1、cisco security 系列文檔作者：于康qq：191197032（群）1677151165 （個人）ccie rs&sec http:/ acl，也被稱為 lock-and-key acl ，在1996 年作為選項引入思科ios。動態 acl僅支持 ip流量。動態acl依賴于 telnet 連接，用戶 telnet 路由器，并驗證通過，此時telnet 自動斷開，并動態產生一條臨時acl語句。當一段時間內，無該語句相關流量通過，臨時的acl語句消失。動態訪問表是對傳統訪問表的一種重要功能增強。我們從動態訪問表的名稱就可以看出，動態訪問表是能夠創建動態訪問表項的訪問表。傳統的標準

2、訪問表和擴展的訪問表不能創建動態訪問表項。一旦在傳統訪問表中加入了一個表項，除非手工刪除，該表項將一直產生作用。而在動態訪問表中，讀者可以根據用戶認證過程來創建特定的、臨時的訪問表。用戶一般通過提供用戶名和口令，就能夠開啟一個到路由器telnet 會話。也可以配臵路由器，讓其只需要口令，而不需要用戶名；但我們并不推薦這樣做。在用戶被認證之后，路由器關閉telnet 會話，并將一個動態訪問表項臵于某個訪問表中，以允許源地址為認證用戶工作站地址的報文通過。這樣，用戶可以在安全邊界上配臵訪問表，只允許那些能夠通過用戶認證的工作站才能發送向內的報文。這種方式所帶來的好處是很明顯的。在傳統的訪問表中，如

3、果處于路由器不可信任端的用戶需要訪問內部的資源，就必須永久性地在訪問表中開啟一個突破口，以允許這些用戶的工作站上的報文進入可信任網絡。這些在訪問表中的永久性的突破口給黑客發送報文進入安全邊界，并達到內部網絡提供了機會。這種情況可以通過只允許特定的可信i p源地址的報文進入內部，解決部分問題。但是，假設用戶不是使用靜態的 i p地址呢？則上述的方法就不起作用了。例如，用戶可以通過internet 服務提供者（ internet service provider ，isp）撥號進入 internet 。一般情況下，家庭用戶每次撥入i s p時，其 i p地址都是不同的，所以，如果不在安全邊界上開啟

4、一個很大的突破口的話，就不能夠允許來自這些用戶的報文通過，而如果這樣做，又給黑客們提供了可乘之機。在這種情況下使用動態訪問表，能夠比使用傳統i p訪問表提供更高的安全級別。前面講過，動態訪問表是一種新型的訪問表。事實上確實如此，但是動態訪問表的語法與傳統訪問表項的格式非常相似，這些知識在前面的章節中也介紹過。動態訪問表項的語法如下所示：access-list dynamic timeout permit|deny any 其中第一項 與傳統的擴展訪問表的格式相同，其號碼介于100199 之間。第二個參數 是動態訪問表項的字符串名稱。timeout 參數是可選的。 如果使用了 timeout 參

5、數，則指定了動態表項的超時絕對時間。參數可以是任何傳統的tcp/ip協議，如 ip、tcp、udp、icmp 等等。其源 ip地址總是使用認證主機的ip地址來替換，所以我們在動態表項中定義的源地址總是應該使用關鍵字 any。目的 ip（destination ip ）和目的屏蔽（ destination mask ）與傳統的擴展訪問表格式相同。對于目的i p地址，最安全的方式是指定單個子網，或者甚至為單個主機。因為我們在每個訪問表中不能指定多個動態訪問表項，所以在protocol 中一般設臵為 ip或者 tcp。例1：定義動態 acl條目qm_iosfw(config)#access-list

6、 101 permit tcp any host eq telnet 允許外部任何地址訪問該路由的telnet qm_iosfw(config)#access-list 101 dynamic dyacl permit ip any any 動態產生后的 acl 在line vty 下應用 autocommand qm_iosfw(config)#line vty 0 4cisco security 系列文檔作者：于康qq：191197032（群）1677151165 （個人）ccie rs&sec http:/ local （這里可以結合aaa 或本地認證）qm

7、_iosfw(config-line)#autocommand access-enable host timeout 5 （紅字為隱藏命令，直接敲）在接口下調用 acl（一定要調用，否則不生效）qm_iosfw(config)#int f0/0 qm_iosfw(config-if)#ip access-group 101 in 此時 show ip access-list 查看下 acl條目：qm_iosfw#show ip access-lists extended ip access list 101 10 permit tcp any host eq telnet

8、 20 dynamic dyacl permit ip any any 沒有任何動態條目產生，我們在外部telnet 觸發下看看：qm_r1#telnet /source-interface loopback 0 trying . open user access verification username: cisco password: connection to closed by foreign host telnet 成功后會斷開 telnet 連接qm_iosfw#show ip access-lists exten

9、ded ip access list 101 10 permit tcp any host eq telnet (72 matches) 20 dynamic dyacl permit ip any any permit ip host any (5 matches) (time left 296) 網關路由上就會產生一條動態的acl。以上是最基本的動態acl，下面對動態 acl的一些優化做闡述：優化一：此時如果管理員需要遠程管理iosfw這臺路由器，卻發現每次telnet 登陸都會被斷開，因為telnet 會話在認證之后，很快就會被關閉，這將導致管理員不

10、能通過telnet 管理其路由器。解決這個問題可以通過在某些vty 端口下面使用 rotary 命令。qm_iosfw(config)#line vty 5qm_iosfw(config-line)#login local qm_iosfw(config-line)#rotary 1 （telnet 時，使用端口號為3000+1 ）測試：r1#telnet 3001 trying , 3001 . open user access verification username: cisco password: qm_iosfw cisco securit

11、y 系列文檔作者：于康qq：191197032（群）1677151165 （個人）ccie rs&sec http:/ 3001 端口不成功，此時可以先telnet 23 ，創建動態 acl后在做 3001的telnet 管理。注意二：登陸上以后，調試完畢盡快推出會話，如果沒有推出，并且沒有流量通過動態acl，5分鐘后，動態acl消失，那么管理員的telnet 會話窗口就會卡死在line 下，無法退出。優化二：可以結合時間 acl，更好的控制外網對iosfw的訪問，比如該動態acl只可以晚上 8點12 點使用，此時可以結合time-range. qm_iosfw(config)#tim

12、e-range accessqm_iosfw(config-time-range)#periodic daily 20:00 to 23:59 qm_iosfw(config)#access-list 101 permit tcp any host eq telnet time-range access此時只有在晚上 8:00 和12:00 之間才可以對 iosfw做telnet 觸發，從而間接的保護了內網的訪問時間。優化三：結合 aaa 對username 和password 管理，此處略！關于aaa 驗證問題，請參考我寫的acs 配臵指南。優化四：全局模式下保護外網用戶對iosfw的telnet 訪問，這樣可以防止dos的攻擊。qm_iosfw(config)#lo