動態ACL
拓撲以及地址規划
實驗前確保網絡連通
1.配置Dynamic ACL
(1)配置默認不需要認證就可以通過的數據,如telnet
r1(config)#access-list 100 permit tcp an an eq telnet
(2)配置認證之后才能通過的數據,如ICMP,絕對時間為2分鍾。
r1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any
r1(config)#int f0/0
r1(config-if)#ip access-group 100 in
測試內網R2 telnet外網以及內網R2 ping外網R4
說明內網在沒有認證之前,ICMP是無法通過的
3.配置本地用戶數據庫
r1(config)#username ccie password cisco
4.配置所有人的用戶名具有訪問功能
r1(config)#line vty 0 181
r1(config-line)#login local
r1(config-line)#autocommand access-enable
R2內網認證前后的內網到外網的ICMP結果對比 可知認證后的ICMP包允許通過
查看ACL狀態
r1#show ip access-lists
