本文主要向大家介紹了什么是動態訪問列表，并且要怎樣使用呢？它的語法和配置過程是怎樣的呢？通過下面文章相信你會對思科路由器的動態訪問列表有所了解。

動態訪問表是一種新型的訪問表。事實上確實如此，但是動態訪問表的語法與傳統訪問表項的格式非常相似，這些知識在前面的章節中也介紹過。動態訪問表項的語法如下所示：

access-list <access-list mumber> dynamic <name> [timeout n][permit|deny] <protocol> any <destination IP> <destination mask>

其中***項<access-list number>與傳統的擴展訪問表的格式相同，其號碼介于1 0 0~1 9 9之間。第二個參數< n a m e >是動態訪問表項的字符串名稱。[ t i m e o u t ]參數是可選的。如果使用了t i m e o u t參數，則指定了動態表項的超時絕對時間。< p r o t o c o l >參數可以是任何傳統的T C P / I P協議，如I P、T C P、U D P、I C M P等等。其源I P地址總是使用認證主機的I P地址來替換，所以我們在動態表項中定義的源地址總是應該使用關鍵字a n y。目的I P（destination IP）和目的屏蔽碼（ destination mask）與傳統的擴展訪問表格式相同。對于目的I P地址，最安全的方式是指定單個子網，或者甚至為單個主機。因為我們在每個訪問表中不能指定多個動態訪問表項，所以在p r o t o c o l中一般設置為I P或者T C P。

下面舉例說明：

username cisco password cisco

username cisco autocommand access-enable host timeout 5

username test privilege 15 password test

access-list 100 permit tcp host 1.1.1.1 host 1.1.1.2 eq telnet

access-list 100 dynamic test timeout 5 permit ip any host 20.1.1.1

int s1/1

ip add 1.1.1.2 255.255.255.0

ip acce 100 in

line vty 0 2

login local

line vty 3 4

login local

rotary 1（這一步在測試中表明不是必須的，但在cisco控制列表配置指南有提到）

分析：***行，建立本地密碼數據庫，第二行，使用autocmmand 命令使路由器能夠自動創建一個訪問控制列表條目，第三行，仍然建立一個本地數據庫，其作用稍后再講，下面幾行建立動態訪問列表并在接口下應用，其實動態列表只是擴展列表的一部分。在line vty xx下調用本地密碼數據庫

下面是測試結果：

R2#

R2#sh ip acce（先查看一下激活動態列表前的控制列表）

Extended IP access list 100

10 permit tcp host 1.1.1.1 host 1.1.1.2 eq telnet (231 matches)

20 Dynamic test permit ip any host 20.1.1.1

R2#

我們先telnet 20.1.1.1 可以看到是不成功的，因為我們還沒有激活動態列表

R1#

R1#

R1#telnet 20.1.1.1

Trying 20.1.1.1 ...

% Destination unreachable; gateway or host down

R1#

下面進行激活：

R1#telnet 1.1.1.2

Trying 1.1.1.2 ... Open

User Access Verification

Username: cisco

Password:

[Connection to 1.1.1.2 closed by foreign host]

R1#

這里我們在查看一下激活后的訪問控制列表和激活前的有什么不同:

R2#

R2#sh ip acce

Extended IP access list 100

10 permit tcp host 1.1.1.1 host 1.1.1.2 eq telnet (303 matches)

20 Dynamic test permit ip any host 20.1.1.1

permit ip host 1.1.1.1 host 20.1.1.1

R2#

現在我們再telnet 20.1.1.1 應該是成功的

R1#

R1#telnet 20.1.1.1 3001

Trying 20.1.1.1, 3001 ... Open

User Access Verification

Username: test（這里的用戶名和密碼我們使用的是test，用戶名cisco登錄會被自動踢出，這就是我要建立第二個密碼數據庫的原因了）

Password:

R2#

R2#

到這一步已經表明我們的測試結果是成功的，不知道大家能不能看明白？

【編輯推薦】

1. 常用思科路由器密碼恢復經典案例
2. 思科路由器口令恢復辦法全解
3. 思科路由器安全性管理
4. cisco路由器配置ACL詳解
5. cisco路由器啟動進程