自反訪問(wèn)列表會(huì)根據(jù)一個(gè)方向的訪問(wèn)控制列表，自動(dòng)創(chuàng)建出一個(gè)反方向的控制列表，是和原來(lái)的控制列表—IP的源地址和目的地址顛倒，并且源端口號(hào)和目的端口號(hào)完全相反的一個(gè)列表。那么如何在路由器上完成自反訪問(wèn)控制列表的配置呢？下面我們開始逐步進(jìn)行：

注意必須是內(nèi)部發(fā)起的!用命名的ACL做。

　　不是很好理解，看個(gè)例子吧。

　　先看下面的：

　　ip access-list extended abc 
　　deny icmp any 192.168.1.0 0.0.0.255  
　　permit ip any any  
　　exit  
　　int s0/0  
　　ip access-group abc in 

　　這個(gè)ACL是禁止外網(wǎng)去ping內(nèi)網(wǎng)的192.168.1.0/24這個(gè)網(wǎng)段，但是我如果從192.168.1.1去ping外網(wǎng)是否能ping通？

　　不通!!記住，通信都是雙向的!限制住一面的流量就都不通了!!

　　下面再來(lái)看自反ACL吧;

1. 　ip access-list extended refin  
2. 　　permit ospf any any  
3. 　　evaluate abc '注意這條語(yǔ)句!  
4. 　　exit  
5. 　　ip access-list extended refout  
6. 　　permit ip any any reflect abc '還有這條!  
7. 　　exit  
8. 　　int s0/0  
9. 　　ip access-group refin in  
10. 　　ip access-group rofut out  
11. 　　exit  
12. 　　ip reflexive-list timeout 60  

　　仔細(xì)看看先，在接口的in方向上只允許了一個(gè)ospf協(xié)議，其他訪問(wèn)都禁止了，也就是不允許外網(wǎng)訪問(wèn)內(nèi)網(wǎng)。evaluate abc嵌套了一個(gè)反射ACL，名稱為abc。

　　在接口的out方向上，允許所有的訪問(wèn)，記住剛才提到的;可以出去但是回不來(lái)!!!所以在permit ip any any 后加上了一個(gè)reflect abc，也就是說(shuō)，任何從內(nèi)網(wǎng)發(fā)起的流量如果它匹配這條permit ip any any reflect abc語(yǔ)句的話，則自動(dòng)在refin的列表中創(chuàng)建一條動(dòng)態(tài)的permit語(yǔ)句!用show access-lists可以看到!不是簡(jiǎn)單的將這個(gè)條目中的源目的地址調(diào)過(guò)來(lái)啊!是詳細(xì)條目啊!

　　記住，自反ACL永遠(yuǎn)是permit的，做個(gè)實(shí)驗(yàn)好好理解一下吧!

　　ip reflexive-list timeout 60 設(shè)置的是反射出來(lái)的條目的有效時(shí)間!

【編輯推薦】

1. 訪問(wèn)控制列表ACL技術(shù)
2. Cisco自反控制列表應(yīng)用
3. cisco動(dòng)態(tài)訪問(wèn)控制列表的應(yīng)用
4. 更改公用文件夾ACL（訪問(wèn)控制列表）
5. Secpath典型配置之訪問(wèn)控制列表（ACL）