ACL可以限制網絡流量、提高網絡性能，為了保護內網的安全，可以只允許內網訪問外網，不允許外網訪問內網，這里利用cisco 路由器的自反ACL來實現。用戶需要配置路由協議，以下配置的是RIP Version1的，也可以配置別的，如EIGRP或OSPF。

　　內網訪問外網的自反ACL

　　R1>en

　　R1#conf t

　　Enter configuration commands, one per line.　 End with CNTL/Z.

　　R1（config）#ip access-list extended aclout　 創建出去的ACL

　　R1（config-ext-nacl）#permit tcp any any reflect tcp 自定該條目為自反，名字是tcp

　　外網訪問內網的自反ACL

　　R1（config）#ip access-list extended aclin

　　R1（config-ext-nacl）#evaluate tcp 生成自反列表（第一步生成自反ACL的名字是tcp，所以對應的名字也就是tcp了）

　　R1（config-ext-nacl）#permit udp any any

　　將自反alc應用到相應的接口上

　　R1（config）#int fa0/1 外網接口

　　R1（config-if）#ip access-group aclout out

　　R1（config-if）#ip access-group aclin in

　　之后在PC上只能ping通外網，但不能ping通內網了。

　　ACL限制外網訪問的配置就向大家介紹完了，希望大家已經掌握。