访问控制列表的应用----自反访问控制列表

允许内网访问外网，但是不允许外网访问内网，可以使用ACL的ACK或者established选项，也可以使用自反访问控制列表。

access-list 100 permit tcp any any established

access-list 100 permit tcp any any ACK

将此ACL应用到外部接口的入方向上。

 

自反访问控制列表：

1）自反访问控制列表只能和基于名字的扩展访问控制列表一起工作
2）他自己不能工作，必须寄生于扩展访问控制列表，并且有两个访问列表才行，也就是一个列表创建自反列表。

例如
ip access-list extended tcp-out
permit tcp any any reflect telnet
注意关键词 refect，当由符合tcp any any 的数据流通过的时候，就会产生一个名字叫做telnet的自反列表，但是它是产生而已，还不能被使用，因为没与应用到接口上
令外一个列表进行调用
ip access-list extended tcp-in
   evaluate telnet
在进来的访问列表里面，用关键字evaluate 来调用已经产生的telnet自反列表。

访问列表的一个特性，就是出去的访问列表不对这个路由器自己产生的数据包进行检查。也就是如果我们想允许出口路由器可以访问外部，但是不能被外部访问，只要在出接口上配置出方向的自反访问控制列表，但是因为有这个特性，所以配置完成后路由器自身是不会去匹配的，需要借助于本地路由策略

ip local policy route-map cisco
route-map cisco permit 10
match ip address tcp-out

让路由器去匹配那些自身产生的流量，自然会产生一个自反列表，以允许从要访问的路由器返回的流量。

 

 

R1代表内网，R2代表出口路由器，R3代表外网。

R1---10.1.1.0/24---R2-----192.168.1.0/24------R3

接口名称：s 1/1----------s1/0-s1/1---------------------s1/0

                R1                      R2                                    R3 

之间配置静态路由，使网络连通，并配置telnet允许访问。