Filtering Packets with Dynamic Access-Lists

NOTE

[R1]—-(10.0.12.0/24)—-[R2]—-(10.0.23.0/24)—-[R3]

  • telnet認証に成功すると、一定時間動的に許可フィルタが作成されて通れる
  • autocommandが重要
  • 一度通信があるとタイマリセットでtimeoutは元に戻る
  • エントリの中でタイムアウトを指定すると継続通信があってもタイムアウト
    (例) access-list 100 dynamic PING-OK timeout 5 permit ~
R2(config)#access-list 100 permit tcp 10.0.12.0 0.0.0.255 host 10.0.12.2 eq telnet
R2(config)#access-list 100 dynamic PING-OK permit icmp 10.0.12.0 0.0.0.255 host 10.0.23.3
R2(config)#
R2(config)# int fa0/0
R2(config-if)#ip access-group 100 in
R2(config-if)#exit
R2(config)#
R2(config)#line vty 0 4
R2(config-line)#autocommand access-enable host timeout 5
R2(config-line)#end

 

  • 時間切れでエントリ削除
R2#show access-lists
Extended IP access list 100
    10 permit tcp 10.0.12.0 0.0.0.255 host 10.0.12.2 eq telnet (159 matches)
    20 Dynamic PING-OK permit icmp 10.0.12.0 0.0.0.255 host 10.0.23.3
       permit icmp host 10.0.12.1 host 10.0.23.3 (30 matches)
R2#
R2#show access-lists
Extended IP access list 100
    10 permit tcp 10.0.12.0 0.0.0.255 host 10.0.12.2 eq telnet (159 matches)
    20 Dynamic PING-OK permit icmp 10.0.12.0 0.0.0.255 host 10.0.23.3
R2#
R2#show access-lists
Extended IP access list 100
    10 permit tcp 10.0.12.0 0.0.0.255 host 10.0.12.2 eq telnet (159 matches)
    20 Dynamic PING-OK permit icmp 10.0.12.0 0.0.0.255 host 10.0.23.3

コメント