扩展访问列表工作的。初始状态时访问列表禁止某种数据通过路由器.docVIP

动态访问列表（Lock and Key）是依靠Telnet和扩展访问列表工作的。初始状态时访问列表禁止某种数据通过路由器，如果用户需要此类数据通过路由器，就需要先对路由器发起Telnet会话，当成功通过身份验证后，Telnet会话自行结束，路由器就会自动在访问列表里临时增加一个条件，该临时条件允许初始被禁止的数据通过路由器，如图5-8所示。 图5-8 动态ACL示意图 身份验证可以本地执行，也可以远程执行（比如在AAA服务器上执行）。临时增加的条件在访问列表里存在的时间可以人为设定。 设置动态访问列表的语法如下： （1）允许路由器动态加入临时条件语句，即使路由器支持动态ACL Router(config)# username username autocommand access-enable [host] [timeout time] 参数含义如下： username : 被Telnet认证的用户名； host：仅允许认证通过的主机使用临时条件；否则，临时条件定义的整个网段内的主机都可以使用该条件。 time：空闲时间，以min为单位；如果在该时间内没有符合临时条件语句的数据通过，临时条件语句就会从访问列表中删去；如果想再次使用该条件，则需重新认证。 （2）定义动态ACL Router(config)# access-list access-list-number dynamic name [timeout time] {permit|deny} [protocol] {source source-wildcard | any} {destination destination-wildcard | any} [precedence precedence] [tos tos] [established] [log | log-input] [operator destination-port] 其中， timeout time：指临时条件存在于访问列表中的时间，也称绝对时间。 例如，下面是使用本地认证方法的动态访问列表。 username dynamicACL password testacl username dynamicACL autocommand access-enable host timeout 20 ! interface Ethernet0/0 ip address 10.1.1.1 255.255.255.0 ip access-group 101 in ! access-list 101 permit tcp any host 10.1.1.1 eq telnet access-list 101 dynamic testlist timeout 25 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 access-list 101 deny ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 access-list 101 permit ip any any ! line vty 0 4 login local 以上配置产生的效果是：位于10.1.1.0/24网段的用户dynamicACL通过Telnet的身份认证后，才能访问172.16.1.0/24网段。