Configurar ACLs IPv4 Padrão
Configurar ACLs IPv4 Padrão

Configurar ACLs IPv4 Padrão

[note note_color=”#21ab5136″ text_color=”#2c2c2d” radius=”3″ class=”” id=””]Bem-vindo: este tópico faz parte do Capítulo 14 do curso Cisco CCNA 3, para um melhor acompanhamento do curso você pode ir para a seção CCNA 2 para orientá-lo durante um pedido.[/note]

Crie uma ACL

Em um módulo anterior, você aprendeu sobre o que uma ACL faz e por que ela é importante. Neste tópico, você aprenderá a criar ACLs.

Todas as listas de controle de acesso (ACLs) devem ser planejadas. No entanto, isso é especialmente verdadeiro para ACLs que exigem várias entradas de controle de acesso (ACEs).

Ao configurar uma ACL complexa, sugere-se que você:

  • Use um editor de texto e escreva as especificações da política a ser implementada.
  • Adicione os comandos de configuração do IOS para realizar essas tarefas.
  • Inclua observações para documentar a ACL.
  • Copie e cole os comandos no dispositivo.
  • Sempre teste completamente uma ACL para garantir que ela aplique corretamente a política desejada.

Essas recomendações permitem que você crie a ACL cuidadosamente, sem afetar o tráfego na rede.

Sintaxe de ACL IPv4 padrão numerada

Para criar uma ACL padrão numerada, use o seguinte comando de configuração global:

Router(config)# access-list access-list-number {deny | permit | remark text} source [source-wildcard] [log]

Use o comando de configuração global no access-list access-list-number para remover uma ACL padrão numerada.

A tabela fornece uma explicação detalhada da sintaxe para uma ACL padrão.

ParâmetroDescrição
access-list-numberEste é o número decimal da ACL.
O intervalo de números da ACL padrão é de 1 a 99 ou de 1300 a 1999.
denyIsso nega o acesso se a condição for correspondida.
permitIsso permite o acesso se a condição for compatível.
remark text(Opcional) Isso adiciona uma entrada de texto para fins de documentação.
Cada observação é limitada a 100 caracteres.
sourceIsso identifica a rede de origem ou o endereço do host a ser filtrado.
Use a palavra-chave any para especificar todas as redes.
Use a palavra-chave do endereço IP do host ou simplesmente insira um endereço IP (sem a palavra-chave do host) para identificar um endereço IP específico.
source-wildcard(Opcional) Esta é uma máscara curinga de 32 bits aplicada à origem. Se omitido, uma máscara padrão 0.0.0.0 é assumida.
log(Opcional) Esta palavra-chave gera e envia uma mensagem informativa sempre que a ACE é correspondida.
A mensagem inclui o número da ACL, a condição correspondida (ou seja, permitida ou negada), o endereço de origem e o número de pacotes.
Esta mensagem é gerada para o primeiro pacote correspondido.
Essa palavra-chave deve ser implementada apenas para solução de problemas ou razões de segurança.

Sintaxe de ACL IPv4 padrão nomeada

Nomear uma ACL torna mais fácil entender sua função. Para criar uma ACL padrão nomeada, use o seguinte comando de configuração global:

Router(config)# ip access-list standard access-list-name

Este comando entra no modo de configuração padrão nomeado onde você configura as ACL ACEs.

Os nomes de ACL são alfanuméricos, diferenciam maiúsculas de minúsculas e devem ser exclusivos. Colocar em maiúsculas os nomes de ACL não é obrigatório, mas os destaca ao visualizar a saída do running-config. Também torna menos provável que você crie acidentalmente duas ACLs diferentes com o mesmo nome, mas com usos diferentes de letras maiúsculas.

Nota: Use o comando de configuração global no ip access-list standard access-list-name para remover uma ACL IPv4 padrão nomeada.

No exemplo, uma ACL IPv4 padrão nomeada chamada NO-ACCESS é criada. Observe que o prompt muda para o modo de configuração de ACL padrão nomeado. As instruções ACE são inseridas no modo de subconfiguração ACL padrão nomeado. Use o recurso de ajuda para visualizar todas as opções ACL ACE padrão nomeadas.

As três opções destacadas são configuradas de forma semelhante à ACL padrão numerada. Ao contrário do método ACL numerado, não há necessidade de repetir o comando inicial ip access-list para cada ACE.

R1(config)# ip access-list standard NO-ACCESS
R1(config-std-nacl)# ?
Standard Access List configuration commands:
  <1-2147483647>  Sequence Number
  default         Set a command to its defaults
  deny            Specify packets to reject
  exit            Exit from access-list configuration mode
  no              Negate a command or set its defaults
  permit          Specify packets to forward
  remark          Access list entry comment
R1(config-std-nacl)#

Aplicar uma ACL IPv4 padrão

Depois que uma ACL IPv4 padrão é configurada, ela deve ser vinculada a uma interface ou recurso. O seguinte comando pode ser usado para vincular uma ACL IPv4 padrão numerada ou nomeada a uma interface:

Router(config-if) # ip access-group {access-list-number | access-list-name} {in | out}

Para remover uma ACL de uma interface, primeiro digite o comando de configuração de interface no ip access-group. No entanto, a ACL ainda será configurada no roteador. Para remover a ACL do roteador, use o comando de configuração global no access-list.

Exemplo de ACL IPv4 padrão numerado

A topologia na figura será usada para demonstrar a configuração e a aplicação de ACLs IPv4 padrão numeradas e nomeadas a uma interface. Este primeiro exemplo mostra uma implementação de ACL IPv4 padrão numerada.

ACL IPv4 padrão numerado

Suponha que apenas o PC1 tenha permissão para acessar a Internet. Para habilitar esta política, uma ACL ACE padrão pode ser aplicada de saída em S0 / 1/0, conforme mostrado na figura.

R1(config)# access-list 10 remark ACE permits ONLY host 192.168.10.10 to the internet
R1(config)# access-list 10 permit host 192.168.10.10
R1(config)# do show access-lists
Standard IP access list 10
   10 permit 192.168.10.10
R1(config)#

Observe que a saída do comando show access-lists não exibe as declarações de comentários. As observações da ACL são exibidas no arquivo de configuração em execução. Embora o comando de observação não seja necessário para habilitar a ACL, ele é fortemente sugerido para fins de documentação.

Agora, suponha que uma nova política de rede declare que os hosts na LAN 2 também devem ter permissão para acessar a Internet. Para habilitar esta política, uma segunda ACL ACE padrão pode ser adicionada à ACL 10, conforme mostrado na saída.

R1(config)# access-list 10 remark ACE permits all host in LAN 2
R1(config)# access-list 10 permit 192.168.20.0 0.0.0.255
R1(config)# do show access-lists
Standard IP access list 10
    10 permit 192.168.10.10
    20 permit 192.168.20.0, wildcard bits 0.0.0.255
R1(config)#

Aplique a saída ACL 10 na interface Serial 0/1/0.

R1(config)# interface Serial 0/1/0
R1(config-if)# ip access-group 10 out
R1(config-if)# end
R1#

A política resultante do ACL 10 só permitirá que o host 192.168.10.10 e todos os hosts da LAN 2 saiam da interface Serial 0/1/0. Todos os outros hosts na rede 192.168.10.0 não terão permissão para acessar a Internet.

Use o comando show running-config para revisar a ACL na configuração, conforme mostrado na saída.

R1# show run | section access-list
access-list 10 remark ACE permits host 192.168.10.10
access-list 10 permit 192.168.10.10
access-list 10 remark ACE permits all host in LAN 2
access-list 10 permit 192.168.20.0 0.0.0.255
R1#

Observe como as declarações de comentários também são exibidas.

Finalmente, use o comando show ip interface para verificar se uma interface tem uma ACL aplicada a ela. No exemplo de saída, a saída está especificamente olhando para a interface Serial 0/1/0 para linhas que incluem o texto da “lista de acesso”.

R1# show ip int Serial 0/1/0 | include access list
  Outgoing Common access list is not set
  Outgoing access list is 10
  Inbound Common access list is not set
  Inbound  access list is not set
R1#

Exemplo de ACL IPv4 padrão nomeado

Este segundo exemplo mostra uma implementação de ACL IPv4 padrão nomeada. A topologia é repetida na figura para sua conveniência.

IPv4 ACL

Suponha que apenas o PC1 tenha permissão para acessar a Internet. Para habilitar esta política, uma ACL padrão nomeada chamada PERMIT-ACCESS pode ser aplicada de saída em S0 / 1/0.

Remova o ACL 10 nomeado configurado anteriormente e crie um ACL padrão nomeado chamado PERMIT-ACCESS, conforme mostrado aqui.

R1(config)# no access-list 10
R1(config)# ip access-list standard PERMIT-ACCESS
R1(config-std-nacl)# remark ACE permits host 192.168.10.10
R1(config-std-nacl)# permit host 192.168.10.10
R1(config-std-nacl)

Agora adicione um ACE permitindo apenas o host 192.168.10.10 e outro ACE permitindo todos os hosts LAN 2 para a Internet.

R1(config-std-nacl)# remark ACE permits host 192.168.10.10
R1(config-std-nacl)# permit host 192.168.10.10
R1(config-std-nacl)# remark ACE permits all hosts in LAN 2
R1(config-std-nacl)# permit 192.168.20.0 0.0.0.255
R1(config-std-nacl)# exit
R1(config)#

Aplique a nova saída ACL nomeada à interface Serial 0/1/0.

R1(config)# interface Serial 0/1/0
R1(config-if)# ip access-group PERMIT-ACCESS out
R1(config-if)# end
R1#

Use o comando show access-lists e show running-config para revisar a ACL na configuração, conforme mostrado na saída.

R1# show access-lists
Standard IP access list PERMIT-ACCESS
    10 permit 192.168.10.10
    20 permit 192.168.20.0, wildcard bits 0.0.0.255
R1# show run | section ip access-list
ip access-list standard PERMIT-ACCESS
 remark ACE permits host 192.168.10.10
 permit 192.168.10.10
 remark ACE permits all hosts in LAN 2
 permit 192.168.20.0 0.0.0.255
R1#

Finalmente, use o comando show ip interface para verificar se uma interface tem uma ACL aplicada a ela. No exemplo de saída, a saída está especificamente olhando para a interface Serial 0/1/0 para linhas que incluem o texto da “lista de acesso”.

R1# show ip int Serial 0/1/0 | include access list
  Outgoing Common access list is not set
  Outgoing access list is PERMIT-ACCESS
  Inbound Common access list is not set
  Inbound  access list is not set
R1#

Verificação de sintaxe – Configurar ACLs IPv4 padrão

Configure ACLs numeradas e nomeadas em R1.

Topologia IPv4 ACLs padrão

Você criará uma ACL numerada que nega o host 192.168.10.10, mas permite todos os outros hosts na LAN 1. Comece configurando a ACL 20 ACE que nega o host 192.168.10.10 usando a palavra-chave host.

R1(config)#access-list 20 deny host 192.168.10.10

Crie uma segunda ACL ACL 20 numerada que permita todos os outros hosts na LAN 1 na rede 192.168.10.0/24.

R1(config)#access-list 20 permit 192.168.10.0 0.0.0.255

Como as políticas ACL 20 se aplicam apenas ao tráfego da LAN 1, a ACL seria mais bem aplicada na entrada da interface G0/0/0 R1. Entre no modo de interface g0/0/0, aplique a entrada ACL 20 e retorne ao modo de configuração global. Certifique-se de usar g0/0/0 como a designação da interface.

R1(config)#interface g0/0/0
R1(config-if)#ip access-group 20 in
R1(config-if)#exit

Agora você criará uma ACL padrão nomeada que permite o host 192.168.10.10, mas nega o acesso de todos os outros hosts à LAN 2. Comece configurando uma ACL padrão nomeada chamada LAN2-FILTER.

R1(config)#ip access-list standard LAN2-FILTER

Crie uma ACE que permita o host 192.168.10.10 usando a palavra-chave host.

R1(config-std-nacl)#permit host 192.168.10.10

Negar todos os outros hosts usando palavra-chave any e retornar ao modo de configuração global.

R1(config-std-nacl)#deny any
R1(config-std-nacl)#exit

O LAN2-FILTER seria melhor aplicado de saída para LAN 2. Entre no modo de interface g0/0/1, aplique ACL LAN2-FILTER de saída e retorne ao modo de configuração global. Certifique-se de usar g0/0/1 como designação de interface.

R1(config)#interface g0/0/1
R1(config-if)#ip access-group LAN2-FILTER out
R1(config-if)#exit

Você configurou com êxito as ACLs padrão numeradas e nomeadas IPv4 em R1.

Packet Tracer – Configurar ACLs IPv4 padrão numerados

Listas de controle de acesso padrão (ACLs) são scripts de configuração do roteador que controlam se um roteador permite ou nega pacotes com base no endereço de origem. Esta atividade se concentra na definição de critérios de filtragem, configuração de ACLs padrão, aplicação de ACLs a interfaces de roteador e verificação e teste da implementação de ACL. Os roteadores já estão configurados, incluindo endereços IPv4 e roteamento EIGRP.

[button url=”https://www.ccna.network/wp-content/uploads/2021/03/5.1.8-pt.zip” target=”self” style=”default” background=”#2fa614″ color=”#FFFFFF” size=”3″ wide=”no” center=”yes” radius=”auto” icon=”” icon_color=”#FFFFFF” text_shadow=”none” desc=”” download=”” onclick=”” rel=”” title=”” id=”” class=””]BAIXE AQUI[/button]

Packet Tracer – Configurar ACLs IPv4 padrão nomeados

O administrador de rede sênior solicitou que você crie uma ACL padrão nomeada para impedir o acesso a um servidor de arquivos. Todos os clientes de uma rede e uma estação de trabalho específica de uma rede diferente devem ter o acesso negado.

[button url=”https://www.ccna.network/wp-content/uploads/2021/03/5.1.9-pt-1.zip” target=”self” style=”default” background=”#2fa614″ color=”#FFFFFF” size=”3″ wide=”no” center=”yes” radius=”auto” icon=”” icon_color=”#FFFFFF” text_shadow=”none” desc=”” download=”” onclick=”” rel=”” title=”” id=”” class=””]BAIXE AQUI[/button]

Pronto para ir! Continue visitando nosso blog do curso de networking, confira todo o conteúdo do CCNA 3 aqui; e você encontrará mais ferramentas e conceitos que o tornarão um profissional de rede.

O seu endereço de email não será publicado. Campos obrigatórios marcados com *