自反ACL
基本思想:内网可以访问外网,但外网没有允许不能访问内网,内网访问外网的回应数据可以通过
例:一、ip access-list extended outbound 创建出去数据的ACL
permit tcp any any reflect cisco tcp的流量可以进来,但要在有内部tcp流量出去时动态创建
二、 ip access-list extended inbound 创建进来数据的ACL
permit icmp any any 允许基于ICMP的数据如echo-request
evaluate cisco 允许出去的ACL中的有cisco对应语句的TCP流量进来
三、 int s1/0 s1/0为路由器的接外网的端口
ip access-group outbound out
ip access-group inbound in
说明:reflect和evalute后面的对应名应该相同,此例中为cisco
