如何使用自反ACL限制外网访问？

　　为了保护内网的安全，可以只允许内网访问外网，不允许外网访问内网，这里利用cisco 路由器的自反ACL来实现。

　　用户需要配置路由协议，以下配置的是RIP Version1的，也可以配置别的，如EIGRP或OSPF。

　　内网访问外网的自反ACL

　　R1>en

　　R1#conf t

　　Enter configuration commands, one per line.　 End with CNTL/Z.

　　R1(config)#ip access-list extended aclout　 创建出去的ACL

　　R1(config-ext-nacl)#permit tcp any any reflect tcp 自定该条目为自反，名字是tcp

　　外网访问内网的自反ACL

　　R1(config)#ip access-list extended aclin

　　R1(config-ext-nacl)#evaluate tcp 生成自反列表(第一步生成自反ACL的名字是tcp，所以对应的名字也就是tcp了)

　　R1(config-ext-nacl)#permit udp any any

　　将自反alc应用到相应的接口上

　　R1(config)#int fa0/1　　　　 外网接口

　　R1(config-if)#ip access-group aclout out

　　R1(config-if)#ip access-group aclin in

　　之后在PC上只能ping通外网，但不能ping通内网了。