注意必须是内部发起的!用命名的ACL做。

不是很好理解，看个例子吧。

先看下面的：

不通!!记住，通信都是双向的!住一面的流量就都不通了!!

下面再来看自反ACL吧;

仔细看看先，在接口的in方向上只允许了一个ospf协议，其他访问都了，也就是不允许外网访问内网。evaluateabc嵌套了一个反射ACL信号强度高 腾达W302R高速无线由器，名称为abc。

192.168.1.1 路由器在接口的out方向上，允许所有的访问，记住刚才提到的;可以出去但是回不来!!!所以在permitipanyany后加上了一个reflectabc，也就是说，任何从内网发起的流量如果它匹配这条permitipanyanyreflectabc语句的话，则自动在refin的列表中创建一条动态的permit语句!用showaccess-lists可以看到!不是简单的将这个条目中的源目的地址调过来啊!是详细条目啊!

记住，自反ACL永远是permit的，做个实验好好理解一下吧!