Modificar ACLs IModificar ACLs IPv4Pv4
Modificar ACLs IPv4

Modificar ACLs IPv4

[note note_color=”#21ab5136″ text_color=”#2c2c2d” radius=”3″ class=”” id=””]Bem-vindo: este tópico faz parte do Capítulo 14 do curso Cisco CCNA 3, para um melhor acompanhamento do curso você pode ir para a seção CCNA 2 para orientá-lo durante um pedido.[/note]

Dois métodos para modificar uma ACL

Depois que uma ACL é configurada, pode ser necessário modificá-la. ACLs com vários ACEs podem ser complexos de configurar. Às vezes, a ACE configurada não produz os comportamentos esperados. Por esses motivos, as ACLs podem inicialmente exigir um pouco de tentativa e erro para obter o resultado de filtragem desejado.

Esta seção discutirá dois métodos a serem usados ao modificar uma ACL:

  • Use um Editor de Texto
  • Use números de sequência

Método do Editor de Texto

ACLs com várias ACEs devem ser criadas em um editor de texto. Isso permite que você planeje as ACEs necessárias, crie a ACL e cole-a na interface do roteador. Também simplifica as tarefas de edição e correção de uma ACL.

Por exemplo, suponha que ACL 1 foi inserido incorretamente usando 19 em vez de 192 para o primeiro octeto, conforme mostrado na configuração de execução.

R1# show run | section access-list
access-list 1 deny   19.168.10.10
access-list 1 permit 192.168.10.0 0.0.0.255
R1#

No exemplo, a primeira ACE deveria ser negar o host em 192.168.10.10. No entanto, o ACE foi inserido incorretamente.

Para corrigir o erro:

  • Copie a ACL da configuração em execução e cole-a no editor de texto.
  • Faça as alterações de edição necessárias.
  • Remova a ACL configurada anteriormente no roteador, caso contrário, colar os comandos ACL editados apenas acrescentará (ou seja, adicionará) às ACL ACEs existentes no roteador.
  • Copie e cole a ACL editada de volta no roteador.

Suponha que o ACL 1 agora foi corrigido. Portanto, a ACL incorreta deve ser excluída e as instruções ACL 1 corrigidas devem ser coladas no modo de configuração global, conforme mostrado na saída.

R1(config)# no access-list 1
R1(config)#
R1(config)# access-list 1 deny 192.168.10.10
R1(config)# access-list 1 permit 192.168.10.0 0.0.0.255
R1(config)#

Método de Sequência de Números

Uma ACL ACE também pode ser excluída ou adicionada usando os números de sequência ACL. Os números de sequência são atribuídos automaticamente quando um ACE é inserido. Esses números são listados no comando show access-lists. O comando show running-config não exibe números de sequência.

No exemplo anterior, a ACE incorreta para ACL 1 está usando o número de sequência 10, conforme mostrado no exemplo.

R1# show access-lists
Standard IP access list 1
    10 deny   19.168.10.10
    20 permit 192.168.10.0, wildcard bits 0.0.0.255
R1#

Use o comando ip access-list standard para editar uma ACL. As instruções não podem ser substituídas usando o mesmo número de sequência de uma instrução existente. Portanto, a instrução atual deve ser excluída primeiro com o comando nº 10. Em seguida, a ACE correta pode ser adicionada usando o número de sequência 10 configurado. Verifique as alterações usando o comando show access-lists, conforme mostrado no exemplo.

R1# conf t
R1(config)# ip access-list standard 1
R1(config-std-nacl)# no 10
R1(config-std-nacl)# 10 deny host 192.168.10.10
R1(config-std-nacl)# end
R1# show access-lists
Standard IP access list 1
    10 deny   192.168.10.10
    20 permit 192.168.10.0, wildcard bits 0.0.0.255
R1#

Modificar um exemplo de ACL nomeada

ACLs nomeados também podem usar números de sequência para excluir e adicionar ACEs. Consulte o exemplo para ACL NO-ACCESS.

R1# show access-lists
Standard IP access list NO-ACCESS
    10 deny   192.168.10.10
    20 permit 192.168.10.0, wildcard bits 0.0.0.255

Suponha que o host 192.168.10.5 da rede 192.168.10.0/24 também tenha sido negado. Se você inserir uma nova ACE, ela será anexada ao final da ACL. Portanto, o host nunca seria negado porque o ACE 20 permite todos os hosts dessa rede.

A solução é adicionar um host de negação ACE 192.168.10.5 entre o ACE 10 e o ACE 20, como o ACE 15, conforme mostrado no exemplo. Observe também que a nova ACE foi inserida sem usar a palavra-chave do host. A palavra-chave é opcional ao especificar um host de destino.

Use o comando show access-lists para verificar se o ACL agora tem um novo ACE 15 inserido apropriadamente antes da declaração de permissão.

Observe que o número de sequência 15 é exibido antes do número de sequência 10. Podemos esperar que a ordem das instruções na saída reflita a ordem em que foram inseridas. No entanto, o IOS coloca as instruções do host em uma ordem usando uma função especial de hashing. A ordem resultante otimiza a ACL para pesquisar primeiro pelas entradas do host e depois pelas entradas da rede.

Nota: Afunção hashing é aplicada apenas a instruções de host em uma lista de acesso padrão IPv4. Os detalhes da função de hashing estão além do escopo deste curso.

R1# configure terminal
R1(config)#ip access-list standard NO-ACCESS
R1(config-std-nacl)# 15 deny 192.168.10.5
R1(config-std-nacl)# end
R1#
R1# show access-lists
Standard IP access list NO-ACCESS
    15 deny   192.168.10.5
    10 deny   192.168.10.10
    20 permit 192.168.10.0, wildcard bits 0.0.0.255
R1#

Estatísticas ACL

Observe que o comando show access-lists no exemplo mostra estatísticas para cada instrução que foi correspondida. O ACE de negação no ACL SEM ACESSO foi combinado 20 vezes e o ACE de permissão foi correspondido 64 vezes.

Observe que a negação implícita de qualquer última instrução não exibe nenhuma estatística. Para rastrear quantos pacotes negados implícitos foram combinados, você deve configurar manualmente o comando deny any no final da ACL.

Use o comando clear access-list counters para limpar as estatísticas de ACL. Este comando pode ser usado sozinho ou com o número ou nome de uma ACL específica.

R1# show access-lists
Standard IP access list NO-ACCESS
    10 deny   192.168.10.10  (20 matches) 
    20 permit 192.168.10.0, wildcard bits 0.0.0.255  (64 matches)
R1# clear access-list counters NO-ACCESS
R1# show access-lists
Standard IP access list NO-ACCESS
    10 deny   192.168.10.10
    20 permit 192.168.10.0, wildcard bits 0.0.0.255
R1#

Verificador de sintaxe – modificar ACLs IPv4

Modifique uma ACL usando números de sequência.

Exemplo de modificação de ACLs IPv4

Use o comando show access-lists para verificar as ACLs configuradas.

R1#show access-lists
Standard IP access list 1
    10 deny   19.168.10.10
    20 permit 192.168.10.0, wildcard bits 0.0.0.255

Você percebe que o ACE 10 está incorreto e precisa ser editado. Entre no modo de configuração global e use o comando ip access-list standard para ACL 1.

R1#configure terminal
R1(config)#ip access-list standard 1

Uma ACE incorreta deve ser excluída e inserida novamente. Remova o ACE com o número de sequência 10.

R1(config-std-nacl)#no 10

Em seguida, insira novamente a ACE correta usando o número de sequência 10 para negar ao host com o endereço IP 192.168.10.10 acesso fora da LAN 1 e retorne ao modo EXEC privilegiado usando o comando end.

R1(config-std-nacl)#10 deny host 192.168.10.10
R1(config-std-nacl)#end

Verifique a nova entrada usando o comando show access-lists.

R1#show access-lists
Standard IP access list 1
    10 deny   192.168.10.10
    20 permit 192.168.10.0, wildcard bits 0.0.0.255

Você modificou com êxito uma ACL numerada IPv4 em R1.

Packet Tracer – Configurar e modificar ACLs IPv4 padrão

Nesta atividade do Packet Tracer, você completará os seguintes objetivos:

  • Parte 1: Configurar Dispositivos e Verificar Conectividade
  • Parte 2: Configurar e verificar ACLs nomeados e numerados padrão
  • Parte 3: Modificar uma ACL padrão
[button url=”https://www.ccna.network/wp-content/uploads/2021/03/5.2.7-pt.zip” target=”self” style=”default” background=”#2fa614″ color=”#FFFFFF” size=”3″ wide=”no” center=”yes” radius=”auto” icon=”” icon_color=”#FFFFFF” text_shadow=”none” desc=”” download=”” onclick=”” rel=”” title=”” id=”” class=””]BAIXE AQUI[/button]

Pronto para ir! Continue visitando nosso blog do curso de networking, confira todo o conteúdo do CCNA 3 aqui; e você encontrará mais ferramentas e conceitos que o tornarão um profissional de rede.

O seu endereço de email não será publicado. Campos obrigatórios marcados com *