cisco动态访问控制列表的应用

本文主要向大家介绍了什么是动态访问列表,并且要怎样使用呢?它的语法和
配置过程是怎样的呢?通过下面文章相信你会对思科路由器的动态访问列表有所了解。动态访问表是一种新型的访问表。事实上确实如此,
但是动态访问表的语法与传统访问表项的格式非常相似,这些知识在
前面的章节中也介绍过。动态访问表项的语法
如下所示:access-list <access-list mumber> dynamic <name> [timeout n][permit|deny] <protocol> any <destination IP> <destination mask>其中第一项<access-list number>与传统的扩展访问表的格式相同,其号码介于1 0 0~1 9 9之间。第二个参数< n a m e >是动态访问表项的字符串名称。[ t i m e o u t ]参数是可选的。如果使用了t i m e o u t参数,则指定了动态表项的超时绝对时间。< p r o t o c o l >参数可以是任何传统的T C P / I P协议,如I P、T C P、U D P、I C M P等等。其源I P地址总是使用认证主机的I P地址来替换,
所以我们在动态表项中定义的源地址总是应该使用关键字a n y。目的I P(destination IP)和目的屏蔽码( destination mask)与传统的扩展访问表格式相同。对于目的I P地址,最安全的方式是指定单个子网,或者甚至为单个主机。因为我们在每个访问表中不能指定多个动态访问表项,所以在p r o t o c o l中一般设置为I P或者T C P。下面举例说明:
username cisco password ciscousername cisco autocommand access-enable host timeout 5username test privilege 15 password testaccess-list 100 permit tcp host 1.1.1.1 host 1.1.1.2 eq telnetaccess-list 100 dynamic test timeout 5 permit ip any host 20.1.1.1int s1/1ip add 1.1.1.2 255.255.255.0ip acce 100 inline vty 0 2login localline vty 3 4login localrotary 1(这一步在测试中表明不是必须的,但在cisco控制列表
配置指南有提到)分析:第一行,建立本地密码数据库,第二行,使用autocmmand 命令使路由器能够自动创建一个访问控制列表条目,第三行,仍然建立一个本地数据库,其作用稍后再讲,下面几行建立动态访问列表并在接口下应用,其实动态列表只是扩展列表的一部分。在line vty xx下调用本地密码数据库下面是测试结果:R2#R2#sh ip acce(先查看一下激活动态列表前的控制列表)Extended IP access list 10010 permit tcp host 1.1.1.1 host 1.1.1.2 eq telnet (231 matches)20 Dynamic test permit ip any host 20.1.1.1R2#我们先telnet 20.1.1.1 可以看到是不成功的,因为我们还没有激活动态列表R1#R1#R1#telnet 20.1.1.1Tr
ying 20.1.1.1 ...% Destination unr
eachable; gateway or host downR1#下面进行激活:R1#telnet 1.1.1.2Trying 1.1.1.2 ... OpenUser Access VerificationUsername: ciscoPassword:[Connection to 1.1.1.2 closed by foreign host]R1#这里我们在查看一下激活后的访问控制列表和激活前的有什么不同:R2#R2#sh ip acceExtended IP access list 10010 permit tcp host 1.1.1.1 host 1.1.1.2 eq telnet (303 matches)20 Dynamic test permit ip any host 20.1.1.1permit ip host 1.1.1.1 host 20.1.1.1R2#现在我们再telnet 20.1.1.1 应该是成功的R1#R1#telnet 20.1.1.1 3001Trying 20.1.1.1, 3001 ... OpenUser Access VerificationUsername: test(这里的用户名和密码我们使用的是test,用户名cisco登录会被自动踢出,这就是
我要建立第二个密码数据库的原因了)Password:R2#R2#到这一步已经表明我们的测试结果是成功的,不知道大家能不能看明白?

时间: 2024-10-15 23:39:05

cisco动态访问控制列表的应用的相关文章

在路由器上配置动态访问控制列表

通过配置动态 访问控制列表,可以进行哪些操作呢? 那么要如何进行操作呢?文章给出了详细的配置步骤,同时附有配置命令和注意事项.这种ACL是基于lock-and-key的,动态acl平时是不生效的,只用当条件触发时才生效. 例如:在某台路由器上我进行了 如下配置: username netdigedu password 123username netdigedu autocommand access-enable host time 5line vty 0 4login local同时配置一个动态

文件和目录的访问控制(1) 访问控制列表

权限的概念相信你已经不陌生了,那么如何设置一个文件的访问权限呢?编程可不可以实现动态的控制文件权限信息呢?答案是肯定的,.NET可以做到这些. 自由访问控制列表(Discretionary Access Control List,DACL)(有时缩写为ACL)是一种 Microsoft Windows NT 和更高版本用于保护资源(例如文件和文件夹)的机制.DACL包含多个访问控制项(Access Control Entry,ACE).访问控制项将一个主体(通常是一个用户账户或用户账户组)与一个

在路由器上配置自反访问控制列表

自反访问列表会根据一个方向的 访问控制列表,自动创建出一个反方向的控制列表,是和原来的控制列表-IP的源地址和目的地址颠倒,并且源端口号和目的端口号完全相反的一个列表. 那么如何在路由器上完成自反访问控制列表的配置呢?下面我们开始逐步进行:注意必须是内部发起的!用命名的ACL做.不是很好理解,看个例子吧.先看下面的:ipaccess-listextendedabc denyicmpany192.168.1.00.0.0.255 permitipanyany exit ints0/0 ipacce

在三层交换机上如何配置访问控制列表?进入到interface fa0/2后该怎么做?

问题描述 在三层交换机上如何配置访问控制列表?进入到interface fa0/2后该怎么做? 在三层交换机上如何配置访问控制列表?求解.进入到interface fa0/2后该怎么做? 解决方案 http://wenku.baidu.com/link?url=Gr9SaIT2HDgogf9dH1r-XrYrl6_Q56GvcLD8b3cLXnAaKd1Xw6tIoCUwIyaS4fnqh-v2UcPNasJ-YM0lFG5VDXsbyMLjN04KTwd3TCRrFau

防火墙概念与访问控制列表

个人认识防火墙分软件防火墙与硬件防火墙. 就软件防火墙而言又分网络防火墙与病毒防火墙,这之中还有手机防火墙.我们常用到的软件防火墙品牌包括瑞星,冰盾等. 就硬件防火墙我这里就引用点现成的东西,以便说明硬件防火墙在网络中的使用. 首先为什么要研究安全? 什么是"计算机安全"?广义地讲,安全是指防止其他人利用.借助你的计算机或外围设备,做你不希望他们做的任何事情.首要问题是:"我们力图保护的是些什么资源?"答案并不是明确的.通常,对这个问题的答案是采取必要的主机专用措施

编程实现遍历ACL访问控制列表检查进程访问权限

阅读本文的朋友需要对Windows访问控制模型有初步的了解,了解Token(访问令牌),ACL(访问控制列表),DACL(选择访问控制列表),ACE(访问控制列表项)等与访问控制模型相关的名词含义及之间的关系,当然我也会在文中简要科普一下ACM. 写这篇文章的目的主要是最近在写一个Win下本地提权的东西,涉及到了对ACL的操作,以前对ACL总是避而远之,Windows访问控制模型很复杂很头疼一个API会牵出一大把初始化要用的API.毕竟涉及到用户访问的安全,肯定不能让编程人员随意更改这些机制,复

部署Csico三层交换机专家级访问控制列表的配置案例实战

我们从事的信息安全方面的工作,最近怀疑有人可能利用一些工具进行网络攻击访问,这确实影响了网络安全性,为了提高网络访问的安全性,这时不借助其他软件工具,直接利用专家级的访问控制列表,根据用户的IP地址和MAC地址进行网络访问的控制.案例实验拓扑图及案例要求与分析,见下图: 更多精彩内容:http://www.bianceng.cnhttp://www.bianceng.cn/Network/jhjs/

网络题:ACL访问控制列表的实现

题目需求: 首先给4台PC 配上ip地址 这里基本都会 不多讲解 列表的实现-"> 然后做vlan划分 0和1 划分到vlan2 里 pc2和3 划分到vlan3里 直接上图 我就不写步骤了.然后我们做单臂路由,有的同学不会,我前面的文档有专门的 单臂路由和vlan'的文章,今天主要acl访问控制列表.

RHCSA 系列(七): 使用 ACL(访问控制列表) 和挂载 Samba/NFS 共享

在上一篇文章(RHCSA 系列(六))中,我们解释了如何使用 parted 和 ssm 来设置和配置本地系统存储. RHCSA 系列: 配置 ACL 及挂载 NFS/Samba 共享 – Part 7 我们也讨论了如何创建和在系统启动时使用一个密码来挂载加密的卷.另外,我们告诫过你要避免在挂载的文件系统上执行危险的存储管理操作.记住了这点后,现在,我们将回顾在 RHEL 7 中最常使用的文件系统格式,然后将涵盖有关手动或自动挂载.使用和卸载网络文件系统(CIFS 和 NFS)的话题以及在你的操作