动态ACL基本实验
1. 拓扑图:
R1:E0/0-192.168.12.1 -----R2:E0/0:192.168.12.2
R1:E0/0-192.168.12.1 -----R2:E0/0:192.168.12.2
2. 要求:
R1 telnet r2的192.168.12.2后可以ping通192.168.12.2(默认是不允许的)
3. 步骤:
R2:
Access-list 100 permit tcp any host 192.168.12.2 eq 23 (允许任何主机telnet到R2)
Access-list 100 dynamic test timeout 10 permit ip any any (test是动态ACL的名字,动态
ACL一般只能使用一条,不能使用多条;timeout是绝对超时时间,即将产生的动态ACL
删除的时间。
ACL一般只能使用一条,不能使用多条;timeout是绝对超时时间,即将产生的动态ACL
删除的时间。
末尾含有deny any any 条件)
Username itb pass itb
Line vty 0 2(line vty 0 2仅仅是允许激活动态ACL,并不允许telnet登录,如果需要使
得能够管理登陆路由器,必须配置line vty 3 4,加rotary 1)
得能够管理登陆路由器,必须配置line vty 3 4,加rotary 1)
Login local
Autocommand access-enable host time 2(当r1 telnet到R2时将产生动态ACL,2分钟的空
闲时间。如ping 192.168.12.2,时间为2分钟,2分钟后没有ping,将没有ping激起的
动作)
闲时间。如ping 192.168.12.2,时间为2分钟,2分钟后没有ping,将没有ping激起的
动作)
Line vty 3 4
Login local
Rotary 1 (允许telnet通过3001端口登陆路由器)
4. 测试
R2:show ip access (没有产生以R1为源主机的动态ACL)
R1:PING 192.168.12.2 显示U.U.U...
R1:
telnet 192.168.12.2
username :laotu
password:laotu
显示被关闭,切换到R2
R2:SHOW ip access (产生以R1为源,即host 192.168.12.1 any的动态ACL)
R1:
再次ping 192.168.12.2显示!!!!!。
来源:oschina
链接:https://my.oschina.net/u/4337936/blog/4339811