动态ACL
Posted zhujinwei
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了动态ACL相关的知识,希望对你有一定的参考价值。
- 拓扑
- IP地址规划
|
Device |
interface |
IP |
mask |
|
R1 |
F 0/0 |
10.20.1.1 |
/24 |
|
F 0/1 |
14.20.1.1 |
/24 |
|
|
R2 |
F 0/0 |
10.20.1.2 |
/24 |
|
R3 |
F 0/0 |
10.20.1.3 |
/24 |
|
R4 |
F 0/1 |
14.20.1.4 |
/24 |
- 配置动态 ACL
(1)配置默认不需要认证就可以通过的数据,如telnet
R1(config)#access-list 100 permit tcp an an eq telnet
(2)配置认证之后才能通过的数据,如ICMP,绝对时间为2分钟。
R1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any
(3)应用ACL
R1(config)#int f0/0
R1(config-if)#ip access-group 100 in
- 测试访问
(1)测试内网R2 telnet外网R4
说明:从结果中看出,telnet不受限制。
(2)测试测试内网R2 ping外网R4
说明:内网在没有认证之前,ICMP是无法通过的。
- 配置本地用户数据库
R1(config)#username zhu password zhu
- 配置所有人的用户名具有访问功能
R1(config)#line vty 0 4
R1(config-line)#login local
R1(config-line)#autocommand access-enable
R1(config-line)#
- 内网R2做认证
(1)测试telnet功能
说明:当telnet路由器认证成功后,是会被关闭会话的。
(2)测试内网到外网的ICMP通信功能
说明:认证通过之后,ICMP被放行。
(3)查看ACL状态
说明:可以看到动态允许的流量已放行。
- host功能
第一种:r1(config-line)#autocommand access-enable //如果没有加host,那么内网一台主机通过认证之后,所有主机都能访问外网
第二种:r1(config-line)# autocommand access-enable host //加了host,就变成谁通过了认证,谁才能访问外网。
有配置访问功能时,命令有两种,并且后面可以跟时间,这里的时间为空闲时间,必须比之前的绝对时间要小,在配置访问功能时,如果没有加host,那么内网一台主机通过认证之后,所有主机都能访问外网,加了host,就变成谁通过了认证,谁才能访问外网。
以上是关于动态ACL的主要内容,如果未能解决你的问题,请参考以下文章
eNSP模拟器RIP2动态路由,DHCP服务,ACL流控,组合使用的拓扑网络