动态ACL，自反ACL，基于时间的ACL

拓扑：

1、动态ACL

实现需求：

在 R2 上配置 Lock-and-key，R3 与 R1 建立连接前需要在 R2 上进行认证（Telnet） ，在 R2 上的认证方式为本地数据库（在 VTY 线路下面开启 Login  local），R2 自动生成临时动态访问列表，并配绝对超时时间为 5 分钟，空闲时间为 3 分钟，自动生成的访问列表中的源地址必须用认证主机 IP 地址来进行替换。

命令如下：

access-list 120 dynamic test timeout 5ip permit any host 12.1.1.1//创建一个动态ACL，名称为test,超时时间为5分钟

access-list 120 tcp permit host 23.1.1.3 host 23.1.1.2//允许R3通过TCP访问R2

interface s1

ip access-group 120 in

line vty 0 4

login local//采用本地数据认证

autocommand access-enalbe host timeout 3//触发access-enable命令

host这个参数很重要，触发成功后，将源地址IP替换成23.1.1.3

line vty 5 935

login local

rotary 1//如果一旦开启动态ACL，那么所有发起的telnet会话都会触发一个动态ACL表项，但是telnet会马上关闭，如果我们想要管理一台设备的话，就需要在另外一个vtp进程下面输入该命令

自反ACL

需求：

在 R2 上配置自反列表，使 R1 可以 Ping 通 R3，R3 不能 Ping 通 R1.

首先定义一个R1到R3的数据流向ACL，针对S1接口

ip access-list extended outbound

permit icmp any any reflect icmp_traffic//放行这个方向的ICMP，并生成自反列表，运行R3到R1的方向的回包

接着定义一个R3到R1的数据流向ACL，以相应自反列表

ip access-list extended inbound

evaluate icmp_traffic//相应自反列表icmp_traffic

注意该ACL只能用命名式的ACL