拓扑:

动态ACL,自反ACL,基于时间的ACL_第1张图片1、动态ACL

实现需求:

在 R2 上配置 Lock-and-key,R3 与 R1 建立连接前需要在 R2 上进行认证(Telnet) ,在 R2 上的认证方式为本地数据库(在 VTY 线路下面开启 Login  local),R2 自动生成临时动态访问列表,并配绝对超时时间为 5 分钟,空闲时间为 3 分钟,自动生成的访问列表中的源地址必须用认证主机 IP 地址来进行替换。

命令如下:

access-list 120 dynamic test timeout 5ip permit any host 12.1.1.1//创建一个动态ACL,名称为test,超时时间为5分钟

access-list 120 tcp permit host 23.1.1.3 host 23.1.1.2//允许R3通过TCP访问R2

interface s1

ip access-group 120 in

line vty 0 4

login local//采用本地数据认证

autocommand access-enalbe host timeout 3//触发access-enable命令

host这个参数很重要,触发成功后,将源地址IP替换成23.1.1.3

line vty 5 935

login local

rotary 1//如果一旦开启动态ACL,那么所有发起的telnet会话都会触发一个动态ACL表项,但是telnet会马上关闭,如果我们想要管理一台设备的话,就需要在另外一个vtp进程下面输入该命令


自反ACL

需求:

在 R2 上配置自反列表,使 R1 可以 Ping 通 R3,R3 不能 Ping 通 R1.

首先定义一个R1到R3的数据流向ACL,针对S1接口

ip access-list extended outbound

permit icmp any any reflect icmp_traffic//放行这个方向的ICMP,并生成自反列表,运行R3到R1的方向的回包

接着定义一个R3到R1的数据流向ACL,以相应自反列表

ip access-list extended inbound

evaluate icmp_traffic//相应自反列表icmp_traffic

注意该ACL只能用命名式的ACL