自反访问列表会根据一个方向的访问控制列表，自动创建出一个反方向的控制列表，是和原来的控制列表—IP的源地址和目的地址颠倒，并且源端口号和目的端口号完全相反的一个列表。那么如何在路由器上完成自反访问控制列表的配置呢？下面我们开始逐步进行：

注意必须是内部发起的!用命名的ACL做。

不是很好理解，看个例子吧。

先看下面的：

ip access-list extended abc 
deny icmp any 192.168.1.0 0.0.0.255  
permit ip any any  
exit  
int s0/0  
ip access-group abc in 

这个ACL是禁止外网去ping内网的192.168.1.0/24这个网段，但是我如果从192.168.1.1去ping外网是否能ping通？

不通!!记住，通信都是双向的!限制住一面的流量就都不通了!!

下面再来看自反ACL吧;

1. 　ip access-list extended refin  
2. permit ospf any any  
3. evaluate abc '注意这条语句!  
4. exit  
5. ip access-list extended refout  
6. permit ip any any reflect abc '还有这条!  
7. exit  
8. int s0/0  
9. ip access-group refin in  
10. ip access-group rofut out  
11. exit  
12. ip reflexive-list timeout 60  

仔细看看先，在接口的in方向上只允许了一个ospf协议，其他访问都禁止了，也就是不允许外网访问内网。evaluate abc嵌套了一个反射ACL，名称为abc。

在接口的out方向上，允许所有的访问，记住刚才提到的;可以出去但是回不来!!!所以在permit ip any any 后加上了一个reflect abc，也就是说，任何从内网发起的流量如果它匹配这条permit ip any any reflect abc语句的话，则自动在refin的列表中创建一条动态的permit语句!用show access-lists可以看到!不是简单的将这个条目中的源目的地址调过来啊!是详细条目啊!

记住，自反ACL永远是permit的，做个实验好好理解一下吧!

ip reflexive-list timeout 60 设置的是反射出来的条目的有效时间!

【编辑推荐】

1. 访问控制列表ACL技术
2. Cisco自反控制列表应用
3. cisco动态访问控制列表的应用
4. 更改公用文件夹ACL（访问控制列表）
5. Secpath典型配置之访问控制列表（ACL）

　　推荐阅读

　　2011网络十大热点领域展望之路由器篇

2011年热点领域展望：路由器篇刚刚过去的2010年里，路由器领域基本向着两个方向发展。在高端核心路由领域，继续在网络处理性能以及低功耗和绿色节能方面迈进;而在中低端产品中，更多的是一种产品功能性集成和面向4-7>>>详细阅读

本文标题：在路由器上配置自反访问控制列表

地址：http://www.17bianji.com/luyou/5827.html

 1/2    1