动态ACL

动态ACL

 

原理：Dynamic ACL在一开始拒绝用户相应的数据包通过，当用户认证成功后，就临时放行该数据，但是在会话结束后，再将ACL恢复最初的配置。要定义Dynamic ACL什么时候恢复最初的配置，可以定义会话超时，即会话多久没有传数据，就断开，也可以定义绝对时间，即无论会话有没有结束，到了规定时间，也要断开。

 

 

拓扑图

 

 

 

 配置步骤

 

1配置端口ip地址，远程登陆账号密码

测试连通性

R2 telnet R4

 

 

 

配置命令

r1(config)#access-list 100 permit tcp an an eq telnet   //配置默认不需要认证就可以通过的数据，如telnet

r1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any  //配置认证之

后才能通过的数据，如ICMP，绝对时间为2分钟。

应用ACL到端口

r1(config)#int f0/0

r1(config-if)#ip access-group 100 in

测试 ：未进行认证时，R2 ping R4

 

配置本地用户数据库

r1(config)#username ccie password cisco

配置所有人的用户名具有访问功能

r1(config)#line vty  0 4

r1(config-line)#login local

r1(config-line)#autocommand access-enable  

 

 用R2进行认证

进行认证后，R2 ping R4

 

 

查看acl