动态ACL
路由器互相ping通
1.配置Dynamic ACL
(1)配置默认不需要认证就可以通过的数据,如telnet
r1(config)#access-list 100 permit tcp an an eq telnet
(2)配置认证之后才能通过的数据,如ICMP,绝对时间为2分钟。
r1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any
r1(config)#int f0/0
r1(config-if)#ip access-group 100 in
测试内网R2 telnet外网R4
测试内网R2 ping外网R4
说明:内网在没有认证之前,ICMP是无法通过的
3.配置本地用户数据库
r1(config)#username ccie password cisco
4.配置所有人的用户名具有访问功能
r1(config)#line vty 0 181
r1(config-line)#login local
r1(config-line)#autocommand access-enable
内网R2做认证
测试内网到外网的ICMP通信功能
查看ACL状态
r1#sh ip access-lists
可以看到动态允许的流量已放行。