演示：動態訪問控制列表(帶鎖的ACL）

動態ACL是對傳統ACL的一種應用擴充套件；動態ACL要求某些非安全區域的主機訪問受保護網路資源之前，首先經過身份驗證，然後，它自動建立動態訪問控制項來允許訪問會話的傳入；傳統的標準訪問控制列表和擴充套件的訪問控制列表不能做到這一點。現在需要理解的是動態ACL的工作過程，如下圖10.19所示：

第一步：客戶機如果需要訪問伺服器192.168.2.2，如果在路由器上實施了動態ACL的配置，那麼客戶機將首先償試telnet到配置了動態ACL的路由器R1，此時，Telnet程式會要求客戶端主機輸入使用者名稱與密碼，事實上，動態ACL正是使用這個使用者輸入的使用者名稱和密碼完成對遠端主機的身份驗證，注意：這裡的Telnet只是一種假像，其實真正的目的是在於身份驗證。

第二步：當完成身份驗證後，如果使用者合法，那麼配置動態ACL的路由器會新增一條臨時的允許訪問內部網路某項伺服器的ACL語句，這條語句的生效時間是有限制的，以使用者配置的生效時間來作做為這條語句的生效時間。

第三步：此時，切斷Telnet會話，客戶端開始正式訪問伺服器192.168.2.2上的相關服務，直到配置的超時時間到期前都成功的獲得訪問。

第四步：當允許的最長連線時間到期時，被增加的臨時ACL條目被刪除。

在什麼情況下使用動態ACL？

傳統ACL主要作用是控制訪問行為，但是在很多情況下使用傳統的ACL並不是最佳方案，比如：網路邊界路由器面對廣泛安全來源時，傳統的ACL就顯得非常力不從心了，所謂廣泛的安全來源發生在這樣一種情況下：網路邊界路由器只允許某些特點的訪問來源，進入安全區域訪問伺服器，但是訪問來源可能是通過撥號的形式來連線Internet，而通常撥號形式的Internet接入，每次所獲得的IP地址都不同，在這種情況下，如何使用傳統的ACL，可能您每次都要重新書寫ACL的語句，因為控制來源的IP地址隨時都會變化，或者您需要輸寫相當冗長的ACL列表，當然你可以使用一條any語句來替代這些廣泛來源的不同IP地址，但是，這無疑增大了安全隱患，為黑客提供了非法訪問的機會。所以，在這種情況下動態ACL是一種可取的方案，因為在增加臨時ACL語句（允許訪問）之前，對訪問來源進行了身份驗證。

演示：動態ACL的配置

演示目標：

n演示動態ACL的配置。

n演示動態ACL和Telnet同時使用的案例。

演示環境：使用如上圖 10.19描述動態ACL工作原理的環境。

演示背景：在路由器R1上配置動態ACL，對客戶機訪問伺服器的行為進行身份認證，如果身份合法，則允許客戶機訪問伺服器，反之，則不能。然後，要求再為路由器R1配置動態ACL後，要求同時可以通過Telnet路由器R1執行網路管理，這就提出一個問題：動態ACL使用Telnet形式來完成身份驗證，路由器R1需要被真正的Telnet執行遠端管理時，怎麼辦？

演示步驟：

第一步：在路由器R1上配置動態ACL，並將其應用到相關的介面上，具體配置如下：

關於動態ACL的配置：

R1(config)#usernameccna password good * 配置要驗證的使用者名稱與密碼。

R1(config)#usernameccna autocommand access-enable host timeout 10

* 為ccna使用者配置動態ACL的空閒超時時間為10分鐘，也就是指示如果動態ACL插入臨時條目後，10分鐘沒有匹配流量的情況下，該臨時條目將被刪除；host關鍵字指示，動態ACL插入的臨時條目只對啟用身份驗證的主機生效，如果沒有host關鍵字，一旦某一臺主機認證成功啟用後，其它主機就不需要再做認證，就可以訪問資源，這樣存在安全隱患的。

R1(config)#access-list101 permit tcp any host 192.168.3.1 eq telnet

* 配置擴充套件ACL允許任何源IP地址telnet路由器R1（192.168.3.1），這是必須的，因為動態ACL的生存是使用Telnet的形式完成身份驗證，所以必須允許Telnet協議。

R1(config)#access-list101 dynamic ccna timeout 120 permit ip any host 192.168.2.2

* 配置動態ACL的具體內容，動態ACL是在擴充套件ACL101的基礎上構造起來的，所以它使用擴充套件ACL101所使用的ACL號碼，以關鍵字dynamic申明這是一條名為ccna的動態ACL，該語句中的timeout指示動態ACL的絕對超時時間，所謂絕對超時時間，指示當這個時間到期時，無論有無匹配的資料，臨時條目都將被刪除，使用者必須重新進行認證；permit ip any host 192.168.2.2指示動態ACL對使用者認證成功後，插入臨時條目的具體內容，這裡的內容是認證成功後允許任何源IP地址訪問目標主機192.168.2.2。

R1(config)#line vty0 4 * 進入Vty 0、1、2、3、5的線路配置模式。

R1(config-line)#loginlocal * 使用本地安全資料庫完成Telnet登陸認證。

R1(config)#interfacee1/0 * 進入路由器R1的外部介面E1/0介面模式。

R1(config-if)#ipaccess-group 101 in * 在R1的E1/0介面的入方向上應用ACL101。

第二步：完成上述配置後，現在來體會動態ACL的效果，並驗證動態ACL是否生效，首先到路由器R1上執行show access-lists檢視現有的ACL條目，可以發現如下圖 10.20所示，目前驗證未被啟用，所以在顯示的結果中，只有一條先前所配置的傳統擴充套件ACL條目和動態ACL的申明語句，暫時沒明被插入的臨時ACL語句。

此時，在主機192.168.3.2上執行對伺服器192.168.2.2的Ping，結果如下圖10.21所示，無法ping通伺服器，顯示為目標不可達，這是因為現在主機192.168.2.2還沒有經過路由器R1的身份驗證，動態ACL支援的臨時條目，暫時沒有生效。

現在，在主機192.168.3.2上Telnet路由器R1（192.168.3.1），在主機192.168.3.2的命令提示符下執行Telnet 192.168.3.1；出現如下圖 10.22所示,在這個過程中完成身份驗證，雖然，這看上去是一個Telnet的驗證過程，但事實上不是，因為完成身份驗證後，會立即切斷Telnet連線。然後，在主機192.168.3.2上再次發起對伺服器192.168.2.2的Ping，此時，會出現如下圖10.23所示的結果，成功的Ping通伺服器，這是因為動態ACL對客戶機進行了身份驗證，並獲得驗證成功的結果，然後，觸發臨時的ACL語句所致。

在完成上述配置後，此時，到路由器R1上再次使用show access-lists檢視ACL的語句，如下圖10.24所示，現在可以看到出現了臨時ACL語句，並且有4個與該語句匹配的資料包，以及空閒倒數計時。

第三步：在完成上述過程後，現在提出一個問題：路由器為了實現動態ACL的功能使用Telnet形式來完成身份驗證，當動態ACL要整合正常的telnet時該怎麼辦？出就是說在路由器R1上要同時使用動態ACL與正常Telnet的解決方案，具體的配置如下：

配置動態ACL與正常的Telnet整合：

R1(config)#line vty0 4

R1(config-line)#nologin local * 取消在vty0到4的線路模式下的認證配置。

R1(config)#line vty0 3 * 進入vty0、1、2、3線路模式。

R1(config-line)#loginlocal * 使用本地安全資料庫完成身份驗證。

注意：現在的配置中，沒有完全使用vty的所有線路，一般情況下路由器有5條vty線路0、1、2、3、4；現在只使用了0-3的線路來用作動態ACL；餘下4號線路供給正常的telnet使用。

R1(config)#line vty4 * 進入Vty 4號線路模式。

R1(config-line)#login * 進行登陸驗證。

R1(config-line)#passwordccna * 配置telnet登陸的密碼。

R1(config-line)#rotary1 * 將telnet的埠移向埠3001。

R1(config)#enablepassword ccna * 配置Enable的密碼。

R1(config)#access-list101 permit tcp any host 192.168.3.1 eq 3001

* 注意，此時必須在ACL列表101中增加一條允許telnet 3001的語句，否則正常的telnet將無法完成，因為它會被ACL最後的隱式拒絕語句Deny掉。

現在，在主機就可以同時使用動態ACL的身份驗證和正常的Telnet遠端管理，可以在主機的CMD提示符下執行如下指令：

C:>telnet192.168.3.1 * 這是動態ACL的身份驗證，完成後會立即切斷Telnet會話。

C:>telnet 192.168.3.1 3001 * 這是正常的telnet管理，不會切斷telnet會話。

本文轉自 kingsir827 51CTO部落格，原文連結：http://blog.51cto.com/7658423/1323467，如需轉載請自行聯絡原作者