一、簡單示例 ip access-list extended abc deny icmp any 192.168.1.0 0.0.0.255 permit ip any any exit int s0/0 ip access-group abc in 上述是禁止外網去ping內網的192.168.1.0/24這個網段,這時如果你想從192.168.1.1去ping外網也是ping不通的,因為通信都是雙向的,限制住一面的流量就都不通了。
二、自反ACL ip access-list extended refin permit ospf any any evaluate abc exit ip access-list extended refout permit ip any any reflect abc exit int s0/0 ip access-group refin in ip access-group rofut out exit ip reflexive-list timeout 60
1、在接口的in方向上只允許了一個ospf協議,其他訪問都禁止了,也就是不允許外網訪問內網,evaluate abc嵌套了一個反射ACL,名稱為abc。 2、在接口的out方向上,允許所有的訪問,可以出去但是回不來,所以在permit ip any any 后加上了一個reflect abc,此時任何從內網發起的流量如果它匹配這條permit ip any any reflect abc語句的話,則自動在refin的列表中創建一條動態的permit語句。 3、自反ACL一直是permit的,ip reflexive-list timeout 60 設置的是反射出來的條目的有效時間。
