怎么配置思科三個接口上的RACL

　　cisco依靠自身的技術和對網絡經濟模式的深刻理解，使他成為了網絡應用的成功實踐者之一，其制造的路由器也是全球頂尖的，那么你知道怎么配置思科三個接口上的RACL嗎?下面是學習啦小編整理的一些關于怎么配置思科三個接口上的RACL的相關資料，供你參考。

　　配置思科三個接口上的RACL的方法：

　　策略需求

　　1. Internet可以訪問DMZ區(qū)域內的Email、DNS、Web服務器

　　2. Internet不能訪問內部網絡

　　3. 內部Email服務器只可以訪問DMZ Email服務器，不可以訪問其他設備

　　4. DMZ Email服務器可以訪問內部Email服務器來傳發(fā)郵件

　　5. 內部用戶可以訪問Internet，接收回復數據包

　　6. 內部用戶不能訪問DMZ Email服務器或任何外部的Email服務器

　　配置思科三個接口上的RACL過程

　　R1(config)#ip access-list extended internal_ACL

　　/*該命名ACL用于限制流量離開內部網段*/

　　R1(config-ext-nacl)#permit tcp host 192.1.1.1 host 192.1.2.1 eq 25 reflect RACL_DMZ

　　/*允許內部Email服務器發(fā)送Email到DMZ Email服務器，并允許返回流量通過RACL_DMZ*/

　　R1(config-ext-nacl)#deny tcp any any eq 25

　　/*拒絕任何內部主機發(fā)送Email到DMZ Email服務器或任何其他Email服務器*/

　　R1(config-ext-nacl)#deny ip host 192.1.1.1 any

　　/*拒絕內部Email服務器訪問任何其他DMZ設備或外部設備*/

　　R1(config-ext-nacl)#permit ip any 192.1.2.0 0.0.0.255 reflect RACL_DMZ

　　/*為從內部網段到DMZ的流量建立RACL，這些臨時條目被放在RACL_DMZ中*/

　　R1(config-ext-nacl)#permit ip any any

　　/*允許所有其他的從內部網段到Internet的流量*/

　　R1(config-ext-nacl)#exit

　　R1(config)#ip access-list extended dmz_ACL

　　/*該命名ACL用于限制從DMZ和Internet網段到內部網段的流量*/

　　R1(config-ext-nacl)#permit tcp host 192.1.2.1 host 192.1.1.1 eq 25

　　/*允許DMZ Email服務器向內部Email服務器轉發(fā)Email*/

　　R1(config-ext-nacl)#evaluate RACL_DMZ

　　/*RACL_DMZ的引用允許內部設備發(fā)送給DMZ的流量可以返回到內部設備*/

　　R1(config-ext-nacl)#evaluate RACL_Internal_return

　　/*RACL_Internal_return的引用允許內部設備發(fā)送到Internet的流量可以返回到內部設備。RACL_Internal_return的定義參見下面的部分*/

　　R1(config-ext-nacl)#exit

　　R1(config)#ip access-list extended exit_ACL

　　/*此命名ACL用于限制流量離開網絡*/

　　R1(config-ext-nacl)#permit tcp host 192.1.2.1 any eq 25 reflect RACL_DMZ_return

　　/*定義RACL_DMZ_return允許由DMZ Email服務器發(fā)起的流量返回到DMZ Email服務器*/

　　R1(config-ext-nacl)#permit udp host 192.1.2.2 any eq 53 reflect RACL_DMZ_return

　　/*定義RACL_DMZ_return允許由DMZ DNS服務器發(fā)送到Internet的DNS查詢返回到DMZ DNS服務器*/

　　R1(config-ext-nacl)#permit ip 192.1.1.0 0.0.0.255 any reflect RACL_Internal_return

　　/*定義RACL_Internal_return允許由內部用戶發(fā)送到Internet的流量返回到內部用戶*/

　　R1(config-ext-nacl)#permit tcp host 192.1.2.1 eq 25 any

　　R1(config-ext-nacl)#permit udp host 192.1.2.2 eq 53 any

　　R1(config-ext-nacl)#permit tcp host 192.1.2.3 eq 80 any

　　/*上面三條命令允許DMZ服務器的響應被轉發(fā)到Internet用戶*/

　　R1(config-ext-nacl)#exit

　　R1(config)#ip access-list extended external_ACL

　　/*此命名ACL用于過濾進入該網絡的Internet流量*/

　　R1(config-ext-nacl)#permit tcp any host 192.1.2.1 eq 25

　　R1(config-ext-nacl)#permit udp any host 192.1.2.2 eq 53

　　R1(config-ext-nacl)#permit tcp any host 192.1.2.3 eq 80

　　/*上面三條命令允許Internet訪問DMZ內的Email、DNS和Web服務器*/

　　R1(config-ext-nacl)#evaluate RACL_DMZ_return

　　R1(config-ext-nacl)#evaluate RACL_Internal_return

　　/*RACL_DMZ_return和RACL_Internal_return的引用允許由內部設備發(fā)送到Internet的流量返回內部設備，也允許由DMZ設備發(fā)起的流量從Internet返回。需要指出RACL_Internal_return被兩個命名的ACL引用，允許返回的Internet流量經過外部ACL(應用到E1的輸入方向)和DMZ ACL(應用到E0的輸出方向)是必要的*/

　　R1(config-ext-nacl)#exit

　　R1(config)#interface e0

　　/*進入e0接口*/

　　R1(config-if)#description Internal Network

　　R1(config-if)#ip access-group DMZ_ACL out

　　R1(config-if)#ip access-group internal_ACL in

　　/*e0被連接到內部網段。該接口上有兩個ACL被激活，internal_ACL用于限制流量離開該網段，并建立RACL允許返回流量回到該網段。DMZ_ACL用于限制從DMZ和Internet網段到內部網段的流量*/

　　R1(config-if)#exit

　　R1(config)#interface e2

　　/*進入接口e2*/

　　R1(config-if)#description DMZ

　　/*e2被連接到DMZ網段，這里沒有應用ACL，所有的策略由內部接口和外部接口上的ACL來執(zhí)行*/

　　R1(config-if)#exit

　　R1(config)#interface e1

　　/*進入接口e1*/

　　R1(config-if)#description Internet

　　R1(config-if)#ip access-group exit_ACL out

　　R1(config-if)#ip access-group external_ACL in

　　/*e1被連接到Internet。有一個ACL(external_ACL)被應用到該接口的輸入方向，用來限制流量進入DMZ并允許返回流量回到內部用戶。還有汗一個ACL(exit_ACL)被應用到了該接口的輸出方向，用來建立RACL條目并允許DMZ網段對Internet查詢的回復轉發(fā)出去*/

　　R1(config-if)#exit

　　R1(config)#ip reflexive-list timeout 60

　　/*將所有空閑連接的超時設為60秒，60秒之后空閑連接將從RACL中被刪除*/