动态ACL

路由器互相ping通

 

1.配置Dynamic ACL

（1）配置默认不需要认证就可以通过的数据，如telnet

r1(config)#access-list 100 permit tcp an an eq telnet

(2)配置认证之后才能通过的数据，如ICMP，绝对时间为2分钟。

r1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any

r1(config)#int f0/0

r1(config-if)#ip access-group 100 in

测试内网R2 telnet外网R4

测试内网R2 ping外网R4

说明：内网在没有认证之前，ICMP是无法通过的

3.配置本地用户数据库

r1(config)#username ccie password cisco

4.配置所有人的用户名具有访问功能

r1(config)#line vty 0 181

r1(config-line)#login local

r1(config-line)#autocommand access-enable 

内网R2做认证

测试内网到外网的ICMP通信功能

查看ACL状态

r1#sh ip access-lists 

可以看到动态允许的流量已放行。