网站主页   操作系统    网络工程    服务器    网页制作    数据库    程序开发    网络安全    办公软件   
讲座日期: 本周六下午1点30分 抢座
讲座地点: 北大青鸟马甸校区
主讲老师: 王老师 金牌讲师
讲座主题: 网络安全
讲座内容: 检测、防御、黑客信息,如何过滤不安全的网站,如何防御黑客的进攻。
订座电话: 010-82011432/33
  您当前位置:主页 > 网络学院 > 网络工程 > 路由器 >

在路由器上配置动态访问控制列表




  这种ACL是基于lock-and-key的,动态acl平时是不生效的,只用当条件触发时才生效。例如;

  在某台上我进行了如下配置:

  username netdigedu password 123

  username netdigedu autocommand access-enable host time 5

  line vty 0 4

  login local

  同时配置一个动态ACL:

  access-list 100 permit tcp 192.168.1.1 0.0.0.0 192.168.1.2 0.0.0.0 eq telnet

  access-list 101 dynamic abc timeout 60 permit icmp host 5.5.123.1 host 5.5.12.3

  int e0/0

  ip access-group 100 in

  exit

  在配置完成以后,我们在1上ping 192.168.1.2 得到的结果是timeout。

  当我们从1上telnet到2上以后,发现以下提示

  [Connection to 192.168.1.2 closed by foreign host]

  当我们看到这个提示以后,我们在1上去ping2的时候,我们发现可以ping通了。

  line vty 0 4

  autocommand access-enable host timeout 5 '设置触发激活动态ACL

  也就是说,当192.168.1.1 telnet到 192.168.1.2 并通过验证的话,则放置在e0/0接口上的动态ACL生效,这时192.168.1.可以ping通192.168.1.2。

  关于两个timeout,access-list里的timeout是该条目的绝对超时时间,也就是该条目只能存在60分钟,autocommand中的timeout是空闲超时时间,也就说如果2分钟内如果没有匹配该条目的流量出现,则条目失效。默认值忘了,谢谢!

  关于host参数我说一下,加上host参数的话,假设动态acl是这样写的;

  access-list 101 dynamic abc timeout 60 permit icmp 192.168.1.0 0.0.0.255 host 192.168.1.2

  那么最终生成的条目是permit icmp 5.5.123.1 0.0.0.0 host 5.5.12.3,也就是只为激活该条目的单个主机生成动态条目。不加host参数会为整个网段生成允许条目。

  在这个例子里我做的实验的show ip acce的结果如下

  r2#show ip acce

  Extended IP access list 100

  10 permit tcp host 192.168.1.1 host 192.168.1.2 eq telnet (807 matches)

  20 Dynamic abc permit icmp host 192.168.1.1 host 192.168.1.2

  permit icmp host 192.168.1.1 host 192.168.1.2

  我们发现,自动创建了一个动态的访问控制列表的条目。

  上面那个完整的例子里,加不加host都一样,因为动态ACL本身是就是host的。

  注意事项:

  1、autocommand 整个命令必须打全!用?也看不到!而且打错了不提示!

  2、在每个访问控制列表中只能创建一个动态的访问控制列表。


上一篇:CISCO动态VLAN配置  
下一篇:Cisco路由器基于协议及MAC的流量分析之Netflow
相关信息:

·北大青鸟华腾教育 Cisco路由器基础命令总结 ·北大青鸟 Cisco 路由器安全配置必用10条命令
·【手把手教你如何使用路由器】 ·侠诺科技:多核成下一代云端网络推手
·思科CISCO与华为3COM路由器配置差别分析 ·备战下一代互联网 侠诺双核产品线巡礼
·D-Link发布DI-7001 开启企业管理路由新纪元 ·侠诺多核布局云端网络 备战IPv6商用
·组网不能少 2010年最受关注的路由器 ·技术盘点:2010年路由器技术趋势回顾

Copyright © 2002-2015 版权所有
学校地址:北京市海淀区西三旗建材城中路29号北大青鸟
招生热线:010-82011433/32 京公网安备110102004704  京ICP备05043413号 京公网安备110102004704