邊界路由器不僅可以作為企業通訊的管理工具，同時通過邊界路由器的訪問控制也可以在一定程度上達到保護企業網絡安全的目的。本篇文章就通過設置邊界路由器的訪問控制，使得企業內外網訪問受到限制。

企業邊界路由器：

interface FastEthernet0/0

ip address 23.0.0.1 255.255.255.0

ip access-group ZIFAN-2 in

duplex auto

speed auto

!

interface FastEthernet1/0

ip address 12.0.0.2 255.255.255.0

ip access-group ZIFAN in

duplex auto

speed auto

!

ip http server

no ip http secure-server

!

!

!

!

ip access-list extended ZIFAN

permit ip host 12.0.0.1 any reflect LINK_IN //指定該條語句執行自反，自反列表的名字為LINK_IN

ip access-list extended ZIFAN-2

evaluate LINK_IN //計算并生成自反列表

deny ip any any

—————————————————————–

說明1：reflect和evalute后面的對應名應該相同，此例中為LINK_IN

說明2：自反ACL只能在命名的擴展ACL里定義

—————————————————————–

訪問控制試驗結果：

router#sh access-lists

Reflexive IP access list LINK_IN

permit icmp host 23.0.0.2 host 12.0.0.1 (39 matches) (time left 289)

Extended IP access list ZIFAN

10 permit ip host 12.0.0.1 any reflect LINK_IN (188 matches)

Extended IP access list ZIFAN-2

10 evaluate LINK_IN

20 deny ip any any (52 matches)