Tabla de Contenido
Crie uma ACL
Em um módulo anterior, você aprendeu sobre o que uma ACL faz e por que ela é importante. Neste tópico, você aprenderá a criar ACLs.
Todas as listas de controle de acesso (ACLs) devem ser planejadas. No entanto, isso é especialmente verdadeiro para ACLs que exigem várias entradas de controle de acesso (ACEs).
Ao configurar uma ACL complexa, sugere-se que você:
- Use um editor de texto e escreva as especificações da política a ser implementada.
- Adicione os comandos de configuração do IOS para realizar essas tarefas.
- Inclua observações para documentar a ACL.
- Copie e cole os comandos no dispositivo.
- Sempre teste completamente uma ACL para garantir que ela aplique corretamente a política desejada.
Essas recomendações permitem que você crie a ACL cuidadosamente, sem afetar o tráfego na rede.
Sintaxe de ACL IPv4 padrão numerada
Para criar uma ACL padrão numerada, use o seguinte comando de configuração global:
Router(config)# access-list access-list-number {deny | permit | remark text} source [source-wildcard] [log]
Use o comando de configuração global no access-list access-list-number para remover uma ACL padrão numerada.
A tabela fornece uma explicação detalhada da sintaxe para uma ACL padrão.
Parâmetro | Descrição |
---|---|
access-list-number | Este é o número decimal da ACL. O intervalo de números da ACL padrão é de 1 a 99 ou de 1300 a 1999. |
deny | Isso nega o acesso se a condição for correspondida. |
permit | Isso permite o acesso se a condição for compatível. |
remark text | (Opcional) Isso adiciona uma entrada de texto para fins de documentação. Cada observação é limitada a 100 caracteres. |
source | Isso identifica a rede de origem ou o endereço do host a ser filtrado. Use a palavra-chave any para especificar todas as redes. Use a palavra-chave do endereço IP do host ou simplesmente insira um endereço IP (sem a palavra-chave do host) para identificar um endereço IP específico. |
source-wildcard | (Opcional) Esta é uma máscara curinga de 32 bits aplicada à origem. Se omitido, uma máscara padrão 0.0.0.0 é assumida. |
log | (Opcional) Esta palavra-chave gera e envia uma mensagem informativa sempre que a ACE é correspondida. A mensagem inclui o número da ACL, a condição correspondida (ou seja, permitida ou negada), o endereço de origem e o número de pacotes. Esta mensagem é gerada para o primeiro pacote correspondido. Essa palavra-chave deve ser implementada apenas para solução de problemas ou razões de segurança. |
Sintaxe de ACL IPv4 padrão nomeada
Nomear uma ACL torna mais fácil entender sua função. Para criar uma ACL padrão nomeada, use o seguinte comando de configuração global:
Router(config)# ip access-list standard access-list-name
Este comando entra no modo de configuração padrão nomeado onde você configura as ACL ACEs.
Os nomes de ACL são alfanuméricos, diferenciam maiúsculas de minúsculas e devem ser exclusivos. Colocar em maiúsculas os nomes de ACL não é obrigatório, mas os destaca ao visualizar a saída do running-config. Também torna menos provável que você crie acidentalmente duas ACLs diferentes com o mesmo nome, mas com usos diferentes de letras maiúsculas.
Nota: Use o comando de configuração global no ip access-list standard access-list-name para remover uma ACL IPv4 padrão nomeada.
No exemplo, uma ACL IPv4 padrão nomeada chamada NO-ACCESS é criada. Observe que o prompt muda para o modo de configuração de ACL padrão nomeado. As instruções ACE são inseridas no modo de subconfiguração ACL padrão nomeado. Use o recurso de ajuda para visualizar todas as opções ACL ACE padrão nomeadas.
As três opções destacadas são configuradas de forma semelhante à ACL padrão numerada. Ao contrário do método ACL numerado, não há necessidade de repetir o comando inicial ip access-list para cada ACE.
R1(config)# ip access-list standard NO-ACCESS R1(config-std-nacl)# ? Standard Access List configuration commands: <1-2147483647> Sequence Number default Set a command to its defaults deny Specify packets to reject exit Exit from access-list configuration mode no Negate a command or set its defaults permit Specify packets to forward remark Access list entry comment R1(config-std-nacl)#
Aplicar uma ACL IPv4 padrão
Depois que uma ACL IPv4 padrão é configurada, ela deve ser vinculada a uma interface ou recurso. O seguinte comando pode ser usado para vincular uma ACL IPv4 padrão numerada ou nomeada a uma interface:
Router(config-if) # ip access-group {access-list-number | access-list-name} {in | out}
Para remover uma ACL de uma interface, primeiro digite o comando de configuração de interface no ip access-group. No entanto, a ACL ainda será configurada no roteador. Para remover a ACL do roteador, use o comando de configuração global no access-list.
Exemplo de ACL IPv4 padrão numerado
A topologia na figura será usada para demonstrar a configuração e a aplicação de ACLs IPv4 padrão numeradas e nomeadas a uma interface. Este primeiro exemplo mostra uma implementação de ACL IPv4 padrão numerada.
Suponha que apenas o PC1 tenha permissão para acessar a Internet. Para habilitar esta política, uma ACL ACE padrão pode ser aplicada de saída em S0 / 1/0, conforme mostrado na figura.
R1(config)# access-list 10 remark ACE permits ONLY host 192.168.10.10 to the internet R1(config)# access-list 10 permit host 192.168.10.10 R1(config)# do show access-lists Standard IP access list 10 10 permit 192.168.10.10 R1(config)#
Observe que a saída do comando show access-lists não exibe as declarações de comentários. As observações da ACL são exibidas no arquivo de configuração em execução. Embora o comando de observação não seja necessário para habilitar a ACL, ele é fortemente sugerido para fins de documentação.
Agora, suponha que uma nova política de rede declare que os hosts na LAN 2 também devem ter permissão para acessar a Internet. Para habilitar esta política, uma segunda ACL ACE padrão pode ser adicionada à ACL 10, conforme mostrado na saída.
R1(config)# access-list 10 remark ACE permits all host in LAN 2 R1(config)# access-list 10 permit 192.168.20.0 0.0.0.255 R1(config)# do show access-lists Standard IP access list 10 10 permit 192.168.10.10 20 permit 192.168.20.0, wildcard bits 0.0.0.255 R1(config)#
Aplique a saída ACL 10 na interface Serial 0/1/0.
R1(config)# interface Serial 0/1/0 R1(config-if)# ip access-group 10 out R1(config-if)# end R1#
A política resultante do ACL 10 só permitirá que o host 192.168.10.10 e todos os hosts da LAN 2 saiam da interface Serial 0/1/0. Todos os outros hosts na rede 192.168.10.0 não terão permissão para acessar a Internet.
Use o comando show running-config para revisar a ACL na configuração, conforme mostrado na saída.
R1# show run | section access-list access-list 10 remark ACE permits host 192.168.10.10 access-list 10 permit 192.168.10.10 access-list 10 remark ACE permits all host in LAN 2 access-list 10 permit 192.168.20.0 0.0.0.255 R1#
Observe como as declarações de comentários também são exibidas.
Finalmente, use o comando show ip interface para verificar se uma interface tem uma ACL aplicada a ela. No exemplo de saída, a saída está especificamente olhando para a interface Serial 0/1/0 para linhas que incluem o texto da “lista de acesso”.
R1# show ip int Serial 0/1/0 | include access list Outgoing Common access list is not set Outgoing access list is 10 Inbound Common access list is not set Inbound access list is not set R1#
Exemplo de ACL IPv4 padrão nomeado
Este segundo exemplo mostra uma implementação de ACL IPv4 padrão nomeada. A topologia é repetida na figura para sua conveniência.
Suponha que apenas o PC1 tenha permissão para acessar a Internet. Para habilitar esta política, uma ACL padrão nomeada chamada PERMIT-ACCESS pode ser aplicada de saída em S0 / 1/0.
Remova o ACL 10 nomeado configurado anteriormente e crie um ACL padrão nomeado chamado PERMIT-ACCESS, conforme mostrado aqui.
R1(config)# no access-list 10 R1(config)# ip access-list standard PERMIT-ACCESS R1(config-std-nacl)# remark ACE permits host 192.168.10.10 R1(config-std-nacl)# permit host 192.168.10.10 R1(config-std-nacl)
Agora adicione um ACE permitindo apenas o host 192.168.10.10 e outro ACE permitindo todos os hosts LAN 2 para a Internet.
R1(config-std-nacl)# remark ACE permits host 192.168.10.10 R1(config-std-nacl)# permit host 192.168.10.10 R1(config-std-nacl)# remark ACE permits all hosts in LAN 2 R1(config-std-nacl)# permit 192.168.20.0 0.0.0.255 R1(config-std-nacl)# exit R1(config)#
Aplique a nova saída ACL nomeada à interface Serial 0/1/0.
R1(config)# interface Serial 0/1/0 R1(config-if)# ip access-group PERMIT-ACCESS out R1(config-if)# end R1#
Use o comando show access-lists e show running-config para revisar a ACL na configuração, conforme mostrado na saída.
R1# show access-lists Standard IP access list PERMIT-ACCESS 10 permit 192.168.10.10 20 permit 192.168.20.0, wildcard bits 0.0.0.255 R1# show run | section ip access-list ip access-list standard PERMIT-ACCESS remark ACE permits host 192.168.10.10 permit 192.168.10.10 remark ACE permits all hosts in LAN 2 permit 192.168.20.0 0.0.0.255 R1#
Finalmente, use o comando show ip interface para verificar se uma interface tem uma ACL aplicada a ela. No exemplo de saída, a saída está especificamente olhando para a interface Serial 0/1/0 para linhas que incluem o texto da “lista de acesso”.
R1# show ip int Serial 0/1/0 | include access list Outgoing Common access list is not set Outgoing access list is PERMIT-ACCESS Inbound Common access list is not set Inbound access list is not set R1#
Verificação de sintaxe – Configurar ACLs IPv4 padrão
Configure ACLs numeradas e nomeadas em R1.
Você criará uma ACL numerada que nega o host 192.168.10.10, mas permite todos os outros hosts na LAN 1. Comece configurando a ACL 20 ACE que nega o host 192.168.10.10 usando a palavra-chave host.
R1(config)#access-list 20 deny host 192.168.10.10
Crie uma segunda ACL ACL 20 numerada que permita todos os outros hosts na LAN 1 na rede 192.168.10.0/24.
R1(config)#access-list 20 permit 192.168.10.0 0.0.0.255
Como as políticas ACL 20 se aplicam apenas ao tráfego da LAN 1, a ACL seria mais bem aplicada na entrada da interface G0/0/0 R1. Entre no modo de interface g0/0/0, aplique a entrada ACL 20 e retorne ao modo de configuração global. Certifique-se de usar g0/0/0 como a designação da interface.
R1(config)#interface g0/0/0 R1(config-if)#ip access-group 20 in R1(config-if)#exit
Agora você criará uma ACL padrão nomeada que permite o host 192.168.10.10, mas nega o acesso de todos os outros hosts à LAN 2. Comece configurando uma ACL padrão nomeada chamada LAN2-FILTER.
R1(config)#ip access-list standard LAN2-FILTER
Crie uma ACE que permita o host 192.168.10.10 usando a palavra-chave host.
R1(config-std-nacl)#permit host 192.168.10.10
Negar todos os outros hosts usando palavra-chave any e retornar ao modo de configuração global.
R1(config-std-nacl)#deny any R1(config-std-nacl)#exit
O LAN2-FILTER seria melhor aplicado de saída para LAN 2. Entre no modo de interface g0/0/1, aplique ACL LAN2-FILTER de saída e retorne ao modo de configuração global. Certifique-se de usar g0/0/1 como designação de interface.
R1(config)#interface g0/0/1 R1(config-if)#ip access-group LAN2-FILTER out R1(config-if)#exit
Você configurou com êxito as ACLs padrão numeradas e nomeadas IPv4 em R1.
Packet Tracer – Configurar ACLs IPv4 padrão numerados
Listas de controle de acesso padrão (ACLs) são scripts de configuração do roteador que controlam se um roteador permite ou nega pacotes com base no endereço de origem. Esta atividade se concentra na definição de critérios de filtragem, configuração de ACLs padrão, aplicação de ACLs a interfaces de roteador e verificação e teste da implementação de ACL. Os roteadores já estão configurados, incluindo endereços IPv4 e roteamento EIGRP.
[button url=”https://www.ccna.network/wp-content/uploads/2021/03/5.1.8-pt.zip” target=”self” style=”default” background=”#2fa614″ color=”#FFFFFF” size=”3″ wide=”no” center=”yes” radius=”auto” icon=”” icon_color=”#FFFFFF” text_shadow=”none” desc=”” download=”” onclick=”” rel=”” title=”” id=”” class=””]BAIXE AQUI[/button]Packet Tracer – Configurar ACLs IPv4 padrão nomeados
O administrador de rede sênior solicitou que você crie uma ACL padrão nomeada para impedir o acesso a um servidor de arquivos. Todos os clientes de uma rede e uma estação de trabalho específica de uma rede diferente devem ter o acesso negado.
[button url=”https://www.ccna.network/wp-content/uploads/2021/03/5.1.9-pt-1.zip” target=”self” style=”default” background=”#2fa614″ color=”#FFFFFF” size=”3″ wide=”no” center=”yes” radius=”auto” icon=”” icon_color=”#FFFFFF” text_shadow=”none” desc=”” download=”” onclick=”” rel=”” title=”” id=”” class=””]BAIXE AQUI[/button]Pronto para ir! Continue visitando nosso blog do curso de networking, confira todo o conteúdo do CCNA 3 aqui; e você encontrará mais ferramentas e conceitos que o tornarão um profissional de rede.