动态ACL

C：动态ACL

 

原理：Dynamic ACL在一开始拒绝用户相应的数据包通过，当用户认证成功后，就临时放行该数据，但是在会话结束后，再将ACL恢复最初的配置。要定义Dynamic ACL什么时候恢复最初的配置，可以定义会话超时，即会话多久没有传数据，就断开，也可以定义绝对时间，即无论会话有没有结束，到了规定时间，也要断开。

配置步骤

 

1.配置端口ip地址。

配置R2 ip地址

配置R4 ip地址

测试连通性

 

R2 telnet R4

配置命令

r1(config)#access-list 100 permit tcp an an eq telnet   //配置默认不需要认证就可以通过的数据，如telnet

r1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any  //配置认证之

后才能通过的数据，如ICMP，绝对时间为2分钟。

 

应用ACL到端口

r1(config)#int f0/0

r1(config-if)#ip access-group 100 in

 

 

 

 

测试 ：未进行认证时，R2 ping R4

进行认证后，R2 ping R4

 至此，动态ACL验证成功