ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能，為了保護內(nèi)網(wǎng)的安全，可以只允許內(nèi)網(wǎng)訪問外網(wǎng)，不允許外網(wǎng)訪問內(nèi)網(wǎng)，這里利用cisco 路由器的自反ACL來實現(xiàn)。用戶需要配置路由協(xié)議，以下配置的是RIP Version1的，也可以配置別的，如EIGRP或OSPF。

　　內(nèi)網(wǎng)訪問外網(wǎng)的自反ACL

　　R1>en

　　R1#conf t

　　Enter configuration commands, one per line.　 End with CNTL/Z.

　　R1（config）#ip access-list extended aclout　 創(chuàng)建出去的ACL

　　R1（config-ext-nacl）#permit tcp any any reflect tcp 自定該條目為自反，名字是tcp

　　外網(wǎng)訪問內(nèi)網(wǎng)的自反ACL

　　R1（config）#ip access-list extended aclin

　　R1（config-ext-nacl）#evaluate tcp 生成自反列表（第一步生成自反ACL的名字是tcp，所以對應(yīng)的名字也就是tcp了）

　　R1（config-ext-nacl）#permit udp any any

　　將自反alc應(yīng)用到相應(yīng)的接口上

　　R1（config）#int fa0/1 外網(wǎng)接口

　　R1（config-if）#ip access-group aclout out

　　R1（config-if）#ip access-group aclin in

　　之后在PC上只能ping通外網(wǎng)，但不能ping通內(nèi)網(wǎng)了。

　　ACL限制外網(wǎng)訪問的配置就向大家介紹完了，希望大家已經(jīng)掌握。