自反ACL
  自反 ACL 允许最近出站数据包的目的地发出的应答流量回到该出站数据包的源地址。这样您可以更加严格地控制哪些流量能进入您的网络,并提升了扩展访问列表的能力。 
  简单的讲就是内网inside能访问外网,而外网不能够访问内网。
  自反 ACL 具有以下优点:   
  帮助保护您的网络免遭网络******,并可内嵌在防火墙防护中。   提供一定级别的安全性,防御欺骗***和某些 DoS ***。自反 ACL 方式较难以欺骗,因为允许通过的数据包需要满足更多的过滤条件。例如,源和目的地址及端口号都会检查到,而不只是 ACK 和 RST 位。
  实验拓扑:
R1/R2/R3:配置ip以及路由确保链路之间能够相互ping通。
R1(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2 
R2(config)#ip route 0.0.0.0 0.0.0.0 100.1.1.3
R2(config)#ip route 192.168.1.0 255.255.255.0 10.1.1.1
R3(config)#ip route 0.0.0.0. 0.0.0.0 100.1.1.2
配置R2自反ACL:
R2(config)#ip access-list extended               //创建一个ACL A
R2(config-ext-nacl)#permit ip any any reflect  B   //定义自反 ACL B
R2(config)#ip access-list extended  zifan          //创建一个zifan ACL
R2(config-ext-nacl)#evaluate  B  //评估反射,调用A中的B
R2(config)#int e0/1             //接口调用
R2(config-if)#ip access-group A out
R2(config-if)#ip access-group zifan in
实验调试
 (1)查看R2的ACL
   R2#sh ip access-lists 
Extended IP access list  A             //扩展ACL A
    10 permit ip 192.168.1.0 0.0.0.255 any reflect B (62 matches)  
Reflexive IP access list B
Extended IP access list zifan
    10 evaluate B
 (2)在路由器 R1 和 R3 都打开 TELNET 服务,在 R1(从内网到外网)TELNET 路由器
R3 成功,同时在路由器 R2 上查看ACL:
R2#sh ip access-lists 
Extended IP access list A
    10 permit ip 192.168.1.0 0.0.0.255 any reflect B (72 matches)
Reflexive IP access list B
permit tcp host 3.3.3.3 eq telnet host 192.168.1.10 eq 42890 (14 matches) (time left  297 //自反列表是在有内部到外部 TELNET 流量经过的时候,临时自动产生一条列表。297为生存时间
Extended IP access list zifan
10 evaluate B
(3)在路由器 R1 打开 TELNET 服务,在 R3(从外网到内网)TELNET 路由器 R1 不能成功,同时在路由器 R2 上查看访问控制列表:
R2#sh ip access-lists 
Extended IP access list A            
10 permit ip 192.168.1.0 0.0.0.255 any reflect B (62 matches)  
Reflexive IP access list B
Extended IP access list zifan
    10 evaluate B
以上输出说明自反列表是在有外部到内部 TELNET 流量经过的时候,不会临时自动产生
一条列表,所以不能访问成功。