動(dòng)態(tài)ＡＣＬ＋自反ＡＣＬ

　　通過(guò)lock-and-key 動(dòng)態(tài)ACL 獲得訪問(wèn)目標(biāo)設(shè)備權(quán)限的用戶,首先要開(kāi)啟到路由器的telnet 會(huì)話.接著lock-and-key 動(dòng)態(tài)ACL 自動(dòng)對(duì)用戶進(jìn)行認(rèn)證.如果認(rèn)證通過(guò),那么用戶就獲得了臨時(shí)性的訪問(wèn)權(quán)限.

　　Case 1

　　在5 分鐘內(nèi)開(kāi)啟到172.16.1.2 的telnet 會(huì)話,如果認(rèn)證成功,對(duì)用戶給予120 秒的訪問(wèn)許可權(quán):

　　!

　　interface Ethernet0

　　ip address 172.16.1.1 255.255.255.0

　　ip access-group 101 in

　　!

　　access-list 101 permit tcp any host 172.16.1.2 eq telnet

　　access-list 101 dynamic Aiko timeout 120 permit ip any any

　　!

　　line vty 0 4

　　login tacacs

　　autocommand access-enable timeout 5

　　!

　　Monitoring and Maintaining Lock-and-Key

　　查看ACL 信息:

　　Aiko#show access-lists

　　Configuring Lock-and-Key

　　配置lock-and-key 動(dòng)態(tài)ACL 的步驟如下:

　　1.設(shè)置動(dòng)態(tài)ACL:

　　Aiko(config)#access-list {access-list-number} [dynamic dynamic-name [timeout minutes]]

　　{deny|permit} telnet {source source-wildcard destination destination-wildcard}

　　2.擴(kuò)展動(dòng)態(tài)ACL 的絕對(duì)計(jì)時(shí)器.可選:

　　Aiko(config)# access-list dynamic-extend

　　3.定義需要應(yīng)用ACL 的接口:

　　Aiko(config)#interface {interface}

　　4.應(yīng)用ACL:

　　Aiko(config-if)#ip access-group {ACL}

　　5.定義VTY 線路:

　　Aiko(config)#line vty {line-number [ending-line-number]}

　　6.對(duì)用戶進(jìn)行認(rèn)證:

　　Aiko(config)#username {username} password {password}

　　7.采用TACACS 認(rèn)證或本地認(rèn)證方式.可選:

　　Aiko(config-line)#login {tacacs|local}

　　8.創(chuàng)建臨時(shí)性的訪問(wèn)許可權(quán)限,如果沒(méi)有定義參數(shù)host,默認(rèn)為所有主機(jī):

　　Aiko(config-line)#autocommand access-enable {host} [timeout minutes]

　　Case 1

　　在5 分鐘內(nèi)開(kāi)啟到172.16.1.2 的telnet 會(huì)話,如果認(rèn)證成功,對(duì)用戶給予120 秒的訪問(wèn)許可權(quán):

　　!

　　interface Ethernet0

　　ip address 172.16.1.1 255.255.255.0

　　ip access-group 101 in

　　!

　　access-list 101 permit tcp any host 172.16.1.2 eq telnet

　　access-list 101 dynamic Aiko timeout 120 permit ip any any

　　================================================================================================

　　Pt.3 IP Session Filtering

　　Reflexive ACL Overview

　　自反ACL 可以基于上層信息過(guò)濾IP 流量.可以使用自反ACL 實(shí)現(xiàn)流量的單向穿越.自反ACL 只能通過(guò)命名擴(kuò)展ACL 來(lái)定義.

　　Configuring Reflexive ACL

　　配置自反ACL 的步驟如下:

　　1.定義命名擴(kuò)展ACL:

　　Aiko(config)#ip access-list extended {name}

　　2.定義自反ACL:

　　Aiko(config-ext-nacl)#permit {protocol} any any reflect {name} [timeout seconds]

　　3.嵌套自反ACL:

　　Aiko(config-ext-nacl)#evaluate {name}

　　4.應(yīng)用自反ACL:

　　Aiko(config-if)#ip access-group {name} {in|out}

　　5.全局定義自反ACL 的超時(shí)時(shí)間.可選:

　　Aiko(config)#ip reflexive-list timeout {seconds}

　　Case 2

　　路由器B 連接的網(wǎng)段192.168.0.0/24 為內(nèi)部區(qū)域,路由器B 的串行接口所連的10.0.0.0/30 以及上游網(wǎng)段為外部區(qū)域.路由器A和B運(yùn)行EIGRP.要求允許EIGRP 和ICMP信息;允許到達(dá)外部區(qū)域的TCP 和UDP信息;而不允許進(jìn)入內(nèi)部區(qū)域的TCP 和UDP 信息:

　　路由器B 配置如下:

　　!

　　ip access-list extended inbound

　　permit eigrp any any

　　permit icmp any any

　　evaluate Aiko

　　ip access-list extended outbound

　　permit eigrp any any

　　permit icmp any any

　　permit tcp any any reflect Aiko

　　permit udp any any reflect Aiko

　　!

　　interface Ethernet0

　　ip address 192.168.0.1 255.255.255.0

　　ip access-group inbound in

　　ip access-group outbound out