自反訪問列表會根據(jù)一個方向的訪問控制列表，自動創(chuàng)建出一個反方向的控制列表，是和原來的控制列表—IP的源地址和目的地址顛倒，并且源端口號和目的端口號完全相反的一個列表。那么如何在路由器上完成自反訪問控制列表的配置呢？下面我們開始逐步進(jìn)行：

注意必須是內(nèi)部發(fā)起的!用命名的ACL做。

　　不是很好理解，看個例子吧。

　　先看下面的：

　　ip access-list extended abc 
　　deny icmp any 192.168.1.0 0.0.0.255  
　　permit ip any any  
　　exit  
　　int s0/0  
　　ip access-group abc in 

　　這個ACL是禁止外網(wǎng)去ping內(nèi)網(wǎng)的192.168.1.0/24這個網(wǎng)段，但是我如果從192.168.1.1去ping外網(wǎng)是否能ping通？

　　不通!!記住，通信都是雙向的!限制住一面的流量就都不通了!!

　　下面再來看自反ACL吧;

1. 　ip access-list extended refin  
2. 　　permit ospf any any  
3. 　　evaluate abc '注意這條語句!  
4. 　　exit  
5. 　　ip access-list extended refout  
6. 　　permit ip any any reflect abc '還有這條!  
7. 　　exit  
8. 　　int s0/0  
9. 　　ip access-group refin in  
10. 　　ip access-group rofut out  
11. 　　exit  
12. 　　ip reflexive-list timeout 60  

　　仔細(xì)看看先，在接口的in方向上只允許了一個ospf協(xié)議，其他訪問都禁止了，也就是不允許外網(wǎng)訪問內(nèi)網(wǎng)。evaluate abc嵌套了一個反射ACL，名稱為abc。

　　在接口的out方向上，允許所有的訪問，記住剛才提到的;可以出去但是回不來!!!所以在permit ip any any 后加上了一個reflect abc，也就是說，任何從內(nèi)網(wǎng)發(fā)起的流量如果它匹配這條permit ip any any reflect abc語句的話，則自動在refin的列表中創(chuàng)建一條動態(tài)的permit語句!用show access-lists可以看到!不是簡單的將這個條目中的源目的地址調(diào)過來啊!是詳細(xì)條目啊!

　　記住，自反ACL永遠(yuǎn)是permit的，做個實驗好好理解一下吧!

　　ip reflexive-list timeout 60 設(shè)置的是反射出來的條目的有效時間!

【編輯推薦】

1. 訪問控制列表ACL技術(shù)
2. Cisco自反控制列表應(yīng)用
3. cisco動態(tài)訪問控制列表的應(yīng)用
4. 更改公用文件夾ACL（訪問控制列表）
5. Secpath典型配置之訪問控制列表（ACL）