策略需求：

　　1. Internet可以访问DMZ区域内的Email、DNS、Web服务器

　　2. Internet不能访问内部网络

　　3. 内部Email服务器只可以访问DMZ Email服务器，不可以访问其他设备

　　4. DMZ Email服务器可以访问内部Email服务器来传发邮件

　　5. 内部用户可以访问Internet，接收回复数据包

　　6. 内部用户不能访问DMZ Email服务器或任何外部的Email服务器

　　配置：

　　R1(config)#ip access-list extended internal_ACL

　　/*该命名ACL用于限制流量离开内部网段*/

　　R1(config-ext-nacl)#permit tcp host 192.1.1.1 host 192.1.2.1 eq 25 reflect RACL_DMZ

　　/*允许内部Email服务器发送Email到DMZ Email服务器，并允许返回流量通过RACL_DMZ*/

　　R1(config-ext-nacl)#deny tcp any any eq 25

　　/*拒绝任何内部主机发送Email到DMZ Email服务器或任何其他Email服务器*/

　　R1(config-ext-nacl)#deny ip host 192.1.1.1 any

　　/*拒绝内部Email服务器访问任何其他DMZ设备或外部设备*/

　　R1(config-ext-nacl)#permit ip any 192.1.2.0 0.0.0.255 reflect RACL_DMZ

　　/*为从内部网段到DMZ的流量建立RACL，这些临时条目被放在RACL_DMZ中*/

　　R1(config-ext-nacl)#permit ip any any

　　/*允许所有其他的从内部网段到Internet的流量*/

　　R1(config-ext-nacl)#exit

　　R1(config)#ip access-list extended dmz_ACL

　　/*该命名ACL用于限制从DMZ和Internet网段到内部网段的流量*/

　　R1(config-ext-nacl)#permit tcp host 192.1.2.1 host 192.1.1.1 eq 25

　　/*允许DMZ Email服务器向内部Email服务器转发Email*/

　　R1(config-ext-nacl)#evaluate RACL_DMZ

　　/*RACL_DMZ的引用允许内部设备发送给DMZ的流量可以返回到内部设备*/

　　R1(config-ext-nacl)#evaluate RACL_Internal_return

　　/*RACL_Internal_return的引用允许内部设备发送到Internet的流量可以返回到内部设备。RACL_Internal_return的定义参见下面的部分*/

　　R1(config-ext-nacl)#exit

　　R1(config)#ip access-list extended exit_ACL

　　/*此命名ACL用于限制流量离开网络*/

　　R1(config-ext-nacl)#permit tcp host 192.1.2.1 any eq 25 reflect RACL_DMZ_return

　　/*定义RACL_DMZ_return允许由DMZ Email服务器发起的流量返回到DMZ Email服务器*/

　　R1(config-ext-nacl)#permit udp host 192.1.2.2 any eq 53 reflect RACL_DMZ_return

　　/*定义RACL_DMZ_return允许由DMZ DNS服务器发送到Internet的DNS查询返回到DMZ DNS服务器*/

　　R1(config-ext-nacl)#permit ip 192.1.1.0 0.0.0.255 any reflect RACL_Internal_return

　　/*定义RACL_Internal_return允许由内部用户发送到Internet的流量返回到内部用户*/