1(config EXT NaCl)#评价racl_dmz



/ * racl_dmz参考允许发送设备到DMZ内流可以返回到内部设备。



R1(config EXT NaCl)#评价racl_internal_return



参考 / * racl_internal_return允许被发送到互联网回到内部装置内部设备的流量。部分racl_internal_return定义如下。



R1(config EXT NaCl)#退出



R1(config)# IP访问列表扩展exit_acl



这个命名ACL用于限制流离开网络。



R1(config EXT NaCl)#允许TCP主机192.1.2.1 EQ 25反映racl_dmz_return



允许通过DMZ /电子邮件服务器的流量返回到DMZ邮件服务器启动racl_dmz_return定义。



R1(config EXT NaCl)#允许UDP主机192.1.2.2 EQ 53反映racl_dmz_return



对racl_dmz_return /定义*通过DMZ的DNS服务器允许发送到Internet的DNS查询的DNS服务器返回的DMZ。




R1(config EXT NaCl)#允许IP 192.1.1.0 0.0.0.255任何反映racl_internal_return



对racl_internal_return /定义*允许返回由内部用户发送交通网络内部用户。



R1(config EXT NaCl)#允许TCP主机192.1.2.1情商25



R1(config EXT NaCl)#允许UDP主机192.1.2.2情商53



R1(config EXT NaCl)#允许TCP主机192.1.2.3情商80



针对三以上的DMZ / *命令允许服务器转发到互联网用户。



R1(config EXT NaCl)#退出



R1(config)# IP访问列表扩展external_acl



这个名为ACL的网络过滤进入网络



R1(config EXT NaCl)#允许任何主机的TCP 192.1.2.1情商25



R1(config EXT NaCl)#允许UDP任何主机192.1.2.2情商53



R1(config EXT NaCl)#允许任何主机的TCP 192.1.2.3情商80



以上三个命令允许互联网/ DMZ访问内部电子邮件,DNS和Web服务器。



R1(config EXT NaCl)#评价racl_dmz_return



R1(config EXT NaCl)#评价racl_internal_return



/ * racl_dmz_return和racl_internal_return允许流量发送到互联网的内部装置返回到装置内部的参考,也可以通过DMZ设备发起返回从互联网交通。需要指出的是,racl_internal_return已经两命名的ACL的引用,使互联网流量通过外部ACL(输入方向施加到E1)和非军事区的ACL(输出方向施加到E0)是必要的。



R1(config EXT NaCl)#退出



R1(config)# E0接口



输入接口E0 / * * /



R1(config-if)#描述内部网络



R1(config-if)# IP访问组dmz_acl出来



R1(config-if)# IP访问组internal_acl在



/ * E0连接到内部网络段。两ACL在这个界面活性,并internal_acl用来限制交通的网络段和建立Rac1允许返回的流量回从DMZ和Internet网络segment.dmz_acl限制段的内流段。



R1(config-if)#退出



R1(config)#接口E2



输入E2的接口



R1(config-if)#描述DMZ



/ * E2连接到DMZ网络,没有应用ACL,所有的内部接口和外部接口上的ACL执行策略。



R1(config-if)#退出



R1(config)#接口E1



输入E1的接口



R1(config-if)#描述互联网



R1(config-if)# IP访问组exit_acl出来



R1(config-if)# IP访问组external_acl在



/ * E1连接到互联网。一个ACL(external_acl)应用到接口的输入方向,这是用来限制交通,DMZ和允许回流量给内部用户。有ACL Khan(exit_acl)应用到接口的输出方向,用于建立Rac1进入和允许互联网查询回复的DMZ区转发。



R1(config-if)#退出



R1(config)# IP自反列表超时60



所有的空闲连接超时时间将持续60秒,60秒的空闲连接后,将从内删除。