動态访问列表的应用.docVIP

动态访问列表的应用 实验拓扑: 实验一：基本的动态访问列表的应用（手动激活） 1.试验说明：使用3台路由器，R1模拟一个内网用户；R2模拟网关；R3模拟外网的一台服务器。R2上已经做了策略禁止R1远程登陆到R3，它只允许R1远程登陆到R2上，然后激活一个动态访问列表。这个动态访问表是临时性的，它允许R1在一个特定的时间内可以登陆到R3上，现在进行配置 2.初始配置: R1 interface Ethernet0/0 ip address 192.168.12.1 255.255.255.0 interface Loopback0 ip address 1.1.1.1 255.255.255.255 ip route 192.168.23.0 255.255.255.0 192.168.12.2 ip route 3.3.3.3 255.255.255.255 192.168.12.2 R2 interface Ethernet0/0 ip address 192.168.12.2 255.255.255.0 interface Ethernet0/1 ip address 192.168.23.2 255.255.255.0 R3 interface Ethernet0/1 ip address 192.168.23.3 255.255.255.0 interface Loopback0 ip address 3.3.3.3 255.255.255.255 ip route 192.168.12.0 255.255.255.0 192.168.23.2 ip route 1.1.1.1 255.255.255.255 192.168.23.2 r1#telnet 192.168.23.3 Trying 192.168.23.3 ... Open r3 现在R1可以直接登陆到R3上。 2 在R2上配置ACL禁止R1登陆到R3，只允许它登陆到R2上。 r2(config)#ip access-list extended DENY r2(config-ext-nacl)#permit icmp any any r2(config-ext-nacl)#permit tcp host 192.168.12.1 host 192.168.12.2 eq telnet r2(config)#int e0/0 r2(config-if)#ip access-group DENY in r1#telnet 192.168.23.3 Trying 192.168.23.3 ... % Destination unreachable; gateway or host down r1#telnet 192.168.12.2 Trying 192.168.12.2 ... Open r2 现在R1就无法登陆R3了，只能登陆R2 3.在R2上建立动态访问列表允许R1可以动态的暂时的登陆到R3 r2(config)#ip access-list extended DENY r2(config-ext-nacl)# dynamic DYN timeout 3 permit tcp host 192.168.12.1 host 192.168.23.3 eq telnet 以上语句就是在命名列表DENY中建立一条名为DYN的动态列表项， Timeout值表示动态列表项被激活后只能存在3分钟，之后将消失。 现在在R1上尝试登陆R3r1#telnet 192.168.23.3 Trying 192.168.23.3 ... % Destination unreachable; gateway or host down 结果依然失败，这是因为刚建立的动态列表还需要激活。 r1#telnet 192.168.12.2 Trying 192.168.12.2 ... Open r2access-enable??????? 注意：此命令只能在VTY线程下输入 完成激活，现在再次登陆R3 r1#telnet 192.168.23.3 Trying 192.168.23.3 ... Open r3 这次可以成功登陆了。现在到R2上查看一下访问列表 r2#sh ip access-lists Extended IP access list DENY ??? permit icmp any any ??? permit tcp host 192.168.12.1 host 192.168.12.2 eq telnet (153 matches) ??? Dynamic DYN permit tcp host 192.168.12.1 host 192.168.23.3 eq te