用访问控制列表实现网络单向访问

用访问控制列表实现网络单向访问(2)   
   好，现在进行测试，在10.1.1.2上ping 192.1.1.2，通了，RouterB上则ping不通10.1.1.2。
现在还余下一个问题：路由器既然已经deny了外网进来的所有流量，那么它是怎么允许内网出去的返回流量进来呢？
它是通过创建动态生成的ACL来允许返回流量的，下面看看show access-list的结果：

……
Reflexive IP access list icmp_traffic
  permit icmp host 192.1.1.2 host 10.1.1.2 (24 matches) (time left 196)
……

   这些动态ACL可通过TCP的FIN/RST包来动态自动消除，对ICMP这样stateless的包来说，是通过内置的timer来消除的，这点可通过上述show access-list结果中的(time left 196)来核实。 

   最后再说说那另一个测试，也就是两个ACL中加的多余的东西：

ip access-list extended outbound_filter
permit ip any any

ip access-list extended inbound_filter
deny ip any any log

    我在10.1.1.2上发起一个到192.1.1.2的TELNET连接，这个流量到了S0口后由ACL outbound_filter中的permit ip any any检测后放行。到了RouterB后，RouterB进行处理然后返回流量，这个流量到了S0口后由inbound_filter检测，因为evaluate icmp_traffic中并没有包含对TCP类型流量的检测，这个包由deny ip any any log一句处理后丢弃并生成日志：

00:24:28: %SEC-6-IPACCESSLOGP: list inbound_filter denied tcp 192.1.1.2(23) -> 10.1.1.2(1483), 1 packet
 
   好，最后的最后，如果Reflexive ACL是做在内网口上，而不是在外网口上，该怎么写呢？呵呵，这个问题就留给你了。