四、动态ACL

      动态ACL是一种利用路由器telnet的验证机制，动态建立临时的ACL以让用户可以暂时访问内网的一种技术

     命令：access-list {100-199} dynamic username [timeout minutes] permit any dest-ip dest-wildcard

     说明：username 必须是路由器上的某一个用户；timeout为绝对超时时间；最好定义dest-ip为外网要访问的服务器的IP.

    例：1：username lyl password lyl               建立用户，用于用户验证

            2：access-list 101 permit tcp any host 10.10.1.1  eq 23      允许外网用户访问路由器外端口的telnet服务，用于验证

                  access-list 101 permit tcp any host 10.10.1.1  eq 3001   允许外网用户访问路由器外端口的3001端口，用于telnet管理

                  access-list 101 dynamic lyl timeout 8 permit ip any host 192.168.2.3 引用路由器上的lyl用户以建立动态的ACL

           3、line vty 0 3                

                 login local                   定义本地验证

                 autocommand access-enable host timeout 3          用于动态ACL验证用户，此处host绝不可少，如果没有则生成的动态ACL源地址将为 any,则动态ACL毫无意义

                 line vty 4

                 login local

                 rotary  1                         用开telnet管理，端口为3001

            4、int s1/0

                 ip add 10.10.1.1 255.255.255.252

                 no shut

                  ip access-group 101 in