以自反acl限制外网访问？

为了保护内网的安全。有的时候我想，只允许内网访问外网，不允许外网访问内网，我们利用cisco路由器的自反acl来实现。

配置ip地址就不在这赘诉了，外网与内网不是一个网段的，我们需要配置路由协议，我在这配置的是ripversion1的也可以配置别的，eigrpospf都行

下面看怎么配置自反alc

内网访问外网的自反alc

R1>en

R1#conft

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

R1#ipaccess-listextendedaclout创建出去的acl

R1#permittcpanyanyreflecttcp自定开发者_如何学运维该条目为自反，名字是tcp

外网访问内网的自反acl

R1#ipaccess-listextendedaclin

R1#evaluatetcp生成自反列表

R1#permitudpanyany

将自反alc应用到相应的接口上

R1#intfa0/1外网接口

R1#ipaccess-groupacloutout

R1#ipaccess-groupaclinin

现在我们在pc上ping下如果能ping通外网ping不通内网就成功了

内ping外ping通了外ping内没ｐｉｎｇ通说明我们的实验成功了