动态ACL

Posted zhujinwei

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了动态ACL相关的知识,希望对你有一定的参考价值。

  1. 拓扑

技术图片 

  1. IP地址规划

Device

interface

IP

mask

R1

F 0/0

10.20.1.1

/24

F 0/1

14.20.1.1

/24

R2

F 0/0

10.20.1.2

/24

R3

F 0/0

10.20.1.3

/24

R4

F 0/1

14.20.1.4

/24

  1. 配置动态 ACL

(1)配置默认不需要认证就可以通过的数据,如telnet

R1(config)#access-list 100 permit tcp an an eq telnet

(2)配置认证之后才能通过的数据,如ICMP,绝对时间为2分钟。

R1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any

(3)应用ACL

R1(config)#int f0/0

R1(config-if)#ip access-group 100 in

  1. 测试访问

(1)测试内网R2 telnet外网R4

技术图片 

说明:从结果中看出,telnet不受限制。

(2)测试测试内网R2 ping外网R4

技术图片 

说明:内网在没有认证之前,ICMP是无法通过的。

  1. 配置本地用户数据库

R1(config)#username zhu password zhu

  1. 配置所有人的用户名具有访问功能

R1(config)#line vty 0 4

R1(config-line)#login local

R1(config-line)#autocommand access-enable

R1(config-line)#

  1. 内网R2做认证

(1)测试telnet功能

技术图片

说明:当telnet路由器认证成功后,是会被关闭会话的。

 

 

(2)测试内网到外网的ICMP通信功能

 技术图片

说明:认证通过之后,ICMP被放行。

(3)查看ACL状态

 技术图片

说明:可以看到动态允许的流量已放行。

  1. host功能

第一种:r1(config-line)#autocommand access-enable     //如果没有加host,那么内网一台主机通过认证之后,所有主机都能访问外网

第二种:r1(config-line)# autocommand  access-enable host   //加了host,就变成谁通过了认证,谁才能访问外网。

 

有配置访问功能时,命令有两种,并且后面可以跟时间,这里的时间为空闲时间,必须比之前的绝对时间要小,在配置访问功能时,如果没有加host,那么内网一台主机通过认证之后,所有主机都能访问外网,加了host,就变成谁通过了认证,谁才能访问外网。

 

以上是关于动态ACL的主要内容,如果未能解决你的问题,请参考以下文章

动态ACL

动态NAT

eNSP模拟器RIP2动态路由,DHCP服务,ACL流控,组合使用的拓扑网络

动态NAT(单一地址池)

使用HAPROXY的ACL实现基于文件后缀名的动态和静态资源分离

Acl-Master的Linux安装