在路由器上配置自反访问控制列表

　　注意必须是内部发起的!用命名的ACL做。

　　不是很好理解，看个例子吧。

　　先看下面的：

　　ip access-list extended abc

　　deny icmp any 192.168.1.0 0.0.0.255

　　permit ip any any

　　exit

　　int s0/0

　　ip access-group abc in

　　这个ACL是禁止外网去ping内网的192.168.1.0/24这个网段，但是我如果从192.168.1.1去ping外网是否能ping通?

　　不通!!记住，通信都是双向的!限制住一面的流量就都不通了!!

　　下面再来看自反ACL吧;

　　ip access-list extended refin

　　permit ospf any any

　　evaluate abc '注意这条语句!

　　exit

　　ip access-list extended refout

　　permit ip any any reflect abc '还有这条!

　　exit

　　int s0/0

　　ip access-group refin in

　　ip access-group rofut out

　　exit

　　ip reflexive-list timeout 60

　　仔细看看先，在接口的in方向上只允许了一个ospf协议，其他访问都禁止了，也就是不允许外网访问内网。evaluate abc嵌套了一个反射ACL，名称为abc。

　　在接口的out方向上，允许所有的访问，记住刚才提到的;可以出去但是回不来!!!所以在permit ip any any 后加上了一个reflect abc，也就是说，任何从内网发起的流量如果它匹配这条permit ip any any reflect abc语句的话，则自动在refin的列表中创建一条动态的permit语句!用show access-lists可以看到!不是简单的将这个条目中的源目的地址调过来啊!是详细条目啊!

　　记住，自反ACL永远是permit的，做个实验好好理解一下吧!

　　ip reflexive-list timeout 60 设置的是反射出来的条目的有效时间!