在路由器上配置自反访问控制列表

自反访问列表会根据一个方向的访问控制列表，自动创建出一个反方向的控制列表，是和原来的控制列表—IP的源地址和目的地址颠倒，并且源端口号和目的端口号完全相反的一个列表。那么如何在路由器上完成自反访问控制列表的配置呢？下面我们开始逐步进行：

注意必须是内部发起的!用命名的ACL做。

　　不是很好理解，看个例子吧。

　　先看下面的：

　　ip access-list extended abc 
　　deny icmp any 192.168.1.0 0.0.0.255  
　　permit ip any any  
　　exit  
　　int s0/0  
　　ip access-group abc in 

　　这个ACL是禁止外网去ping内网的192.168.1.0/24这个网段，但是我如果从192.168.1.1去ping外网是否能ping通？

　　不通!!记住，通信都是双向的!限制住一面的流量就都不通了!!

　　下面再来看自反ACL吧;

1. 　ip access-list extended refin  
2. 　　permit ospf any any  
3. 　　evaluate abc '注意这条语句!  
4. 　　exit  
5. 　　ip access-list extended refout  
6. 　　permit ip any any reflect abc '还有这条!  
7. 　　exit  
8. 　　int s0/0  
9. 　　ip access-group refin in  
10. 　　ip access-group rofut out  
11. 　　exit  
12. 　　ip reflexive-list timeout 60  

　　仔细看看先，在接口的in方向上只允许了一个ospf协议，其他访问都禁止了，也就是不允许外网访问内网。evaluate abc嵌套了一个反射ACL，名称为abc。

　　在接口的out方向上，允许所有的访问，记住刚才提到的;可以出去但是回不来!!!所以在permit ip any any 后加上了一个reflect abc，也就是说，任何从内网发起的流量如果它匹配这条permit ip any any reflect abc语句的话，则自动在refin的列表中创建一条动态的permit语句!用show access-lists可以看到!不是简单的将这个条目中的源目的地址调过来啊!是详细条目啊!

　　记住，自反ACL永远是permit的，做个实验好好理解一下吧!

　　ip reflexive-list timeout 60 设置的是反射出来的条目的有效时间!

【编辑推荐】

1. 访问控制列表ACL技术
2. Cisco自反控制列表应用
3. cisco动态访问控制列表的应用
4. 更改公用文件夹ACL（访问控制列表）
5. Secpath典型配置之访问控制列表（ACL）