科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网服务器频道路由实例:三个接口上的RACL配置

路由实例:三个接口上的RACL配置

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

允许内部Email服务器发送Email到DMZ Email服务器,并允许返回流量通过RACL_DMZ*/需要指出RACL_Internal_return被两个命名的ACL引用,允许返回的Internet流量经过外部ACL(应用到E1的输入方向)和DMZ ACL(应用到E0的输出方向)是必要的。

来源:互联网实验室 2008年10月21日

关键字: DMZ Email服务器 服务器 Internet

  • 评论
  • 分享微博
  • 分享邮件

  1. Internet可以访问DMZ区域内的Email、DNS、Web服务器

  2. Internet不能访问内部网络

  3. 内部Email服务器只可以访问DMZ Email服务器,不可以访问其他设备

  4. DMZ Email服务器可以访问内部Email服务器来传发邮件

  5. 内部用户可以访问Internet,接收回复数据包

  6. 内部用户不能访问DMZ Email服务器或任何外部的Email服务器

  配置:

  R1(config)#ip access-list extended internal_ACL

  /*该命名ACL用于限制流量离开内部网段*/

  R1(config-ext-nacl)#permit tcp host 192.1.1.1 host 192.1.2.1 eq 25 reflect RACL_DMZ

  /*允许内部Email服务器发送Email到DMZ Email服务器,并允许返回流量通过RACL_DMZ*/

  R1(config-ext-nacl)#deny tcp any any eq 25

  /*拒绝任何内部主机发送Email到DMZ Email服务器或任何其他Email服务器*/

  R1(config-ext-nacl)#deny ip host 192.1.1.1 any

  /*拒绝内部Email服务器访问任何其他DMZ设备或外部设备*/

  R1(config-ext-nacl)#permit ip any 192.1.2.0 0.0.0.255 reflect RACL_DMZ

  /*为从内部网段到DMZ的流量建立RACL,这些临时条目被放在RACL_DMZ中*/

  R1(config-ext-nacl)#permit ip any any

  /*允许所有其他的从内部网段到Internet的流量*/

  R1(config-ext-nacl)#exit

  R1(config)#ip access-list extended dmz_ACL

  /*该命名ACL用于限制从DMZ和Internet网段到内部网段的流量*/

  R1(config-ext-nacl)#permit tcp host 192.1.2.1 host 192.1.1.1 eq 25

  /*允许DMZ Email服务器向内部Email服务器转发Email*/

  R1(config-ext-nacl)#evaluate RACL_DMZ

  /*RACL_DMZ的引用允许内部设备发送给DMZ的流量可以返回到内部设备*/

  R1(config-ext-nacl)#evaluate RACL_Internal_return

  R1(config-ext-nacl)#permit ip 192.1.1.0 0.0.0.255 any reflect RACL_Internal_return

  /*定义RACL_Internal_return允许由内部用户发送到Internet的流量返回到内部用户*/

  R1(config-ext-nacl)#permit tcp host 192.1.2.1 eq 25 any

  R1(config-ext-nacl)#permit udp host 192.1.2.2 eq 53 any

  R1(config-ext-nacl)#permit tcp host 192.1.2.3 eq 80 any

  /*上面三条命令允许DMZ服务器的响应被转发到Internet用户*/

  R1(config-ext-nacl)#exit

  R1(config)#ip access-list extended external_ACL

  /*此命名ACL用于过滤进入该网络的Internet流量*/

  R1(config-ext-nacl)#permit tcp any host 192.1.2.1 eq 25

  R1(config-ext-nacl)#permit udp any host 192.1.2.2 eq 53

  R1(config-ext-nacl)#permit tcp any host 192.1.2.3 eq 80

  /*上面三条命令允许Internet访问DMZ内的Email、DNS和Web服务器*/

  R1(config-ext-nacl)#evaluate RACL_DMZ_return

  R1(config-ext-nacl)#evaluate RACL_Internal_return

  /*RACL_DMZ_return和RACL_Internal_return的引用允许由内部设备发送到Internet的流量返回内部设备,也允许由DMZ设备发起的流量从Internet返回。需要指出RACL_Internal_return被两个命名的ACL引用,允许返回的Internet流量经过外部ACL(应用到E1的输入方向)和DMZ ACL(应用到E0的输出方向)是必要的*/

  R1(config-ext-nacl)#exit

  R1(config)#interface e0

  /*进入e0接口*/

  R1(config-if)#description Internal Network

  R1(config-if)#ip access-group DMZ_ACL out

  R1(config-if)#ip access-group internal_ACL in

  /*e0被连接到内部网段。该接口上有两个ACL被激活,internal_ACL用于限制流量离开该网段,并建立RACL允许返回流量回到该网段。DMZ_ACL用于限制从DMZ和Internet网段到内部网段的流量*/

  R1(config-if)#exit

  R1(config)#interface e2

  /*进入接口e2*/

  R1(config-if)#description DMZ

    • 评论
    • 分享微博
    • 分享邮件
    VIP专区
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章

    业界热点:

    北京第二十六维信息技术有限公司(至顶网)版权所有. 京ICP备15039648号-7 京ICP证161336号 京公网安备 11010802021500号