簡易拓撲圖（所有子網掩碼均為255.255.255.0）：
PC(10.1.1.2)---E0(10.1.1.1)[RouterA]S0(192.1.1.1)---S1(192.1.1.2)[RouterB] 
做網絡的單向訪問其實實現的是防火墻的基本功能：我是內網，你是外網，我能訪問你，但你不能訪問我。
所以現在假設RouterA的E0口所連網段為內網段，RouterA S0所連的網段為外網段，還假設我想做的是內網的PC機能ping通外網RouterB的S1口，但RouterB卻ping不進我的內網。 
用ACL來實現類似的單向訪問控制需要用到一種特殊的ACL，叫Reflexive ACL。Reflexive ACL的配置分為兩個部分，一部分是outbound的配置，一部分是inbound的配置。 
在繼續(xù)下面的說明之前，先說點題外話。在最開始想到單向訪問問題時，我（也包括其它一些我的同事）自然的就這么想：那我在E0口上允許PC的流量進來，然后再在S0口上禁止RouterB的流量進來不就行了？看上去好像沒什么問題，但一試就知道其實是不行的。為什么不行呢，因為很多人都忽略了這么一個問題：即絕大多數的網絡流量都是有去有回的，上面的方法只解決了去的問題，但這個流量在到達RouterB后，RouterB還需要返回這個流量給PC，這個返回的流量到了RouterA的S0口，但上面的方法卻在S0口上禁止了RouterB的流量進來，回來的流量被擋住了，通訊失敗。 
好，下面再切回來。Reflexive ACL中outbound的部分決定了我出去的哪些內網網絡流量是需要被單向訪問的，inbound部分決定了這些流量在返回后能被正確的識別并送給內網發(fā)起連接的PC機。
Reflexive ACL中outbound的部分：
ip access-list extended outbound_filter
permit icmp any any reflect icmp_traffic
permit ip any any
!---注意在Reflexive ACL中只能用named方式的ACL，不能用numbered方式的ACL。
!---基本配置和普通ACL并沒有什么太多不同，不同之處是reflect icmp_traffic，它的意思是這條ACE作為單向流量來處理，并且給了一個名稱叫icmp_traffic，icmp_traffic在inbound部分被引用。
!---permit ip any any并不是必要的，加在這里是為了另一個測試，下面會說明。
Reflexive ACL中inbound的部分：
ip access-list extended inbound_filter
evaluate icmp_traffic
deny ip any any log
!---inbound的配置有和普通ACL有點不同了，第一句evaluate icmp_traffic對上述outbound配置中的icmp_traffic進行了引用，也就是說，它要檢查從外網進來的流量，如果這個流量確實是從內網發(fā)起的對外訪問的返回流量，那么允許這個流量進來。
!---注意deny ip any any log這句，雖然這句也是不必配的，因為是默認的deny ip any any，但我加了log來對上面outbound部分的permit ip any any進行測試。
Reflexive ACL中應用到接口的部分：
interface Serial0
ip address 192.1.1.1 255.255.255.0
ip access-group inbound_filter in
ip access-group outbound_filter out
!---這里也有一些講究，ACL outbound_filter被應用到外網口的out方向，ACL inbound_filter被應用到外網口的in方向，in和out不能搞混。 

好，現在進行測試，在10.1.1.2上ping 192.1.1.2，通了，RouterB上則ping不通10.1.1.2。
現在還余下一個問題：路由器既然已經deny了外網進來的所有流量，那么它是怎么允許內網出去的返回流量進來呢？
它是通過創(chuàng)建動態(tài)生成的ACL來允許返回流量的，下面看看show access-list的結果：
……
Reflexive IP access list icmp_traffic
permit icmp host 192.1.1.2 host 10.1.1.2 (24 matches) (time left 196)
…… 
這些動態(tài)ACL可通過TCP的FIN/RST包來動態(tài)自動消除，對ICMP這樣stateless的包來說，是通過內置的timer來消除的，這點可通過上述show access-list結果中的(time left 196)來核實。 
最后再說說那另一個測試，也就是兩個ACL中加的多余的東西：
ip access-list extended outbound_filter
permit ip any any
ip access-list extended inbound_filter
deny ip any any log
我在10.1.1.2上發(fā)起一個到192.1.1.2的TELNET連接，這個流量到了S0口后由ACL outbound_filter中的permit ip any any檢測后放行。到了RouterB后，RouterB進行處理然后返回流量，這個流量到了S0口后由inbound_filter檢測，因為evaluate icmp_traffic中并沒有包含對TCP類型流量的檢測，這個包由deny ip any any log一句處理后丟棄并生成日志：
00:24:28: %SEC-6-IPACCESSLOGP: list inbound_filter denied tcp 192.1.1.2(23) -> 10.1.1.2(1483), 1 packet 

好，最后的最后，如果Reflexive ACL是做在內網口上，而不是在外網口上，該怎么寫呢？呵呵，這個問題就留給你了。