動態訪問表是一種新型的訪問表。事實上確實如此,但是動態訪問表的語法
與傳統訪問表項的格式非常相似,這些知識在前面的章節中也介紹過。動態訪問表項的語法
如下所示:
access-list <access-list mumber> dynamic <name> [timeout n][permit|deny] <protocol> any <destination IP> <destination mask>
其中第一項<access-list number>與傳統的擴展訪問表的格式相同,其號碼介於1 0 0~1 9 9之
間。第二個參數< n a m e >是動態訪問表項的字符串名稱。[ t i m e o u t ]參數是可選的。如果使用了
t i m e o u t參數,則指定了動態表項的超時絕對時間。< p r o t o c o l >參數可以是任何傳統的T C P / I P
協議,如I P、T C P、U D P、I C M P等等。其源I P地址總是使用認證主機的I P地址來替換,所以
我們在動態表項中定義的源地址總是應該使用關鍵字a n y。目的I P(destination IP)和目的屏
蔽碼( destination mask)與傳統的擴展訪問表格式相同。對於目的I P地址,最安全的方式是
指定單個子網,或者甚至爲單個主機。因爲我們在每個訪問表中不能指定多個動態訪問表項,
所以在p r o t o c o l中一般設置爲I P或者T C P。
下面舉例說明:
其中第一項<access-list number>與傳統的擴展訪問表的格式相同,其號碼介於1 0 0~1 9 9之
間。第二個參數< n a m e >是動態訪問表項的字符串名稱。[ t i m e o u t ]參數是可選的。如果使用了
t i m e o u t參數,則指定了動態表項的超時絕對時間。< p r o t o c o l >參數可以是任何傳統的T C P / I P
協議,如I P、T C P、U D P、I C M P等等。其源I P地址總是使用認證主機的I P地址來替換,所以
我們在動態表項中定義的源地址總是應該使用關鍵字a n y。目的I P(destination IP)和目的屏
蔽碼( destination mask)與傳統的擴展訪問表格式相同。對於目的I P地址,最安全的方式是
指定單個子網,或者甚至爲單個主機。因爲我們在每個訪問表中不能指定多個動態訪問表項,
所以在p r o t o c o l中一般設置爲I P或者T C P。
下面舉例說明:
username cisco password cisco
username cisco autocommand access-enable host timeout 5
username test privilege 15 password test
access-list 100 permit tcp host 1.1.1.1 host 1.1.1.2 eq telnet
access-list 100 dynamic test timeout 5 permit ip any host 20.1.1.1
int s1/1
ip add 1.1.1.2 255.255.255.0
ip acce 100 in
line vty 0 2
login local
line vty 3 4
login local
rotary 1(這一步在測試中表明不是必須的,但在cisco控制列表配置指南有提到)
分析:第一行,建立本地密碼數據庫,第二行,使用autocmmand 命令使路由器能夠自動創建一個訪問控制列表條目,第三行,仍然建立一個本地數據庫,其作用稍後再講,下面幾行建立動態訪問列表並在接口下應用,其實動態列表只是擴展列表的一部分。在line vty xx下調用本地密碼數據庫
下面是測試結果:
R2#
R2#sh ip acce(先查看一下激活動態列表前的控制列表)
R2#sh ip acce(先查看一下激活動態列表前的控制列表)
Extended IP access list 100
10 permit tcp host 1.1.1.1 host 1.1.1.2 eq telnet (231 matches)
20 Dynamic test permit ip any host 20.1.1.1
R2#
10 permit tcp host 1.1.1.1 host 1.1.1.2 eq telnet (231 matches)
20 Dynamic test permit ip any host 20.1.1.1
R2#
我們先telnet 20.1.1.1 可以看到是不成功的,因爲我們還沒有激活動態列表
R1#
R1#
R1#telnet 20.1.1.1
Trying 20.1.1.1 ...
% Destination unreachable; gateway or host down
R1#
R1#telnet 20.1.1.1
Trying 20.1.1.1 ...
% Destination unreachable; gateway or host down
R1#
下面進行激活:
R1#telnet 1.1.1.2
Trying 1.1.1.2 ... Open
Trying 1.1.1.2 ... Open
User Access Verification
Username: cisco
Password:
[Connection to 1.1.1.2 closed by foreign host]
R1#
Password:
[Connection to 1.1.1.2 closed by foreign host]
R1#
這裏我們在查看一下激活後的訪問控制列表和激活前的有什麼不同:
R2#
R2#sh ip acce
Extended IP access list 100
10 permit tcp host 1.1.1.1 host 1.1.1.2 eq telnet (303 matches)
20 Dynamic test permit ip any host 20.1.1.1
permit ip host 1.1.1.1 host 20.1.1.1
R2#
R2#sh ip acce
Extended IP access list 100
10 permit tcp host 1.1.1.1 host 1.1.1.2 eq telnet (303 matches)
20 Dynamic test permit ip any host 20.1.1.1
permit ip host 1.1.1.1 host 20.1.1.1
R2#
現在我們再telnet 20.1.1.1 應該是成功的
R1#
R1#telnet 20.1.1.1 3001
Trying 20.1.1.1, 3001 ... Open
R1#telnet 20.1.1.1 3001
Trying 20.1.1.1, 3001 ... Open
User Access Verification
Username: test(這裏的用戶名和密碼我們使用的是test,用戶名cisco登錄會被自動踢出,這就是我要建立第二個密碼數據庫的原因了)
Password:
R2#
R2#
到這一步已經表明我們的測試結果是成功的,不知道大家能不能看明白?
Password:
R2#
R2#
到這一步已經表明我們的測試結果是成功的,不知道大家能不能看明白?