亚洲中文字幕无码天然素人在线,免费中文乱码字幕在线观看

您當(dāng)前所在位置：首頁 → 系統(tǒng)集成 → 網(wǎng)絡(luò)管理 → 在路由器上配置動態(tài)訪問控制列表

在路由器上配置動態(tài)訪問控制列表 時間：2015/6/28來源：IT貓撲網(wǎng)作者：網(wǎng)管聯(lián)盟我要評論(0)

　　這種ACL是基于lock-and-key的，動態(tài)acl平時是不生效的，只用當(dāng)條件觸發(fā)時才生效。例如；

　　在某臺路由器上我進(jìn)行了如下配置：

　　username netdigedu password 123

　　username netdigedu autocommand access-enable host time 5

　　line vty 0 4

　　同時配置一個動態(tài)ACL：

　　access-list 100 permit tcp 192.168.1.1 0.0.0.0 192.168.1.2 0.0.0.0 eq telnet

　　access-list 101 dynamic abc timeout 60 permit icmp host 5.5.123.1 host 5.5.12.3

　　int e0/0

　　ip access-group 100 in

　　exit

　　在配置完成以后，我們在路由器1上ping 192.168.1.2 得到的結(jié)果是timeout。

　　當(dāng)我們從路由器1上telnet到路由器2上以后，發(fā)現(xiàn)以下提示

　　[Connection to 192.168.1.2 closed by foreign host]

　　當(dāng)我們看到這個提示以后，我們在路由器1上去ping路由器2的時候，我們發(fā)現(xiàn)可以ping通了。

　　line vty 0 4

　　autocommand access-enable host timeout 5 '設(shè)置觸發(fā)激活動態(tài)ACL

　　也就是說，當(dāng)192.168.1.1 telnet到 192.168.1.2 并通過驗(yàn)證的話，則放置在e0/0接口上的動態(tài)ACL生效，這時192.168.1.可以ping通192.168.1.2。

　　關(guān)于兩個timeout，access-list里的timeout是該條目的絕對超時時間，也就是該條目只能存在60分鐘，autocommand中的timeout是空閑超時時間，也就說如果2分鐘內(nèi)如果沒有匹配該條目的流量出現(xiàn)，則條目失效。默認(rèn)值忘了，謝謝！

　　關(guān)于host參數(shù)我說一下，加上host參數(shù)的話，假設(shè)動態(tài)acl是這樣寫的；

　　access-list 101 dynamic abc timeout 60 permit icmp 192.168.1.0 0.0.0.255 host 192.168.1.2

　　那么最終生成的條目是permit icmp 5.5.123.1 0.0.0.0 host 5.5.12.3，也就是只為激活該條目的單個主機(jī)生成動態(tài)條目。不加host參數(shù)會為整個網(wǎng)段生成允許條目。

　　在這個例子里我做的實(shí)驗(yàn)的show ip acce的結(jié)果如下

　　r2#show ip acce

　　Extended IP access list 100

　　10 permit tcp host 192.168.1.1 host 192.168.1.2 eq telnet (807 matches)

　　20 Dynamic abc permit icmp host 192.168.1.1 host 192.168.1.2

　　permit icmp host 192.168.1.1 host 192.168.1.2

　　我們發(fā)現(xiàn)，路由器自動創(chuàng)建了一個動態(tài)的訪問控制列表的條目。

　　上面那個完整的例子里，加不加host都一樣，因?yàn)閯討B(tài)ACL本身是就是host的。

　　注意事項(xiàng)：