扩展ACL

思科ACL访问控制列表常规配置操作详解本⽂实例讲述了思科ACL访问控制列表常规配置操作。

分享给⼤家供⼤家参考，具体如下：⼀、ACL概述ACL (Access Control List,访问控制列表）是⼀系列运⽤到路由器接⼝的指令列表。

这些指令告诉路由器接收哪些数据包、拒绝哪些数据包，接收或者拒绝根据⼀定的规则进⾏，如源地址、⽬标地址、端⼝号等。

ACL使得⽤户能够管理数据流，检测特定的数据包。

路由器将根据ACL中指定的条件，对经过路由器端⼝的数据包进⾏检査。

ACL可以基于所有的Routed Protocols (被路由协议，如IP、IPX等）对经过路由器的数据包进⾏过滤。

ACL在路由器的端⼝过滤数据流，决定是否转发或者阻⽌数据包。

ACL应该根据路由器的端⼝所允许的每个协议来制定，如果需要控制流经某个端⼝的所有数据流，就需要为该端⼝允许的每⼀个协议分别创建ACL。

例如，如果端⼝被配置为允许IP、AppleTalk和IPX协议的数据流，那么就需要创建⾄少3个ACL, 本⽂中仅讨论IP的访问控制列表。

针对IP协议，在路由器的每⼀个端⼝,可以创建两个ACL:—个⽤于过滤进⼊（inbound)端⼝的数据流，另⼀个⽤于过滤流出（outboimd)端⼝的数据流。

顺序执⾏：—个ACL列表中可以包含多个ACL指令，ACL指令的放置顺序很重要。

当路由器在决定是否转发或者阻⽌数据包的时候，Cisco的IOS软件，按照ACL中指令的顺序依次检査数据包是否满⾜某⼀个指令条件。

当检测到某个指令条件满⾜的时候，就执⾏该指令规定的动作，并且不会再检测后⾯的指令条件。

ACL作⽤： * 限制⽹络流量，提⾼⽹络性能。

* 提供数据流控制。

* 为⽹络访问提供基本的安全层。

⼆、ACL 类型1. 标准ACL: access-list-number编号1~99之间的整数，只针对源地址进⾏过滤。

2. 扩展ACL: access-list-number编号100~199之间的整数，可以同时使⽤源地址和⽬标地址作为过滤条件，还可以针对不同的协议、协议的特征、端⼝号、时间范围等过滤。

华为交换机ACL如何使⽤及原则华为交换机ACL如何使⽤及原则ACL(访问控制列表)的应⽤原则：标准ACL，尽量⽤在靠近⽬的点扩展ACL，尽量⽤在靠近源的地⽅（可以保护带宽和其他资源）⽅向：在应⽤时，⼀定要注意⽅向ACL分类基本ACL #范围为2000～2999 可使⽤IPv4报⽂的源IP地址、分⽚标记和时间段信息来定义规则⾼级ACL #范围为3000～3999 既可使⽤IPv4报⽂的源IP地址，也可使⽤⽬的地址、IP优先级、ToS、DSCP、IP协议类型、ICMP类型、TCP源端⼝/⽬的端⼝、UDP源端⼝/⽬的端⼝号等来定义规则⼆层ACL #范围为4000～4999 可根据报⽂的以太⽹帧头信息来定义规则，如根据源MAC（Media Access Control）地址、⽬的MAC地址、以太帧协议类型等⾃定义ACL 范围为5000～5999 #可根据偏移位置和偏移量从报⽂中提取出⼀段内容进⾏匹配场景⼀：（机房交换机不允许⾮管理⽹络ssh登录）#创建基于命名的基本aclacl name ssh-kongzhi 2001rule 5 permit source 192.168.1.0 0.0.0.255rule 10 deny#在vty接⼝应⽤acl 2001user-interface vty 0 4acl 2001 inboundauthentication-mode aaaprotocol inbound all场景⼆：（如下图，主机⼀不能ping通http服务器，但是可以访问）#创建⾼级aclacl number 3001rule 5 permit tcp source 192.168.21.11 0 destination 192.168.21.100 0 destination-port eq wwwrule 10 deny icmp source 192.168.21.11 0 destination 192.168.21.100 0#在接⼝的上应⽤aclinterface GigabitEthernet0/0/2traffic-filter inbound acl 300场景三：（⾃反acl的应⽤，类是于防⽕墙）#⽬标(1)：在icmp协议上，实现外部⽹络中，只有smokeping主机能ping通内⽹，其余外部主机不能ping内⽹地址，并且要求内⽹可以ping外⽹#⽬标(2)：不让外部⽹络通过tcp协议连接内部，但是内部可以⽤tcp连接外部（实际意义不⼤，但是很形象，凡是设计tcp的应⽤协议都受控）#分析(1)：先允许smokeping的主机ping内⽹，ping包分（去包：echo，回包：echo-raly），在公⽹出⼝的⼊⽅向拒绝所有ping的去包类型echo，作⽤与所有主机#分析(2)：tcp协议，需要建⽴三次握⼿，只有第⼀次中不带ack标志，其余都带有ack，（这表⽰发起tcp连接的⼀⽅第⼀个包不带ack，根据这个在公⽹出⼝⼊⽅向进⾏设置）#创建aclacl name kongzhi 3001rule 5 permit icmp source 6.6.6.6 0rule 10 deny icmp icmp-type echorule 15 permit tcp tcp-flag ackrule 20 deny tcp#应⽤到公⽹出⼝上interface GigabitEthernet0/0/1ip address 4.4.4.4 255.255.255.0traffic-filter inbound acl name kongzhi场景四：（基于时间的acl应⽤）#⽬标：教师每天6点到23点，可以上⽹；学⽣周⼀到周五8点半到22点可以上⽹，周六周⽇两天任何时刻都上⽹分析：要实现基于时间的，就需要进⾏划分流量，然后阻断，所以，时间可以看成教师(jiaoshi)室每天早上0点到6点半不能，以及晚上23点到23点59不能上⽹学⽣(xuesheng)周⼀到周五的早上0点到8点半，以及晚上22点到23点59不能上⽹#第⼀：配置时间段（由于不⽀持"23:0 to 6:30"，所以写成下⾯这种形式）time-range jiaoshi-deny 00:00 to 6:30 dailytime-range jiaoshi-deny 23:00 to 23:59 dailytime-range xuesheng-deny 00:00 to 8:30 working-daytime-range xuesheng-deny 22:00 to 0:0 working-day#第⼆：创建配置⾼级aclacl number 3001rule deny ip source 192.168.21.0 0.0.0.255 time-range jiaoshi-denyacl number 3002rule deny ip source 192.168.22.0 0.0.0.255 time-range xuesheng-deny#第三：配置流分类（对匹配ACL 3001和3002的报⽂进⾏分类）traffic classifier d_jiaoshiif-match acl 3001traffic classifier d_xueshengif-match acl 3002#第四：配置流⾏为（动作为拒绝报⽂通过）traffic behavior d_jiaoshidenytraffic behavior d_xueshengdeny#第五：配置流策略（将流分类d_jiaoshi与流⾏为d_jiaoshi关联，组成流策略，这⾥为了⽅便直接将后⾯应⽤到⼀个接⼝上，将上⾯两个对应关系进⾏了合计）traffic policy all_denyclassifier d_jiaoshi behavior d_jiaoshiclassifier d_xuesheng behavior d_xuesheng#第六：在接⼝上应⽤流策略interface gigabitethernet 0/0/2ip address 114.114.114.1 255.255.255.0traffic-policy all_deny outbound声明：原创作者为辣条①号，原⽂章链接：。

ACL学习总结ACL（访问控制列表）学习总结一、ACL概述：ACL是由permit或deny组成的一系列有序的规则，它告诉路由器端口处决定哪种类型的通信流量被转发或者被阻塞。

所有的ACL的最后一行上都有隐含的deny语句，且他的顺序不可改变。

ACL主要具有包过滤、服务质量（QoS）、按需拨号路由（DDR）、网络地址转换（NAT）、路由过滤等功能。

ACL的基本原理时使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而到达访问控制的目的。

网络中的节点分为资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。

ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。

由于ACL是使用包过滤技术来实现的，过滤的仅仅是第三层和第四层包头中的部分信息，所以ACL技术不可避免的具有一定的局限性。

二、ACL的基本配置：1、配置ACL需要遵循两个基本原则：（1）最小特权原则：只给受控对象完成任务必须的最小权限；（2）最靠近受控对象原则：所有网络层访问权限控制尽可能距离受控对象最近；根据需要，提供两种基于IP的访问表：标准访问表和扩展访问表。

标准访问表只是根据源IP地址来允许或拒绝流量，而扩展访问表允许基于子协议、源地址、源端端口、目的地址，以及目的端口许可或者拒绝流量，甚至还可以过滤基于时间或者用户身份过滤流量。

2、配置ACL的两个重要参数：（1）ACL的表号和名字：ACL的表号和名字都是用来表示或引用ACL的，名字用字符串标识，表号用数据表示，不同协议、不同种类的ACL，其表号范围不同，一般地，1~99用于标准IP ACL，100~199用于扩展IP ACL。

（2）ACL的通配符：配置ACL的源地址或目的地址时，在允许或拒绝的IP地址后面，有一个参数是wildcard-mask——通配符，通配符用32位二进制数表示，表示形式与IP地址和子网掩码相同，而通配符实际上就是子网掩码的反码（如：IP地址202.112.66.1，其掩码是255.255.255.0，则其通配符就是0.0.0.255）2、配置一个标准IP ACL：在全局模式下：命令格式：access-list access-list-number {permit|deny|source wildcard-mask}例：在三层交换机上进行如下配置：access-list 1 permit host 10.1.6.6 anyaccess-list 1 deny anyint vlan 1ip access-group 1 out其中，access-list用于配置ACL的关键字，后面的1就是ACL的表号；host 10.1.6.6是匹配条件，等同于10.1.6.6 0.0.0.0，any表示匹配所有地址；int vlan 1、ip acces-group 1 out：将access-list 1应用到vlan1接口的out方向；3、配置一个扩展IP ACL：在全局配置模式下：（1）、使用access-list命令：命令格式：access-list access-list-number {permit|deny} protocol source wildcard-mask destination wildcard-mask [operator] [operand]例：在三层交换机上进行如下配置：int vlan 1no ip access-group 1 outexitno access-list 1access-list 101 permit tcp host 10.1.6.6 any eq telnetaccess-list 101 deny tcp any any eq telnetint vlan 1ip access-group 101 outint vlan 3ip access-group 101 out其中，no access-list 1是用于取消access-list 1，对于非命名的ACL，可以只需要这一句就可以全部取消（注：在取消或修改一个ACL之前，必须先将它所应用的接口上的应用给no掉，否则会导致严重后果）；tcp host 10.1.6.6 any eq telnet是匹配条件，完整格式为：协议源地址源wildcards[关系][源端口] 目的地址目的wildcards[关系][目的端口]，协议可以是IP、TCP、UDP、EIGRP 等，[]内为可选字段，关系可以是eq（等于）、neq（不等于）、lt（大于）、range（范围）等，端口一般为1-65535.4、配置命名的IP ACL：命名的IP ACL有两个优点：（1）、解决ACL号码不足的问题；（2）可以自由删除ACL中的一条语句，而不必删除整个ACL；5、验证ACL：（1）show running-config：快速显示应用的ACL并且不需要略过过多的输出条目；（2）show ip interface：此命令显示ACL应用的位置；（3）show ip access-lists：该命令具有显示匹配ACL中给定行的数据包数量的能力；三、ACL总结：在把IP ACL应用到网络中时，他的两种分类满足了全部需求。

ACL目录[隐藏]ACL介绍ACL的作用ACL的执行过程ACL的分类正确放置ACL[编辑本段]ACL介绍访问控制列表（Access Control List，ACL）是路由器和交换机接口的指令列表，用来控制端口进出的数据包。

ACL适用于所有的被路由协议，如IP、IPX、Appl eTalk等。

这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。

信息点间通信，内外网络的通信都是企业网络中必不可少的业务需求，但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。

简而言之，ACL可以过滤网络中的流量，控制访问的一种网络技术手段。

ACL的定义也是基于每一种协议的。

如果路由器接口配置成为支持三种协议（I P、AppleTalk以及IPX）的情况，那么，用户必须定义三种ACL来分别控制这三种协议的数据包。

[1][编辑本段]ACL的作用ACL可以限制网络流量、提高网络性能。

例如，ACL可以根据数据包的协议，指定数据包的优先级。

ACL提供对通信流量的控制手段。

例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。

ACL是提供网络安全访问的基本手段。

ACL允许主机A访问人力资源网络，而拒绝主机B访问。

ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。

例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。

例如：某部门要求只能使用WWW 这个功能，就可以通过ACL实现；又例如，为了某部门的保密性，不允许其访问外网，也不允许外网访问它，就可以通过ACL 实现。

[编辑本段]ACL的执行过程一个端口执行哪条ACL，这需要按照列表中的条件语句执行顺序来判断。

如果一个数据包的报头跟表中某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。

数据包只有在跟第一个判断条件不匹配时，它才被交给ACL中的下一个条件判断语句进行比较。

ACL的原理及应用一、 ACL介绍信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求，但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。

简而言之，ACL （访问控制列表）可以过滤网络中的流量，控制访问的一种网络技术手段。

实际上，ACL的本质就是用于描述一个IP数据包、以太网数据帧若干特征的集合。

然后根据这些集合去匹配网络中的流量（由大量数据包组成），同时根据策略来“允许”或者“禁止”。

作用：①ACL可以限制网络流量、提高网络性能。

②ACL提供对通信流量的控制手段。

③ACL是提供网络安全访问的基本手段。

④ ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。

二、 ACL的分类（基于IP）①标准ACL标准型ACL只能匹配源IP地址，在应用中有三种匹配的方式：1、any，指任意地址2、<net><mask>，指定某个IP网段3、src_range，指定IP的地址范围配置命令：ip access-list standard <name> //标准ACL，name为名字{permit | deny} any{permit | deny} <network> <net-mask>{permit | deny} src_range <start-ip> <end-ip>②扩展型ACL扩展型ACL可匹配多个条目，常用的项目有源、目的IP，源、目的端口号，以及ip协议号（种类）等，可以用来满足绝大多数的应用。

在一个条件中，这些项目的前后顺序如下：协议号，源ip地址，源端口号，目的ip地址，目的端口号。

配置命令：ip access-list extended <name>{permit | deny} {ip | icmp | tcp | udp} {any | network | src_range} [src_port] {any | network | src_range} [dst_port]三、 ACL的匹配规则一个端口执行哪条ACL ，这需要按照列表中的条件语句执行顺序来判断。

ACL介绍访问控制列表（Access Control List，ACL）是路由器和交换机接口的指令列表，用来控制端口进出的数据包。

ACL适用于所有的被路由协议，如IP、IPX、Appl eTalk等。

这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。

信息点间通信，内外网络的通信都是企业网络中必不可少的业务需求，但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。

简而言之，ACL可以过滤网络中的流量，控制访问的一种网络技术手段。

ACL的定义也是基于每一种协议的。

如果路由器接口配置成为支持三种协议（I P、AppleTalk以及IPX）的情况，那么，用户必须定义三种ACL来分别控制这三种协议的数据包。

[1][编辑本段]ACL的作用ACL可以限制网络流量、提高网络性能。

例如，ACL可以根据数据包的协议，指定数据包的优先级。

ACL提供对通信流量的控制手段。

例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。

ACL是提供网络安全访问的基本手段。

ACL允许主机A访问人力资源网络，而拒绝主机B访问。

ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。

例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。

例如：某部门要求只能使用WWW 这个功能，就可以通过ACL实现；又例如，为了某部门的保密性，不允许其访问外网，也不允许外网访问它，就可以通过ACL 实现。

[编辑本段]ACL的执行过程一个端口执行哪条ACL，这需要按照列表中的条件语句执行顺序来判断。

如果一个数据包的报头跟表中某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。

数据包只有在跟第一个判断条件不匹配时，它才被交给ACL中的下一个条件判断语句进行比较。

如果匹配（假设为允许发送），则不管是第一条还是最后一条语句，数据都会立即发送到目的接口。

ACL介绍信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求，但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。

简而言之，ACL可以过滤网络中的流量，是控制访问的一种网络技术手段。

ACL的定义也是基于每一种协议的。

如果路由器接口配置成为支持三种协议（IP、AppleTalk以及IPX）的情况，那么，用户必须定义三种ACL来分别控制这三种协议的数据包。

[1]ACL作用ACL可以限制网络流量、提高网络性能。

例如，ACL可以根据数据包的协议，指定数据包的优先级。

ACL提供对通信流量的控制手段。

例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。

ACL是提供网络安全访问的基本手段。

ACL允许主机A访问人力资源网络，而拒绝主机B访问。

ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。

例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。

例如：某部门要求只能使用 WWW 这个功能，就可以通过ACL实现；又例如，为了某部门的保密性，不允许其访问外网，也不允许外网访问它，就可以通过ACL 实现。

3P原则记住 3P 原则，您便记住了在路由器上应用 ACL 的一般规则。

您可以为每种协议 (per protocol)、每个方向 (per direction)、每个接口 (per interface) 配置一个 ACL：每种协议一个 ACL: 要控制接口上的流量，必须为接口上启用的每种协议定义相应的 ACL。

每个方向一个 ACL ：一个 ACL 只能控制接口上一个方向的流量。

要控制入站流量和出站流量，必须分别定义两个 ACL。

每个接口一个 ACL ：一个 ACL 只能控制一个接口（例如快速以太网 0/0）上的流量。

ACL 的编写可能相当复杂而且极具挑战性。

每个接口上都可以针对多种协议和各个方向进行定义。

ACL简介路由器为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这些规则就是通过访问控制列表ACL（Access Control List）定义的。

访问控制列表是由permit | deny等语句组成的一系列有顺序的规则，这些规则根据数据包的源地址、目的地址、端口号等来描述。

ACL通过这些规则对数据包进行分类，这些规则应用到路由器或交换机接口上，它们根据这些规则判断哪些数据包可以接收，哪些数据包需要拒绝。

一、Acl对已经识别出来的流分类可以执行七种操作;1.mirror-镜像：将识别出来的流量镜像一份到指定的端口，即流量的目的端口以及指定的mirror端口都能收到相同的流量。

配置实例: access-list standard 5 mirror 2/3 ethernet dmac 11：22：33：22：11：22 smac 55：44：33：33：33：222.redirect-重定向：将识别出来的流量重定向至指定端口，即流量的目的端口不会收到，而指定的重定向端口能收到流量。

配置实例：access-list standard 5 redirect 2/3 ethernet dmac 11：22：33：22：11：22 smac 55：44：33：33：33：223.trap-to-cpu：将识别出来的流量转发到cpu进行处理，查看时进后台先kill npd，再npd &，此时出现数据包的打印信息。

配置实例：access-list standard 5 trap ethernet dmac 11：22：33：22：11：22 smac55：44：33：33：33：224.ingress-qos：配置基于acl的QOS入口初始化，基于源up，源dscp，如果这两位设置为none，则代表不关注，不修改相应的up，或者dscp。

Qos-marker如果为disable时，表示入口引擎之后的其他markers无法修改qos属性配置实例：access-list standard 5 ingress-qos 5 sub-qos-markers enable source-upnone source-dscp 50（对入口报文的dscp修改为索引值为5的qos profile中的dscp值，up值不做修改，且随后的其他的markers可以对Up，dscp进行修改）5.egress-qos:配置基于acl的QOS出口重新初始化，基于源up，源dscp。

访问控制列表ACLACL简介ACL（Access Control List）是一个常用的用于流量匹配的工具，ACL通过对数据包中的源IP、目标IP、协议、源端口、目标端口这5元素进行匹配，然后对匹配的数据执行相应的策略（转发、丢弃、NAT 转换、限速）1.对访问网络的流量进行过滤，实现网络的安全访问；2. 网络地址转换(NAT)；3. QOS服务质量；4. 策略路由。

策略：要求1.1和1.2可以访问财务部(1.1和1.2 是销售部经理),其他不允许访问财务。

一、标准ACL:匹配条件较少，只能通过源IP地址和时间段进行流量匹配，在一些需要进行简单匹配的环境中使用。

R(config)# access-list 编号策略源地址编号：标准ACL范围1--- 99策略：permit允许 | deny 拒绝源地址：要严格检查的地址（ IP+通配符掩码）通配符掩码--- 是用来限定特定的地址范围（反掩码）用0 表示严格匹配用1 表示不检查例：主机 172.16.1.1 通配符掩码 0.0.0.0 32位都要检查主网 172.16.0.0/16 通配符掩码0.0.255.255 检查16位子网 172.16.1.0/24 通配符掩码0.0.0.255 24位要检查任意的 0.0.0.0 通配符掩码255.255.255.255不检查主机 ---- host 172.16.1.1 任意 ---- any练习：192.168.1.64/28子网掩码：255.255.255.240子网号： 192.168.1.64/28 (剩余4个主机位，网络号是16的倍数)广播地址： 192.168.1.79 (下一个网络号-1)通配符掩码 0.0.0.15 (比较前28位)通配符掩码 = 255.255.255.255 - 子网掩码也称为反掩码将ACL与接口关联：R(config-if)#ip access-group 编号 {in|out}{in|out} 表明在哪个方向上的数据进行控制策略：要求1.1和1.2可以访问财务部(1.1和1.2 是销售部经理)，其他不允许访问财务部。

ACL是我们常用的流量过滤技术，但是使用标准的ACL和扩展的ACL时，它们不能跟踪连接的状态，这会产生如下情况：当边界路由器连接到Internet的外部接口上使用了ACL来限制外部主机对内网的访问时，那么一些内网用户访问Internet的返回流量也会被拒绝掉，如果在ACL是我们常用的流量过滤技术，但是使用标准的ACL和扩展的ACL时，它们不能跟踪连接的状态，这会产生如下情况：当边界路由器连接到Internet的外部接口上使用了ACL来限制外部主机对内网的访问时，那么一些内网用户访问Internet的返回流量也会被拒绝掉，如果在连接到Internet 的外部接口上配置ACL时，允许ICMP echo-reply流量和源端口为80的HTTP流量进入内网，而同时拒绝任意其它的流量，那么当内网用户访问Internet上的其他网络服务的时候，用户的返回流量又会被ACL拒绝掉。

从前面的讲解中我们可以看到，虽然可以使用扩展的ACL来放行一部分返回网络的流量，但是当我们在边界路由器上配置访问规则时，并不能了解内网用户可能会使用那些网络应用服务，所以我们无法对用户可能会使用的网络服务一一指定相应的流量放行规则。

通常在解决限制外网用户访问内网这个问题时，我们可以使用CBAC（基于上写问的访问控制）来解决，而在实际的应用中，有时我们无法或者不能在路由器上实施CBAC，这时，我们可以通过在路由器上使用RACL特性来解决这个问题。

自反访问控制列表在路由器的一个接口上动态的允许某一个特定的流量，该过程是基于来自路由器另一边的会话进行的。

在正常的操作模式下，自反访问控制列表被配置并用于边界路由器的外部网络接口，例如连接到Internet的串行端口，在这些接口上可以动态的生成允许返回的访问控制条目。

这些访问控制条目地创建是基于内部网络的会话进行的。

在该过程中，访问控制列表执行的动作称为自反向过滤(reflexive filtering)。