动态ACL

访问控制列表：动态ACL（GNS3）

 

（1）拓扑如下

 地址规划如下：

 

 

 

 

（2）使用RIP协议使路由器之间互通

R1(config)# router rip

R1(config-router)# network 10.0.0.0

R1(config-router)# network 14.0.0.0

 

R2(config)# router rip

R2(config-router)# network 10.0.0.0

 

R3(config)# router rip

R3(config-router)# network 10.0.0.0

 

R4(config)# router rip

R4(config-router)# network 14.0.0.0

 

测试网络连通性

R2 ping R4

R4 ping R2

实现全网互通，开始配置网络安全

 

（2）设置vty、enable、console密码（R1为例，R2、R3、R4同）

R1(config)#line vty 0 4

R1(config-line)#password ciscovtypa55

R1(config-line)#login

R1(config)#enable password ciscoenpa55

R1(config)#line console 0

R1(config-line)#password ciscoconpa55

R1(config-line)#login

 

（4）动态ACL的配置

R1(config)#access-list 100 permit tcp any any eq telnet

配置默认不需要认证就可以通过的数据，如telnet

R1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any

配置认证之后才能通过的数据，如ICMP，绝对时间为2分钟

R1(config)#int f0/0

R1(config-if)#ip access-group 100 in

应用ACL

 

测试内网R2 telnet外网R4

 

从结果中看出，telnet不受限制。

 

测试测试内网R2 ping外网R4

内网在没有认证之前，ICMP是无法通过的。

 

（2）配置本地用户数据库

R1(config)#username ccie password cisco

 

（5）配置所有人的用户名具有访问功能

R1(config)#line vty 0 181

R1(config-line)#login local

R1(config-line)#autocommand access-enable

没有加host,那么内网一台主机通过认证之后，所有主机都能访问外网

R1(config-line)#autocommand access-enable host

加了host，就变成谁通过了认证，谁才能访问外网。

 

内网R2认证 并ping外网

当telnet路由器认证成功后ICMP被放行。

 

查看ACL

动态ACL完成。