ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能，為了保護(hù)內(nèi)網(wǎng)的安全，可以只允許內(nèi)網(wǎng)訪問外網(wǎng)，不允許外網(wǎng)訪問內(nèi)網(wǎng)，這里利用cisco 路由器的自反ACL來實(shí)現(xiàn)。用戶需要配置路由協(xié)議，以下配置的是RIP Version1的，也可以配置別的，如EIGRP或OSPF。

內(nèi)網(wǎng)訪問外網(wǎng)的自反ACL

R1>en  
 
R1#conf t  
 
Enter configuration commands, one per line.　 End with CNTL/Z.  
 
R1（config）#ip access-list extended aclout　 創(chuàng)建出去的ACL  
 
R1（config-ext-nacl）#permit tcp any any reflect tcp 自定該條目為自反，名字是tcp 

外網(wǎng)訪問內(nèi)網(wǎng)的自反ACL

R1（config）#ip access-list extended aclin  
 
R1（config-ext-nacl）#evaluate tcp 生成自反列表（***步生成自反ACL的名字是tcp，所以對應(yīng)的名字也就是tcp了）  
 
R1（config-ext-nacl）#permit udp any any 

將自反alc應(yīng)用到相應(yīng)的接口上

R1（config）#int fa0/1　　　　 外網(wǎng)接口  
 
R1（config-if）#ip access-group aclout out  
 
R1（config-if）#ip access-group aclin in 

之后在PC上只能ping通外網(wǎng)，但不能ping通內(nèi)網(wǎng)了。

ACL限制外網(wǎng)訪問的配置就向大家介紹完了，希望大家已經(jīng)掌握。

【編輯推薦】

1. 路由器故障：廣域網(wǎng)故障處理分析
2. 路由器故障：網(wǎng)段沖突導(dǎo)致部分業(yè)務(wù)不通
3. 路由器故障：ACL配置導(dǎo)致用戶業(yè)務(wù)不正常
4. 路由器故障：ATM接口做備份接口鏈路層無法Up 
5. 路由器故障：ACL做路由過濾未過濾掉一條聚合路由