五、自反ACL
    基本思想:内网可以访问外网,但外网没有允许不能访问内网,内网访问外网的回应数据可以通过
    例:一、ip access-list extended outbound         创建出去数据的ACL
                    permit tcp any any reflect cisco          tcp的流量可以进来,但要在有内部tcp流量出去时动态创建
           二、 ip access-list extended inbound          创建进来数据的ACL
                       permit icmp any any                          允许基于ICMP的数据如echo-request
                       evaluate cisco                                      允许出去的ACL中的有cisco对应语句的TCP流量进来
          三、 int s1/0                                                   s1/0为路由器的接外网的端口
                  ip access-group outbound out
                  ip access-group inbound in
    说明:reflect和evalute后面的对应名应该相同,此例中为cisco

本文出自 “along” 博客,请务必保留此出处http://liyulong.blog.51cto.com/139287/51508