動態ACL基本實驗
1. 拓撲圖:
R1:E0/0-192.168.12.1 -----R2:E0/0:192.168.12.2
R1:E0/0-192.168.12.1 -----R2:E0/0:192.168.12.2
2. 要求:
R1 telnet r2的192.168.12.2後可以ping通192.168.12.2(默認是不允許的)
3. 步驟:
R2:
Access-list 100 permit tcp any host 192.168.12.2 eq 23 (允許任何主機telnet到R2)
Access-list 100 dynamic test timeout 10 permit ip any any (test是動態ACL的名字,動態
ACL一般只能使用一條,不能使用多條;timeout是絕對超時時間,即將產生的動態ACL
刪除的時間。
ACL一般只能使用一條,不能使用多條;timeout是絕對超時時間,即將產生的動態ACL
刪除的時間。
末尾含有deny any any 條件)
Username itb pass itb
Line vty 0 2(line vty 0 2僅僅是允許激活動態ACL,並不允許telnet登錄,如果需要使
得能夠管理登陸路由器,必須配置line vty 3 4,加rotary 1)
得能夠管理登陸路由器,必須配置line vty 3 4,加rotary 1)
Login local
Autocommand access-enable host time 2(當r1 telnet到R2時將產生動態ACL,2分鐘的空
閒時間。如ping 192.168.12.2,時間爲2分鐘,2分鐘後沒有ping,將沒有ping激起的
動作)
閒時間。如ping 192.168.12.2,時間爲2分鐘,2分鐘後沒有ping,將沒有ping激起的
動作)
Line vty 3 4
Login local
Rotary 1 (允許telnet通過3001端口登陸路由器)
4. 測試
R2:show ip access (沒有產生以R1爲源主機的動態ACL)
R1:PING 192.168.12.2 顯示U.U.U...
R1:
telnet 192.168.12.2
username :laotu
password:laotu
顯示被關閉,切換到R2
R2:SHOW ip access (產生以R1爲源,即host 192.168.12.1 any的動態ACL)
R1:
再次ping 192.168.12.2顯示!!!!!。