动态ACL:
R2(config)#username ccna password cisco //建立本地数据库,用于telnet时验证的帐户
R2(config)#access-list 120 permit tcp 172.16.3.0 0.0.0.255 host 2.2.2.2 eq telnet //打开TELNET 访问权限,否则无法使用telnet来进行验证
R2(config)#access-list 120 permit tcp 172.16.3.0 0.0.0.255 host 192.168.12.2 eq telnet
R2(config)#access-list 120 permit tcp 172.16.3.0 0.0.0.255 host 192.168.23.2 eq telnet
R2(config)#access-list 120 permit eigrp any any //允许EIGRP 协议
R2(config)#access-list 120 dynamic test timeout 120 permit ip 172.16.3.0
0.0.0.255 host 2.2.2.2
//“dynamic”定义动态ACL,“timeout”定义动态ACL 绝对的超时时间,秒数,即120秒;
R2(config)#access-list 120 dynamic test1 timeout 120 permit ip 172.16.3.0
0.0.0.255 host 192.168.12.2
R2(config)#access-list 120 dynamic test2 timeout 120 permit ip 172.16.3.0
0.0.0.255 host 192.168.23.2
R2(config)#interface s0/1
R2(config-if)#ip access-group 120 in
R2(config)#line vty 0 4
R2(config-line)#login local //VTY 使用本地验证
R2(config-line)#autocommand access-enable host timeout 5
//在一个动态ACL 中创建一个临时性的访问控制列表条目,“timeout”定义了空闲超时值,空闲超时值必须小于绝对超时值。5代表分钟;
username ccna autocommand access-enable host timeout 3
//这条语句定义ccna这个用户空闲超时时间为3分钟;
启用动态acl后,无法再使用telnet登录路由器,因为端口都被验证telnet所占用;所以需要再开一条vty线路用于telnet登录;
line vty 0 3
password cisco
login local
line vty 4
password ccna
login
rotary 1
//vty 0 3,即0~3这四条线路使用cisco本地帐户验证,用于telnet 动态验证;
//vty 4 则为登录路由器的线路,因为使用了rotary,将端口更改为3001,密码为ccna;
//这样既可以使用telnet来进行动态验证,又可以使用telnet来登录到设备本身;
//要注意的事,如果使用了动态路由协议,让telnet流量默认能通过的同时,也要将路由协议所使用的流量通过;
原文:http://zcry21cn.blog.51cto.com/606036/1737018