动态ACL
拓扑以及地址规划
实验前确保网络连通
1.配置Dynamic ACL
(1)配置默认不需要认证就可以通过的数据,如telnet
r1(config)#access-list 100 permit tcp an an eq telnet
(2)配置认证之后才能通过的数据,如ICMP,绝对时间为2分钟。
r1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any
r1(config)#int f0/0
r1(config-if)#ip access-group 100 in
测试内网R2 telnet外网以及内网R2 ping外网R4
说明内网在没有认证之前,ICMP是无法通过的
3.配置本地用户数据库
r1(config)#username ccie password cisco
4.配置所有人的用户名具有访问功能
r1(config)#line vty 0 181
r1(config-line)#login local
r1(config-line)#autocommand access-enable
R2内网认证前后的内网到外网的ICMP结果对比 可知认证后的ICMP包允许通过
查看ACL状态
r1#show ip access-lists