動態ACL:
R2(config)#username ccna password cisco //建立本地數據庫,用於telnet時驗證的帳戶
R2(config)#access-list 120 permit tcp 172.16.3.0 0.0.0.255 host 2.2.2.2 eq telnet //打開TELNET 訪問權限,否則無法使用telnet來進行驗證
R2(config)#access-list 120 permit tcp 172.16.3.0 0.0.0.255 host 192.168.12.2 eq telnet
R2(config)#access-list 120 permit tcp 172.16.3.0 0.0.0.255 host 192.168.23.2 eq telnet
R2(config)#access-list 120 permit eigrp any any //允許EIGRP 協議
R2(config)#access-list 120 dynamic test timeout 120 permit ip 172.16.3.0
0.0.0.255 host 2.2.2.2
//“dynamic”定義動態ACL,“timeout”定義動態ACL 絕對的超時時間,秒數,即120秒;
R2(config)#access-list 120 dynamic test1 timeout 120 permit ip 172.16.3.0
0.0.0.255 host 192.168.12.2
R2(config)#access-list 120 dynamic test2 timeout 120 permit ip 172.16.3.0
0.0.0.255 host 192.168.23.2
R2(config)#interface s0/1
R2(config-if)#ip access-group 120 in
R2(config)#line vty 0 4
R2(config-line)#login local //VTY 使用本地驗證
R2(config-line)#autocommand access-enable host timeout 5
//在一個動態ACL 中創建一個臨時性的訪問控制列表條目,“timeout”定義了空閒超時值,空閒超時值必須小於絕對超時值。5代表分鐘;
username ccna autocommand access-enable host timeout 3
//這條語句定義ccna這個用戶空閒超時時間爲3分鐘;
啓用動態acl後,無法再使用telnet登錄路由器,因爲端口都被驗證telnet所佔用;所以需要再開一條vty線路用於telnet登錄;
line vty 0 3
password cisco
login local
line vty 4
password ccna
login
rotary 1
//vty 0 3,即0~3這四條線路使用cisco本地帳戶驗證,用於telnet 動態驗證;
//vty 4 則爲登錄路由器的線路,因爲使用了rotary,將端口更改爲3001,密碼爲ccna;
//這樣既可以使用telnet來進行動態驗證,又可以使用telnet來登錄到設備本身;
//要注意的事,如果使用了動態路由協議,讓telnet流量默認能通過的同時,也要將路由協議所使用的流量通過;