使用自反acl限制外网访问

　　为了保护内网的安全。有的时候我想，只允许内网访问外网，不允许外网访问内网，我们利用cisco 路由器的自反acl来实现。

　　。

　　实验如图

　　配置ip地址就不在这赘诉了，外网与内网不是一个网段的， 我们需要配置路由协议，我在这配置的是rip version1 的 也可以配置别的，eigrp ospf 都行

　　下面看怎么配置自反alc

　　内网访问外网的自反alc

　　R1>en

　　R1#conf t

　　Enter configuration commands, one per line. End with CNTL/Z.

　　R1(config)#ip access-list extended aclout 创建出去的acl

　　R1(config-ext-nacl)#permit tcp any any reflect tcp 自定该条目为自反，名字是tcp

　　外网访问内网的自反acl

　　R1(config)#ip access-list extended aclin

　　R1(config-ext-nacl)#evaluate tcp 生成自反列表(第一步生成自反acl的名字是tcp，所以对应的名字也就是tcp了)

　　R1(config-ext-nacl)#permit udp any any

　　将自反alc应用到相应的接口上

　　R1(config)#int fa0/1 外网接口

　　R1(config-if)#ip access-group aclout out

　　R1(config-if)#ip access-group aclin in

　　现在我们在pc上ping下如果能ping通 外网ping不通内网就成功了

　　内ping外

　　ping通了

　　外ping内

　　没ping通说明我们的实验成功了