使用自反acl限制外网访问

核心提示：为了保护内网的安全，有的时候我想，使用自反acl限制外网访问，只允许内网访问外网，不允许外网访问内网，我在这配置的是rip version1 的 也可以配置别的，eigrp ospf 都行下面看怎么配置自反alc内网访问外网的自反alcR1>enR1#conf tEnter configuration comma

为了保护内网的安全。有的时候我想，只允许内网访问外网，不允许外网访问内网，我们利用cisco 路由器的自反acl来实现。

实验如图

配置ip地址就不在这赘诉了，外网与内网不是一个网段的， 我们需要配置路由协议，我在这配置的是rip version1 的 也可以配置别的，eigrp ospf 都行

下面看怎么配置自反alc

内网访问外网的自反alc

R1>en

R1#conf t

Enter configuration commands, one per line.　 End with CNTL/Z.

R1(config)#ip access-list extended aclout　 创建出去的acl

R1(config-ext-nacl)#permit tcp any any reflect tcp 自定该条目为自反，名字是tcp

外网访问内网的自反acl

R1(config)#ip access-list extended aclin

R1(config-ext-nacl)#evaluate tcp 生成自反列表（第一步生成自反acl的名字是tcp，所以对应的名字也就是tcp了）

R1(config-ext-nacl)#permit udp any any

将自反alc应用到相应的接口上

R1(config)#int fa0/1　　　　 外网接口

R1(config-if)#ip access-group aclout out

R1(config-if)#ip access-group aclin in

现在我们在pc上ping下如果能ping通 外网ping不通内网就成功了

内ping外

ping通了

外ping内

没ｐｉｎｇ通说明我们的实验成功了