“锁和钥匙”是使用动态 ACL(有时也称为锁和钥匙 ACL)的一种流量过滤安全功能。锁和钥匙仅可用于 IP 流量。动态 ACL 依赖于 Telnet 连接、身份验证(本地或远程)和扩展 ACL。

 
执行动态 ACL 配置时,首先需要应用扩展 ACL 来阻止通过路由器的流量。想要穿越路由器的用户必须使用 Telnet 连接到路由器并通过身份验证,否则会被扩展 ACL 拦截。Telnet 连接随后会断开,而一个单条目的动态 ACL 将添加到现有的扩展 ACL 中。该条目允许流量在特定时间段内通行;另外还可设置空闲超时和绝对超时值。
 
何时使用动态 ACL
 
使用动态 ACL 的一些常见原因如下:
 
您希望特定远程用户或用户组可以通过 Internet 从远程主机访问您网络中的主机。“锁和钥匙”将对用户进行身份验证,然后允许特定主机或子网在有限时间段内通过防火墙路由器进行有限访问。
您希望本地网络中的主机子网能够访问受防火墙保护的远程网络上的主机。此时可利用“锁和钥匙”,仅为有此需要的本地主机组启用对远程主机的访问。“锁和钥匙”要求在允许用户从其主机访问远程主机之前,通过 AAA、TACACS+ 服务器或其它安全服务器进行身份验证。
 
 
动态 ACL 的优点
 
与标准 ACL 和静态扩展 ACL 相比,动态 ACL 在安全方面具有以下优点:
 
使用询问机制对每个用户进行身份验证
简化大型网际网络的管理
在许多情况下,可以减少与 ACL 有关的路由器处理工作
降低***闯入网络的机会
通过防火墙动态创建用户访问,而不会影响其它所配置的安全限制