《2022年动态访问控制列表 2.pdf》由会员分享,可在线阅读,更多相关《2022年动态访问控制列表 2.pdf(6页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、动态访问控制列表1 wangyang 发表于 2007-1-11 15:20:03 LAB 1 基本的动态访问控制列表试验(手动激活)1 试验说明:在本实验中要学习一个新的访问控制列表。使用3 台路由器, R1模拟一个内网用户; R2 模拟网关; R3 模拟外网的一台服务器。R2 上已经做了策略禁止 R1 远程登陆到 R3, 它只允许 R1 远程登陆到 R2 上,然后激活一个动态访问列表。 这个动态访问表是临时性的,它允许R1 在一个特定的时间内可以登陆到 R3 上,现在进行配置。2 基本配置R1 interface Loopback0ip address 1.1.1.1 255.255.25
2、5.255interface Serial2/1ip address 12.0.0.1 255.255.255.0router eigrp 90network 1.1.1.1 0.0.0.0network 12.0.0.0 0.0.0.255no auto-summaryline vty 0 4no loginR2 interface Serial2/1ip address 12.0.0.2 255.255.255.0interface Serial2/2ip address 23.0.0.2 255.255.255.0router eigrp 90network 12.0.0.0 0.0.0
3、.255network 23.0.0.0 0.0.0.255no auto-summaryline vty 0 4no loginR3 interface Loopback0ip address 3.3.3.3 255.255.255.255interface Serial2/1ip address 23.0.0.3 255.255.255.0router eigrp 90network 3.3.3.3 0.0.0.0network 23.0.0.0 0.0.0.255名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理
4、 - - - - - - - 第 1 页,共 6 页 - - - - - - - - - no auto-summaryline vty 0 4no loginr1#telnet 23.0.0.3 Trying 23.0.0.3 . Open r3 现在 R1 可以直接登陆到R3 上。2 在 R2 上配置 ACL 禁止 R1 登陆到 R3,只允许它登陆到R2 上。r2(config)#ip access-list extended WY r2(config-ext-nacl)#permit eigrp any any r2(config-ext-nacl)#permit icmp any an
5、y r2(config-ext-nacl)#permit tcp host 12.0.0.1 host 12.0.0.2 eq telnet r2(config)#int s2/1r2(config-if)# ip access-group WY in r1#telnet 23.0.0.3 Trying 23.0.0.3 . % Destination unreachable; gateway or host downr1#telnet 12.0.0.2 Trying 12.0.0.2 . Openr2现在 R1 就无法登陆 R3 了,只能登陆 R2 3 在 R2 上建立动态访问列表允许R1
6、可以动态的暂时的登陆到R3 r2(config)#ip access-list extended WY r2(config-ext-nacl)# dynamic DYN timeout 3 permit tcp host 12.0.0.1 host 23.0.0.3 eq telnet 以上语句就是在命名列表WY 中建立一条名为DYN 的动态列表项,Timeout 值表示动态列表项被激活后只能存在3 分钟,之后将消失。现在在 R1 上尝试登陆 R3r1#telnet 23.0.0.3 Trying 23.0.0.3 . % Destination unreachable; gateway or
7、 host down 结果依然失败,这是因为刚建立的动态列表还需要激活。r1#telnet 12.0.0.2 Trying 12.0.0.2 . Openr2access-enable r2exi名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 6 页 - - - - - - - - - 完成激活,现在再次登陆R3 r1#telnet 23.0.0.3 Trying 23.0.0.3 . Openr3这次可以成功登陆了。现在到R2 上查看一下访问表r2#sh ip acce
8、ss-lists Extended IP access list WYpermit eigrp any any (318 matches)permit icmp any anypermit tcp host 12.0.0.1 host 12.0.0.2 eq telnet (153 matches)Dynamic DYN permit tcp host 12.0.0.1 host 23.0.0.3 eq telnetpermit tcp host 12.0.0.1 host 23.0.0.3 eq telnet (10 matches) 可以看到这时出现了一条动态列表项,允许R1 登陆到 R3
9、 上。大概过了 1 分多钟,再次查看r2#sh ip access-lists Extended IP access list WYpermit eigrp any any (516 matches)permit icmp any anypermit tcp host 12.0.0.1 host 12.0.0.2 eq telnet (153 matches)Dynamic DYN permit tcp host 12.0.0.1 host 23.0.0.3 eq telnet这时那条动态列表项已经不在了。到这里,基本的动态列表配置已经完成。4 现在再进一步的研究一下命令的几个参数;我们注意到
10、 R1 到 R2 激活的命令:r2#access-enable ?host Enable a specific host onlytimeout Maximum idle time to expire this entry这后面有两个参数,现在就做一下研究,先更改一下动态列表r2(config)#ip access-list extended WY r2(config-ext-nacl)# dynamic CCIE permit tcp any host 23.0.0.3 eq telnet 然后激活,现在看一下控制列表r2# sh ip access Extended IP access l
11、ist WY permit eigrp any any (1068 matches) permit icmp any any permit tcp host 12.0.0.1 host 12.0.0.2 eq telnet (477 matches) Dynamic CCIE permit tcp any host 23.0.0.3 eq telnet permit tcp any host 23.0.0.3 eq telnet (15 matches) 现在到 R1 上进行测试r1#telnet 23.0.0.3 Trying 23.0.0.3 . Openr3exir1#telnet 23
12、.0.0.3 /source-interface lo0 Trying 23.0.0.3 . Open名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 6 页 - - - - - - - - - r3我们发现 R1 以 S2/1或 LO0 接口为源都可以登陆到R3 上; 这是因为 R2 的动态列表允许源为 ANY 等上几分钟,再查看一下ACL r2#sh ip access Extended IP access list WYpermit eigrp any any (11
13、79 matches)permit icmp any anypermit tcp host 12.0.0.1 host 12.0.0.2 eq telnet (477 matches)Dynamic CCIE permit tcp any host 23.0.0.3 eq telnet这时动态列表项已经超时消失了,现在再次进行激活,这次加上host参数。r1#telnet 12.0.0.2 Trying 12.0.0.2 . Openr2#access-enable host r2#exi在 R2 上查看一下 ACL r2#sh ip access Extended IP access lis
14、t WYpermit eigrp any any (1239 matches)permit icmp any anypermit tcp host 12.0.0.1 host 12.0.0.2 eq telnet (594 matches)Dynamic CCIE permit tcp any host 23.0.0.3 eq telnetpermit tcp host 12.0.0.1 host 23.0.0.3 eq telnet (17 matches) 注意这次生成的动态列表项的源只有12.0.0.1;而不是刚才的 ANY 再到 R1 上进行验证r1#telnet 23.0.0.3 T
15、rying 23.0.0.3 . Openr3exir1#telnet 23.0.0.3 /source-interface lo0 Trying 23.0.0.3 . % Destination unreachable; gateway or host down这次以 LO0 为源无法登陆到R3 了,这就是 host的作用;现在再次激活,这次用timeout参数r1#telnet 12.0.0.2 Trying 12.0.0.2 . Openr2#access-enable timeout 1 r2#exi激活后,不进行登陆测试,现在查看ACL r2#sh ip access 名师资料总结
16、- - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 6 页 - - - - - - - - - Extended IP access list WYpermit eigrp any any (1329 matches)permit icmp any anypermit tcp host 12.0.0.1 host 12.0.0.2 eq telnet (690 matches)Dynamic CCIE permit tcp any host 23.0.0.3 eq telnetpermit
17、 tcp any host 23.0.0.3 eq telnet有一条激活的动态列表项等上一分钟后,再次查看r2#sh ip access Extended IP access list WYpermit eigrp any any (1332 matches)permit icmp any anypermit tcp host 12.0.0.1 host 12.0.0.2 eq telnet (690 matches)Dynamic CCIE permit tcp any host 23.0.0.3 eq telnet现在那条动态列表项已经不在了。总结: 1 建完动态访问列表后,需要激活,只
18、能是动态列表所允许的源登陆到建立列表的网关路由器上进行激活。命令为:access-enable 2 激活命令后有两个参数:host和 timeout 加上 host参数后,则动态列表产生一条只允许刚刚进行激活的IP 为源进行到远程的 telnet。3 本实验中两个 timeout参数的区别在建立动态列表时的timeout参数表示一个绝对的生存时间。 即当此列表被激活后,动态列表项能存在多长时间。无论这期间有没有符合动态列表的流量通过。激活命令后的 timeout参数表示一个相对的时间, 它表示当列表被激活后, 若一直没有符合该列表的流量经过,则该列表项能存在多长时间。通常情况下,前一个 tim
19、eout 值都比后一个 timeout值设的大一些。* LAB 2 LOCK-AND-KEY动态访问列表(自动激活)说明:上一个试验我们已经学习了基本的动态访问列表,但觉得手动激活很麻烦。现在我们就来学习一个自动激活的命令。1 保持上一个试验的基本配置,在R2 上建立本地数据库r2(config)#username WY password wangyang2 配置用本地数据库验证登陆信息r2(config)#line vty 0 15r2(config-line)#login local r1#telnet 12.0.0.2 Trying 12.0.0.2 . Open名师资料总结 - - -
20、精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 6 页 - - - - - - - - - User Access VerificationUsername: WYPassword: r2现在 R1 登陆 R2 就需要用户名和密码了。3 配置自动激活动态列表r2(config)#username WY autocommand access-enable host timeout 1 该语句表示当以用户名WY 登陆 R2后, 系统自动执行蓝色部分表示的一条命令。4 在 R1 上登陆 R2 r1#t
21、elnet 12.0.0.2 Trying 12.0.0.2 . OpenUser Access VerificationUsername: WY Password: Connection to 12.0.0.2 closed by foreign host 我们发现登陆 R2 后马上被踢出来了。查看 ACL r2#sh ip access Extended IP access list WYpermit eigrp any any (1608 matches)permit icmp any anypermit tcp host 12.0.0.1 host 12.0.0.2 eq telnet
22、 (840 matches)Dynamic CCIE permit tcp any host 23.0.0.3 eq telnetpermit tcp host 12.0.0.1 host 23.0.0.3 eq telnet 我们可以看到自动生成了一条动态列表项,可见,激活命令已经在R1 登陆 R2后自动执行了。5 进行验证。r1#telnet 23.0.0.3 Trying 23.0.0.3 . Openr3现在可以登录到R3 了名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 6 页 - - - - - - - - -