本文主要向大家介紹了什么是動態(tài)訪問列表，并且要怎樣使用呢？它的語法和配置過程是怎樣的呢？通過下面文章相信你會對思科路由器的動態(tài)訪問列表有所了解。

動態(tài)訪問表是一種新型的訪問表。事實上確實如此，但是動態(tài)訪問表的語法與傳統(tǒng)訪問表項的格式非常相似，這些知識在前面的章節(jié)中也介紹過。動態(tài)訪問表項的語法如下所示：

access-list <access-list mumber> dynamic <name> [timeout n][permit|deny] <protocol> any <destination IP> <destination mask>

其中***項<access-list number>與傳統(tǒng)的擴展訪問表的格式相同，其號碼介于1 0 0~1 9 9之間。第二個參數(shù)< n a m e >是動態(tài)訪問表項的字符串名稱。[ t i m e o u t ]參數(shù)是可選的。如果使用了t i m e o u t參數(shù)，則指定了動態(tài)表項的超時絕對時間。< p r o t o c o l >參數(shù)可以是任何傳統(tǒng)的T C P / I P協(xié)議，如I P、T C P、U D P、I C M P等等。其源I P地址總是使用認證主機的I P地址來替換，所以我們在動態(tài)表項中定義的源地址總是應(yīng)該使用關(guān)鍵字a n y。目的I P（destination IP）和目的屏蔽碼（ destination mask）與傳統(tǒng)的擴展訪問表格式相同。對于目的I P地址，最安全的方式是指定單個子網(wǎng)，或者甚至為單個主機。因為我們在每個訪問表中不能指定多個動態(tài)訪問表項，所以在p r o t o c o l中一般設(shè)置為I P或者T C P。

下面舉例說明：

username cisco password cisco

username cisco autocommand access-enable host timeout 5

username test privilege 15 password test

access-list 100 permit tcp host 1.1.1.1 host 1.1.1.2 eq telnet

access-list 100 dynamic test timeout 5 permit ip any host 20.1.1.1

int s1/1

ip add 1.1.1.2 255.255.255.0

ip acce 100 in

line vty 0 2

login local

line vty 3 4

login local

rotary 1（這一步在測試中表明不是必須的，但在cisco控制列表配置指南有提到）

分析：***行，建立本地密碼數(shù)據(jù)庫，第二行，使用autocmmand 命令使路由器能夠自動創(chuàng)建一個訪問控制列表條目，第三行，仍然建立一個本地數(shù)據(jù)庫，其作用稍后再講，下面幾行建立動態(tài)訪問列表并在接口下應(yīng)用，其實動態(tài)列表只是擴展列表的一部分。在line vty xx下調(diào)用本地密碼數(shù)據(jù)庫

下面是測試結(jié)果：

R2#

R2#sh ip acce（先查看一下激活動態(tài)列表前的控制列表）

Extended IP access list 100

10 permit tcp host 1.1.1.1 host 1.1.1.2 eq telnet (231 matches)

20 Dynamic test permit ip any host 20.1.1.1

R2#

我們先telnet 20.1.1.1 可以看到是不成功的，因為我們還沒有激活動態(tài)列表

R1#

R1#

R1#telnet 20.1.1.1

Trying 20.1.1.1 ...

% Destination unreachable; gateway or host down

R1#

下面進行激活：

R1#telnet 1.1.1.2

Trying 1.1.1.2 ... Open

User Access Verification

Username: cisco

Password:

[Connection to 1.1.1.2 closed by foreign host]

R1#

這里我們在查看一下激活后的訪問控制列表和激活前的有什么不同:

R2#

R2#sh ip acce

Extended IP access list 100

10 permit tcp host 1.1.1.1 host 1.1.1.2 eq telnet (303 matches)

20 Dynamic test permit ip any host 20.1.1.1

permit ip host 1.1.1.1 host 20.1.1.1

R2#

現(xiàn)在我們再telnet 20.1.1.1 應(yīng)該是成功的

R1#

R1#telnet 20.1.1.1 3001

Trying 20.1.1.1, 3001 ... Open

User Access Verification

Username: test（這里的用戶名和密碼我們使用的是test，用戶名cisco登錄會被自動踢出，這就是我要建立第二個密碼數(shù)據(jù)庫的原因了）

Password:

R2#

R2#

到這一步已經(jīng)表明我們的測試結(jié)果是成功的，不知道大家能不能看明白？

【編輯推薦】

1. 常用思科路由器密碼恢復(fù)經(jīng)典案例
2. 思科路由器口令恢復(fù)辦法全解
3. 思科路由器安全性管理
4. cisco路由器配置ACL詳解
5. cisco路由器啟動進程