PC0所在网段模拟公司内网，Server0模拟外部网络。

要求内网可以访问外部网络，但是外网不能连接内网

Router1 配置如下：

interface FastEthernet0/0
 ip address 192.168.10.254 255.255.255.0
 duplex auto
 speed auto
!
interface Serial2/0
 ip address 10.1.1.1 255.255.255.0
 clock rate 64000
!
router ospf 1
 log-adjacency-changes
 network 192.168.10.0 0.0.0.255 area 0
 network 10.1.1.0 0.0.0.255 area 0
!
ip classless

Router2 配置如下：

interface FastEthernet0/0
 ip address 1.1.1.254 255.255.255.0
 duplex auto
 speed auto
!
interface Serial2/0
 ip address 10.1.1.2 255.255.255.0
!
router ospf 1
 log-adjacency-changes
 network 10.1.1.0 0.0.0.255 area 0
 network 1.1.1.0 0.0.0.255 area 0
!
ip classless
 

此时，测试结果如下：

PC0能ping通Server0,能访问Server0提供的Web服务

 

 

但是Server0也能够ping通PC0

 

这不符合我们的要求，所以要设置相应的策略来满足我们的需求，这里我们选择自反ACL来实现，由于Cisco Packet Tracer没有reflect命令，之前在真机上做过，所以只把配置写一下，如果有记错的地方，请指出。

在Router1上配置如下：

Router(config)#ip access-list ext FAN

Router(config-ext-nacl)#permit ip any any reflect ab

Router(config)#ip access-list  ext FANIN

Router(config-ext-nacl)#evaluate ab
 

Router(config)#int s2/0

Router(config-if)#ip access-group FAN out

Router(config-if)#ip access-group FANIN in