這種acl是基於lock-and-key的,動態acl平時是不生效的,只用當條件觸發時才生效。例如;
在某台路由器上我進行了如下配置:
username netdigedu password 123
username netdigedu autocommand access-enable host time 5
line vty 0 4
login local
同時配置乙個動態acl:
access-list 100 permit tcp 192.168.1.1 0.0.0.0 192.168.1.2 0.0.0.0 eq telnet
access-list 101 dynamic abc timeout 60 permit icmp host 5.5.123.1 host 5.5.12.3
int e0/0
ip access-group 100 in
exit
在配置完成以後,我們在路由器1上ping 192.168.1.2 得到的結果是timeout。
當我們從路由器1上telnet到路由器2上以後,發現以下提示
[connection to 192.168.1.2 closed by foreign host]
當我們看到這個提示以後,我們在路由器1上去ping路由器2的時候,我們發現可以ping通了。
line vty 0 4
autocommand access-enable host timeout 5 '設定觸發啟用動態acl
也就是說,當192.168.1.1 telnet到 192.168.1.2 並通過驗證的話,則放置在e0/0介面上的動態acl生效,這時192.168.1.可以ping通192.168.1.2。
關於兩個timeout,access-list裡的timeout是該條目的絕對超時時間,也就是該條目只能存在60分鐘,autocommand中的timeout是空閒超時時間,也就說如果2分鐘內如果沒有匹配該條目的流量出現,則條目失效。預設值忘了,謝謝!
關於host引數我說一下,加上host引數的話,假設動態acl是這樣寫的;
access-list 101 dynamic abc timeout 60 permit icmp 192.168.1.0 0.0.0.255 host 192.168.1.2
那麼最終生成的條目是permit icmp 5.5.123.1 0.0.0.0 host 5.5.12.3,也就是只為啟用該條目的單個主機生成動態條目。不加host引數會為整個網段生成允許條目。
在這個例子裡我做的實驗的show ip acce的結果如下
r2#show ip acce
extended ip access list 100
10 permit tcp host 192.168.1.1 host 192.168.1.2 eq telnet (807 matches)
20 dynamic abc permit icmp host 192.168.1.1 host 192.168.1.2
permit icmp host 192.168.1.1 host 192.168.1.2
我們發現,路由器自動建立了乙個動態的訪問控制列表的條目。
上面那個完整的例子裡,加不加host都一樣,因為動態acl本身是就是host的。
注意事項:
1、autocommand 整個命令必須打全!用?也看不到!而且打錯了不提示!
2、在每個訪問控制列表中只能建立乙個動態的訪問控制列表。
在路由器上配置自反訪問控制列表
注意必須是內部發起的!用命名的acl做。不是很好理解,看個例子吧。先看下面的 ip access list extended abc deny icmp any 192.168.1.0 0.0.0.255 permit ip any any exit int s0 0 ip access group...
邁普路由器訪問控制列表配置命令 邁普路由器配置手冊
第 章系統基礎 本章主要講述邁普路由器中 mypower r 系統的基本知識,包括 mypower r 系統模式 配置環境的準備及命令列 介面的有關知識等。本章主要內容 路由器配置方式 命令執行模式 搭建配置環境 命令列介面 路由器web 配置1.1 路由器配置方式 邁普路由器為使用者提供了四種典型...
邁普路由器訪問控制列表配置命令 邁普路由器配置手冊
路由器配置手冊第章 系統基礎 本章主要講述邁普路由器中 mypower r 系統的基本知識,包括 mypower r 系統模式 配置環境的準備及命令列 介面的有關知識等。本章主要內容 路由器配置方式 命令執行模式 搭建配置環境 命令列介面 路由器web 配置1.1 路由器配置方式 邁普路由器為使用者...