动态ACL配置

动态ACL配置

1、  实验目的：

通过本次是实验我们可以掌握如下技能

1)        学习动态ACL的工作原理。

2)        配置vty本地登录。

3)        配置动态ACL。

4)        动态ACL的调试。

2、  实验拓扑图：

  本次实验要求如果pc3所在的网段想访问路由器R2的www服务，必须先telnet路由器R2后才能访问。

3、  实验步骤：

R3(config)#username xia password xia

//建立本地数据库

R3(config)#access-list 110 permit tcp 172.16.3.0 0.0.0.255 host 2.2.2.2 eq telnet

//打开telnet的访问权限

R3(config)#access-list 110 permit tcp 172.16.3.0 0.0.0.255 host 192.168.12.2 eq telnet

R3(config)#access-list 110 permit tcp 172.16.3.0 0.0.0.255 host 192.168.23.2 eq telnet

R3(config)#access-list 110 permit eigrp any any

//允许eigrp协议通过

R3(config)#access-list 110 dynamic text timeout 110 permit ip 172.16.3.0 0.0.0.255 host 2.2.2.2

//dynamic 定义动态的ACL ,timeout 定义动态ACL的绝对的超时时间

R3(config)#access-list 110 dynamic text timeout 110 permit ip 172.16.3.0 0.0.0.255 host 192.168.12.2

R3(config)#access-list 110 dynamic text timeout 110 permit ip 172.16.3.0 0.0.0.255 host 192.168.23.2

R3(config)#interface s

R3(config)#interface serial 3/0

R3(config-if)#ip access-group 110 in

R3(config-if)#exit

R3(config)#line vty 0 4

//允许本地验证

R3(config-line)#log

R3(config-line)#logi

R3(config-line)#login loc

R3(config-line)#login local

R3(config-line)#au

R3(config-line)#autocommand

R3(config-line)#autocommand acc

R3(config-line)#autocommand access-enable host timeout 5

4、  查看配置情况

 在没有telnet的时候我们可以查看一下路由表，如下：

R3#show access-lists

Extended IP access list 101

    permit ip any any (711 match(es))

Extended IP access list 110

    permit tcp 172.16.3.0 0.0.0.255 host 2.2.2.2 eq telnet

    permit tcp 172.16.3.0 0.0.0.255 host 192.168.12.2 eq telnet

    permit tcp 172.16.3.0 0.0.0.255 host 192.168.23.2 eq telnet

permit eigrp any any (61 match(es))

R3#

  telnet 路由器后我们在查看一下路由器如下：出现了动态的ACL.

R3#show access-lists

Extended IP access list 101

    permit ip any any (711 match(es))

Extended IP access list 110

    permit tcp 172.16.3.0 0.0.0.255 host 2.2.2.2 eq telnet

    permit tcp 172.16.3.0 0.0.0.255 host 192.168.12.2 eq telnet

permit tcp 172.16.3.0 0.0.0.255 host 192.168.23.2 eq telnet

dynamic text timeout 110 permit ip 172.16.3.0 0.0.0.255 host 2.2.2.2

    permit eigrp any any (111 match(es))

R3#

转载于:https://blog.51cto.com/lorna8023/241715