动态ACL

动态ACL

1.  实验目的

（1）动态ACL 工作原理

（2）配置VTY 本地登录

（3）配置动态ACL

（4）动态ACL 调试

2：实验环境

如下图要求如果PC3 所在网段想要访问路由器R2 的WWW 服务，必须先TELNET 路由器

R2 成功后才能访问

。

3：实验步骤

1：进入第一台进行如下的配置

Router>en

Router#config t

Router(config)#int s0/0

Router(config-if)#ip add 192.168.1.2 255.255.255.0

Router(config-if)#no shut

Router(config-if)#int fa 1/0

Router(config-if)#ip add 192.168.11.1 255.255.255.0

Router(config-if)#no shut

Router(config-if)#int fa 2/0

Router(config-if)#ip add 192.168.12.1 255.255.255.0

Router(config-if)#no shut

Router(config-if)#exit

Router(config)#router rip

Router(config)#net 192.168.1.0

Router(config)#net 192.168.11.0

Router(config)#net 192.168.12.0

2：进入第二台进行如下的配置

Router>en

Router#config t

Router(config)#int s0/0

Router(config-if)#ip add 192.168.1.1 255.255.255.0

Router(config-if)#clock rate 64000

Router(config-if)#no shut

Router(config-if)#int s1/0

Router(config-if)#ip add 192.168.2.1 255.255.255.0

Router(config-if)#clock rate 64000

Router(config-if)#no shut

Router(config-if)#int lookback 0

Router(config-if)#ip add 2.2.2.2 255.255.255.0

Router(config-if)#exit

Router(config)#router rip

Router(config)#net 192.168.1.0

Router(config)#net 192.168.2.0

3：进入第三台进行如下的配置

Router>en

Router#config t

Router(config)#int s0/0

Router(config-if)#ip add 192.168.2.2 255.255.255.0

Router(config-if)#no shut

Router(config-if)#int fa 1/0

Router(config-if)#ip add 192.168.13.1 255.255.255.0

Router(config-if)#no shut

Router(config-if)#exit

Router(config)#router rip

Router(config)#net 192.168.2.0

Router(config)#net 192.168.13.0

4：进入R2进行如下配置

Router(config)#username ccie password cisco //建立本地数据库

Router(config)#access-list 120 permit tcp 192.168.13.0 0.0.0.255 host 2.2.2.2 eq

telnet //打开TELNET 访问权限

Router(config)#access-list 120 permit tcp 192.168.13.0 0.0.0.255 host 12.12.12.2 eq

telnet

Router(config)#access-list 120 permit tcp 192.168.13.0 0.0.0.255 host 23.23.23.2 eq

telnet

Router(config)#access-list 120 permit rip any any //允许RIP 协议

Router(config)#access-list 120 dynamic test timeout 120 permit ip 192.168.13.0

0.0.0.255 host 2.2.2.2

//“dynamic”定义动态ACL，“timeout”定义动态ACL 绝对的超时时间

Router(config)#access-list 120 dynamic test1 timeout 120 permit ip 192.168.13.0

0.0.0.255 host 192.168.1.1

Router(config)#access-list 120 dynamic test2 timeout 120 permit ip 192.168.13.0

0.0.0.255 host 192.168.2.1

Router(config)#int s1/0

Router(config-if)#ip access-group 120 in

Router(config)#line vty 0 4

Router(config-line)#login local //VTY 使用本地验证

Router(config-line)#autocommand access-enable host timeout 5

//在一个动态ACL 中创建一个临时性的访问控制列表条目，“timeout”定义了空闲超时

值，空闲超时值必须小于绝对超时值。