不知道大家有没有这样的需求,就是我们的dmz区域,可以使用防火墙和其他区域隔离,但实际使用过程中,防火墙策略配置起来还是比较繁琐,具体就是策略数目太多,一眼看上去不清晰。那么在交换机上面是不是可以实现可视感观比较好的功能呢?
交换机通过acl也就是包过滤去实现
创建 acl number 3001 名称为External_services
acl number 3001 name External_services
以下两行分别拒绝掉所有去往10.0.11.0和10.0.10.0 这两个网段的tcp访问请求,注意UDP是不拒绝的
rule 1998 deny tcp destination 10.0.11.0 0.0.0.255 syn 1 ack 0
rule 1999 deny tcp destination 10.0.10.0 0.0.0.255 syn 1 ack 0
以下是服务器ip地址为分别 10.0.10.1开放了443;10.0.11.1开放了80端口
rule 10 permit tcp destination 10.0.10.1 0 destination-port eq 443
rule 15 permit tcp destination 10.0.11.1 0 destination-port eq www
这样的好处就是哪个服务器需要开放哪个端口对外提供服务就写rule 条目放行,按需配置。交换机acl 条件相对也说比较清晰
最后需要在接口上面调用acl number 3001,这个接口可以理解成服务器的总出口,方向为inbound,我这个是三层接口
interface Route-Aggregation1
description to_R1
ip address 192.168.20.130 255.255.255.128
packet-filter 3001 inbound
大家有兴趣可以动手试验下,我感觉还是挺实用的,谢谢!
