为了保护内网的安全。有的时候我想，只允许内网访问外网，不允许外网访问内网，我们利用cisco 路由器的自反acl来实现。
　　实验如图

　　配置ip地址就不在这赘诉了，外网与内网不是一个网段的， 我们需要配置路由协议，我在这配置的是rip version1 的 也可以配置别的，eigrp ospf 都行
　　下面看怎么配置自反alc
　　内网访问外网的自反alc
　　R1>en
　　R1#conf t
　　Enter configuration commands, one per line. End with CNTL/Z.
　　R1(config)#ip access-list extended aclout 创建出去的acl
　　R1(config-ext-nacl)#permit tcp any any reflect tcp 自定该条目为自反，名字是tcp
　　外网访问内网的自反acl
　　R1(config)#ip access-list extended aclin
　　R1(config-ext-nacl)#evaluate tcp 生成自反列表（第一步生成自反acl的名字是tcp，所以对应的名字也就是tcp了）
　　R1(config-ext-nacl)#permit udp any any
　　将自反alc应用到相应的接口上
　　R1(config)#int fa0/1 外网接口
　　R1(config-if)#ip access-group aclout out
　　R1(config-if)#ip access-group aclin in
　　现在我们在pc上ping下如果能ping通 外网ping不通内网就成功了
　　内ping外

　　ping通了
　　外ping内

　　没ｐｉｎｇ通说明我们的实验成功了