動態ＡＣＬ＋自反ＡＣＬ

2012/2/16 17:39:38  出處：本站   人氣：72次    字號：小  中  大

　　通過lock-and-key 動態ACL 獲得訪問目標設備權限的用戶,首先要開啟到路由器的telnet 會話.接著lock-and-key 動態ACL 自動對用戶進行認證.如果認證通過,那么用戶就獲得了臨時性的訪問權限.

　　Case 1

　　在5 分鐘內開啟到172.16.1.2 的telnet 會話,如果認證成功,對用戶給予120 秒的訪問許可權:

　　!

　　interface Ethernet0

　　ip address 172.16.1.1 255.255.255.0

　　ip access-group 101 in

　　!

　　access-list 101 permit tcp any host 172.16.1.2 eq telnet

　　access-list 101 dynamic Aiko timeout 120 permit ip any any

　　!

　　line vty 0 4

　　login tacacs

　　autocommand access-enable timeout 5

　　!

　　Monitoring and Maintaining Lock-and-Key

　　查看ACL 信息:

　　Aiko#show access-lists

　　Configuring Lock-and-Key

　　配置lock-and-key 動態ACL 的步驟如下:

　　1.設置動態ACL:

　　Aiko(config)#access-list {access-list-number} [dynamic dynamic-name [timeout minutes]]

　　{deny|permit} telnet {source source-wildcard destination destination-wildcard}

　　2.擴展動態ACL 的絕對計時器.可選:

　　Aiko(config)# access-list dynamic-extend

　　3.定義需要應用ACL 的接口:

　　Aiko(config)#interface {interface}

　　4.應用ACL:

　　Aiko(config-if)#ip access-group {ACL}

　　5.定義VTY 線路:

　　Aiko(config)#line vty {line-number [ending-line-number]}

　　6.對用戶進行認證:

　　Aiko(config)#username {username} password {password}

　　7.采用TACACS 認證或本地認證方式.可選:

　　Aiko(config-line)#login {tacacs|local}

　　8.創建臨時性的訪問許可權限,如果沒有定義參數host,默認為所有主機:

　　Aiko(config-line)#autocommand access-enable {host} [timeout minutes]

　　Case 1

　　在5 分鐘內開啟到172.16.1.2 的telnet 會話,如果認證成功,對用戶給予120 秒的訪問許可權:

　　!

　　interface Ethernet0

　　ip address 172.16.1.1 255.255.255.0

　　ip access-group 101 in

　　!

　　access-list 101 permit tcp any host 172.16.1.2 eq telnet

　　access-list 101 dynamic Aiko timeout 120 permit ip any any

　　================================================================================================

　　Pt.3 IP Session Filtering

　　Reflexive ACL Overview

　　自反ACL 可以基于上層信息過濾IP 流量.可以使用自反ACL 實現流量的單向穿越.自反ACL 只能通過命名擴展ACL 來定義.

　　Configuring Reflexive ACL

　　配置自反ACL 的步驟如下:

　　1.定義命名擴展ACL:

　　Aiko(config)#ip access-list extended {name}

　　2.定義自反ACL:

　　Aiko(config-ext-nacl)#permit {protocol} any any reflect {name} [timeout seconds]

　　3.嵌套自反ACL:

　　Aiko(config-ext-nacl)#evaluate {name}

　　4.應用自反ACL:

　　Aiko(config-if)#ip access-group {name} {in|out}

　　5.全局定義自反ACL 的超時時間.可選:

　　Aiko(config)#ip reflexive-list timeout {seconds}

　　Case 2

　　路由器B 連接的網段192.168.0.0/24 為內部區域,路由器B 的串行接口所連的10.0.0.0/30 以及上游網段為外部區域.路由器A和B運行EIGRP.要求允許EIGRP 和ICMP信息;允許到達外部區域的TCP 和UDP信息;而不允許進入內部區域的TCP 和UDP 信息:

　　路由器B 配置如下:

　　!

　　ip access-list extended inbound

　　permit eigrp any any

　　permit icmp any any

　　evaluate Aiko

　　ip access-list extended outbound

　　permit eigrp any any

　　permit icmp any any

　　permit tcp any any reflect Aiko

　　permit udp any any reflect Aiko

　　!

　　interface Ethernet0

　　ip address 192.168.0.1 255.255.255.0

　　ip access-group inbound in

　　ip access-group outbound out