ACL可以限制網絡流量、提高網絡性能，為了保護內網的安全，可以只允許內網訪問外網，不允許外網訪問內網，這里利用cisco 路由器的自反ACL來實現。用戶需要配置路由協議，以下配置的是RIP Version1的，也可以配置別的，如EIGRP或OSPF。　　

　　一、實驗拓撲圖

　　二、實驗要求

　　要求內網可以主動訪問外網，但是外網不能主動訪問內網，從而有效保護內網。

　　三、實驗配置

　　1、配置路由器，并在R1、R3上配置默認路由確保IP連通性。

　　R1(config)#interface s0/0/0

　　R1(config)#ip address 192.168.12.1 255.255.255.0

　　R1(config)#no shutdown

　　R1(config)#interface g0/0

　　R1(config)#ip address 172.16.1.1 255.255.255.0

　　R1(config)#no shutdown

　　R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.2

　　R2(config)#interface s0/0/0

　　R2(config)#ip address 192.168.12.2 255.255.255.0

　　R2(config)#no shutdown

　　R2(config)#interface s0/0/1

　　R2(config)#ip address 202.210.23.2 255.255.255.0

　　R2(config)#no shutdown

　　R3(config)#interface loopback 0

　　R3(config)#ip address 3.3.3.3 255.255.255.0

　　R3(config)#no shutdown

　　R3(config)#interface s0/0/1

　　R3(config)#ip address 202.210.23.3 255.255.255.0

　　R3(config)#no shutdown

　　R3(config)#ip route 0.0.0.0 0.0.0.0 202.210.23.2

　　2、在路由器R2上配置自反ACL

　　R2(config)#ip access-list extended ACLOUT

　　R2(config-ext-nacl)#permit tcp any any reflect REF //定義自反ACL

　　R2(config-ext-nacl)#permit udp any any reflect REF

　　R2(config)#ip access-list extended ACLIN

　　R2(config-ext-nacl)#evaluate REF //評估反射

　　R2(config)#int s0/0/1

　　R2(config-if)#ip access-group ACLOUT out

　　R2(config-if)#ip access-group ACLIN in

　　PS：(1)、自反ACL永遠是permit的;

　　(2)、自反ACL允許高層Session信息的IP包過濾;

　　(3)、利用自反ACL可以只允許出去的流量，但是阻止從外部網絡產生的向內部網絡的流量，從而可以更好地保護內部網絡;

　　(4)、自反ACL是在有流量產生時(如出方向的流量)臨時自動產生的，并且當Session結束條目就刪除;

　　(5)、自反ACL不是直接被應用到某個接口下的，而是嵌套在一個擴展命名訪問列表下的。

　　3、調試

　　(1)同時在路由器R1和R3都打開TELNET服務，在R1(從內網到外網)TELNET路由器R3成功，同時在路由器R2上查看訪問控制列表：

　　R2#show access-lists

　　Extended IP access list ACLIN

　　10 evaluate REF

　　Extended IP access list ACLOUT

　　10 permit tcp any any reflect REF

　　20 permit udp any any reflect REF

　　Reflexive IP access list REF

　　permit tcp host 202.210.23.3 eq telnet host 192.168.12.1 eq 11002 (48 matches) (time left 268)

　　//以上輸出說明自反列表是在有內部到外部TELNET流量經過的時候，臨時自動產生一條列表。

　　(2)在路由器R1打開TELNET 服務，在R3(從外網到內網)TELNET路由器R1不能成功，同時在路由器R2上查看訪問控制列表：

　　R2#show access-lists

　　Extended IP access list ACLIN

　　10 evaluate REF

　　Extended IP access list ACLOUT

　　10 permit tcp any any reflect REF

　　20 permit udp any any reflect REF

　　Reflexive IP access list REF

　　以上輸出說明自反列表是在有外部到內部TELNET流量經過的時候，不會臨時自動產生一條列表，所以不能訪問成功。之后在PC上只能ping通外網，但不能ping通內網了。ACL限制外網訪問的配置就向大家介紹完了，希望大家已經掌握。謝謝閱讀，希望能幫到大家，請繼續關注武林網，我們會努力分享更多優秀的文章。