簡易拓撲圖（所有子網掩碼均為255.255.255.0）：
PC(10.1.1.2)---E0(10.1.1.1)[RouterA]S0(192.1.1.1)---S1(192.1.1.2)[RouterB]

做網絡的單向訪問其實實現的是防火墻的基本功能：我是內網，你是外網，我能訪問你，但你不能訪問我。
所以現在假設RouterA的E0口所連網段為內網段，RouterA S0所連的網段為外網段，還假設我想做的是內網的PC機能ping通外網RouterB的S1口，但RouterB卻ping不進我的內網。

用ACL來實現類似的單向訪問控制需要用到一種特殊的ACL，叫Reflexive ACL。Reflexive ACL的配置分為兩個部分，一部分是outbound的配置，一部分是inbound的配置。

在繼續下面的說明之前，先說點題外話。在最開始想到單向訪問問題時，我（也包括其它一些我的同事）自然的就這么想：那我在E0口上允許PC的流量進來，然后再在S0口上禁止RouterB的流量進來不就行了？看上去好像沒什么問題，但一試就知道其實是不行的。為什么不行呢，因為很多人都忽略了這么一個問題：即絕大多數的網絡流量都是有去有回的，上面的方法只解決了去的問題，但這個流量在到達RouterB后，RouterB還需要返回這個流量給PC，這個返回的流量到了RouterA的S0口，但上面的方法卻在S0口上禁止了RouterB的流量進來，回來的流量被擋住了，通訊失敗。

Reflexive ACL中outbound的部分決定了我出去的哪些內網網絡流量是需要被單向訪問的，inbound部分決定了這些流量在返回后能被正確的識別并送給內網發起連接的PC機。

Reflexive ACL中outbound的部分：
ip access-list extended outbound_filter
permit icmp any any reflect icmp_traffic
permit ip any any
!---注意在Reflexive ACL中只能用named方式的ACL，不能用numbered方式的ACL。
!---基本配置和普通ACL并沒有什么太多不同，不同之處是reflect icmp_traffic，它的意思是這條ACE作為單向流量來處理，并且給了一個名稱叫icmp_traffic，icmp_traffic在inbound部分被引用。
!---permit ip any any并不是必要的，加在這里是為了另一個測試，下面會說明。

Reflexive ACL中inbound的部分：
ip access-list extended inbound_filter
evaluate icmp_traffic
deny ip any any log
!---inbound的配置有和普通ACL有點不同了，第一句evaluate icmp_traffic對上述outbound配置中的icmp_traffic進行了引用，也就是說，它要檢查從外網進來的流量，如果這個流量確實是從內網發起的對外訪問的返回流量，那么允許這個流量進來。
!---注意deny ip any any log這句，雖然這句也是不必配的，因為是默認的deny ip any any，但我加了log來對上面outbound部分的permit ip any any進行測試。

Reflexive ACL中應用到接口的部分：
interface Serial0
ip address 192.1.1.1 255.255.255.0
ip access-group inbound_filter in
ip access-group outbound_filter out
!---這里也有一些講究，ACL outbound_filter被應用到外網口的out方向，ACL inbound_filter被應用到外網口的in方向，in和out不能搞混。

好，現在進行測試，在10.1.1.2上ping 192.1.1.2，通了，RouterB上則ping不通10.1.1.2。
現在還余下一個問題：路由器既然已經deny了外網進來的所有流量，那么它是怎么允許內網出去的返回流量進來呢？
它是通過創建動態生成的ACL來允許返回流量的，下面看看show access-list的結果：

……
Reflexive IP access list icmp_traffic
　permit icmp host 192.1.1.2 host 10.1.1.2 (24 matches) (time left 196)
……

這些動態ACL可通過TCP的FIN/RST包來動態自動消除，對ICMP這樣stateless的包來說，是通過內置的timer來消除的，這點可通過上述show access-list結果中的(time left 196)來核實。

最后再說說那另一個測試，也就是兩個ACL中加的多余的東西：

ip access-list extended outbound_filter
permit ip any any

ip access-list extended inbound_filter
deny ip any any log

我在10.1.1.2上發起一個到192.1.1.2的TELNET連接，這個流量到了S0口后由ACL outbound_filter中的permit ip any any檢測后放行。到了RouterB后，RouterB進行處理然后返回流量，這個流量到了S0口后由inbound_filter檢測，因為evaluate icmp_traffic中并沒有包含對TCP類型流量的檢測，這個包由deny ip any any log一句處理后丟棄并生成日志：

00:24:28: %SEC-6-IPACCESSLOGP: list inbound_filter denied tcp 192.1.1.2(23) -> 10.1.1.2(1483), 1 packet (責任編輯：liucl)