五、自反ACL

    基本思想：内网可以访问外网，但外网没有允许不能访问内网，内网访问外网的回应数据可以通过

    例：一、ip access-list extended outbound         创建出去数据的ACL

                    permit tcp any any reflect cisco          tcp的流量可以进来，但要在有内部tcp流量出去时动态创建

           二、 ip access-list extended inbound          创建进来数据的ACL

                       permit icmp any any                          允许基于ICMP的数据如echo-request

                       evaluate cisco                                      允许出去的ACL中的有cisco对应语句的TCP流量进来

          三、 int s1/0                                                   s1/0为路由器的接外网的端口

                  ip access-group outbound out

                  ip access-group inbound in

    说明：reflect和evalute后面的对应名应该相同，此例中为cisco