亚洲欧美精品沙发,日韩在线精品视频,亚洲Av每日更新在线观看,亚洲国产另类一区在线5

<pre id="hdphd"></pre>

  • <div id="hdphd"><small id="hdphd"></small></div>
      學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 網(wǎng)絡(luò)知識(shí) > 路由器 > 路由器設(shè)置 > cisco思科 > 怎么配置思科三個(gè)接口上的RACL

      怎么配置思科三個(gè)接口上的RACL

      時(shí)間: 權(quán)威724 分享

      怎么配置思科三個(gè)接口上的RACL

        cisco依靠自身的技術(shù)和對(duì)網(wǎng)絡(luò)經(jīng)濟(jì)模式的深刻理解,使他成為了網(wǎng)絡(luò)應(yīng)用的成功實(shí)踐者之一,其制造的路由器也是全球頂尖的,那么你知道怎么配置思科三個(gè)接口上的RACL嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于怎么配置思科三個(gè)接口上的RACL的相關(guān)資料,供你參考。

        配置思科三個(gè)接口上的RACL的方法:

        策略需求

        1. Internet可以訪問(wèn)DMZ區(qū)域內(nèi)的Email、DNS、Web服務(wù)器

        2. Internet不能訪問(wèn)內(nèi)部網(wǎng)絡(luò)

        3. 內(nèi)部Email服務(wù)器只可以訪問(wèn)DMZ Email服務(wù)器,不可以訪問(wèn)其他設(shè)備

        4. DMZ Email服務(wù)器可以訪問(wèn)內(nèi)部Email服務(wù)器來(lái)傳發(fā)郵件

        5. 內(nèi)部用戶可以訪問(wèn)Internet,接收回復(fù)數(shù)據(jù)包

        6. 內(nèi)部用戶不能訪問(wèn)DMZ Email服務(wù)器或任何外部的Email服務(wù)器

        配置思科三個(gè)接口上的RACL過(guò)程

        R1(config)#ip access-list extended internal_ACL

        /*該命名ACL用于限制流量離開(kāi)內(nèi)部網(wǎng)段*/

        R1(config-ext-nacl)#permit tcp host 192.1.1.1 host 192.1.2.1 eq 25 reflect RACL_DMZ

        /*允許內(nèi)部Email服務(wù)器發(fā)送Email到DMZ Email服務(wù)器,并允許返回流量通過(guò)RACL_DMZ*/

        R1(config-ext-nacl)#deny tcp any any eq 25

        /*拒絕任何內(nèi)部主機(jī)發(fā)送Email到DMZ Email服務(wù)器或任何其他Email服務(wù)器*/

        R1(config-ext-nacl)#deny ip host 192.1.1.1 any

        /*拒絕內(nèi)部Email服務(wù)器訪問(wèn)任何其他DMZ設(shè)備或外部設(shè)備*/

        R1(config-ext-nacl)#permit ip any 192.1.2.0 0.0.0.255 reflect RACL_DMZ

        /*為從內(nèi)部網(wǎng)段到DMZ的流量建立RACL,這些臨時(shí)條目被放在RACL_DMZ中*/

        R1(config-ext-nacl)#permit ip any any

        /*允許所有其他的從內(nèi)部網(wǎng)段到Internet的流量*/

        R1(config-ext-nacl)#exit

        R1(config)#ip access-list extended dmz_ACL

        /*該命名ACL用于限制從DMZ和Internet網(wǎng)段到內(nèi)部網(wǎng)段的流量*/

        R1(config-ext-nacl)#permit tcp host 192.1.2.1 host 192.1.1.1 eq 25

        /*允許DMZ Email服務(wù)器向內(nèi)部Email服務(wù)器轉(zhuǎn)發(fā)Email*/

        R1(config-ext-nacl)#evaluate RACL_DMZ

        /*RACL_DMZ的引用允許內(nèi)部設(shè)備發(fā)送給DMZ的流量可以返回到內(nèi)部設(shè)備*/

        R1(config-ext-nacl)#evaluate RACL_Internal_return

        /*RACL_Internal_return的引用允許內(nèi)部設(shè)備發(fā)送到Internet的流量可以返回到內(nèi)部設(shè)備。RACL_Internal_return的定義參見(jiàn)下面的部分*/

        R1(config-ext-nacl)#exit

        R1(config)#ip access-list extended exit_ACL

        /*此命名ACL用于限制流量離開(kāi)網(wǎng)絡(luò)*/

        R1(config-ext-nacl)#permit tcp host 192.1.2.1 any eq 25 reflect RACL_DMZ_return

        /*定義RACL_DMZ_return允許由DMZ Email服務(wù)器發(fā)起的流量返回到DMZ Email服務(wù)器*/

        R1(config-ext-nacl)#permit udp host 192.1.2.2 any eq 53 reflect RACL_DMZ_return

        /*定義RACL_DMZ_return允許由DMZ DNS服務(wù)器發(fā)送到Internet的DNS查詢返回到DMZ DNS服務(wù)器*/

        R1(config-ext-nacl)#permit ip 192.1.1.0 0.0.0.255 any reflect RACL_Internal_return

        /*定義RACL_Internal_return允許由內(nèi)部用戶發(fā)送到Internet的流量返回到內(nèi)部用戶*/

        R1(config-ext-nacl)#permit tcp host 192.1.2.1 eq 25 any

        R1(config-ext-nacl)#permit udp host 192.1.2.2 eq 53 any

        R1(config-ext-nacl)#permit tcp host 192.1.2.3 eq 80 any

        /*上面三條命令允許DMZ服務(wù)器的響應(yīng)被轉(zhuǎn)發(fā)到Internet用戶*/

        R1(config-ext-nacl)#exit

        R1(config)#ip access-list extended external_ACL

        /*此命名ACL用于過(guò)濾進(jìn)入該網(wǎng)絡(luò)的Internet流量*/

        R1(config-ext-nacl)#permit tcp any host 192.1.2.1 eq 25

        R1(config-ext-nacl)#permit udp any host 192.1.2.2 eq 53

        R1(config-ext-nacl)#permit tcp any host 192.1.2.3 eq 80

        /*上面三條命令允許Internet訪問(wèn)DMZ內(nèi)的Email、DNS和Web服務(wù)器*/

        R1(config-ext-nacl)#evaluate RACL_DMZ_return

        R1(config-ext-nacl)#evaluate RACL_Internal_return

        /*RACL_DMZ_return和RACL_Internal_return的引用允許由內(nèi)部設(shè)備發(fā)送到Internet的流量返回內(nèi)部設(shè)備,也允許由DMZ設(shè)備發(fā)起的流量從Internet返回。需要指出RACL_Internal_return被兩個(gè)命名的ACL引用,允許返回的Internet流量經(jīng)過(guò)外部ACL(應(yīng)用到E1的輸入方向)和DMZ ACL(應(yīng)用到E0的輸出方向)是必要的*/

        R1(config-ext-nacl)#exit

        R1(config)#interface e0

        /*進(jìn)入e0接口*/

        R1(config-if)#description Internal Network

        R1(config-if)#ip access-group DMZ_ACL out

        R1(config-if)#ip access-group internal_ACL in

        /*e0被連接到內(nèi)部網(wǎng)段。該接口上有兩個(gè)ACL被激活,internal_ACL用于限制流量離開(kāi)該網(wǎng)段,并建立RACL允許返回流量回到該網(wǎng)段。DMZ_ACL用于限制從DMZ和Internet網(wǎng)段到內(nèi)部網(wǎng)段的流量*/

        R1(config-if)#exit

        R1(config)#interface e2

        /*進(jìn)入接口e2*/

        R1(config-if)#description DMZ

        /*e2被連接到DMZ網(wǎng)段,這里沒(méi)有應(yīng)用ACL,所有的策略由內(nèi)部接口和外部接口上的ACL來(lái)執(zhí)行*/

        R1(config-if)#exit

        R1(config)#interface e1

        /*進(jìn)入接口e1*/

        R1(config-if)#description Internet

        R1(config-if)#ip access-group exit_ACL out

        R1(config-if)#ip access-group external_ACL in

        /*e1被連接到Internet。有一個(gè)ACL(external_ACL)被應(yīng)用到該接口的輸入方向,用來(lái)限制流量進(jìn)入DMZ并允許返回流量回到內(nèi)部用戶。還有汗一個(gè)ACL(exit_ACL)被應(yīng)用到了該接口的輸出方向,用來(lái)建立RACL條目并允許DMZ網(wǎng)段對(duì)Internet查詢的回復(fù)轉(zhuǎn)發(fā)出去*/

        R1(config-if)#exit

        R1(config)#ip reflexive-list timeout 60

        /*將所有空閑連接的超時(shí)設(shè)為60秒,60秒之后空閑連接將從RACL中被刪除*/

      569964