Tabla de Contenido
Dois métodos para modificar uma ACL
Depois que uma ACL é configurada, pode ser necessário modificá-la. ACLs com vários ACEs podem ser complexos de configurar. Às vezes, a ACE configurada não produz os comportamentos esperados. Por esses motivos, as ACLs podem inicialmente exigir um pouco de tentativa e erro para obter o resultado de filtragem desejado.
Esta seção discutirá dois métodos a serem usados ao modificar uma ACL:
- Use um Editor de Texto
- Use números de sequência
Método do Editor de Texto
ACLs com várias ACEs devem ser criadas em um editor de texto. Isso permite que você planeje as ACEs necessárias, crie a ACL e cole-a na interface do roteador. Também simplifica as tarefas de edição e correção de uma ACL.
Por exemplo, suponha que ACL 1 foi inserido incorretamente usando 19 em vez de 192 para o primeiro octeto, conforme mostrado na configuração de execução.
R1# show run | section access-list access-list 1 deny 19.168.10.10 access-list 1 permit 192.168.10.0 0.0.0.255 R1#
No exemplo, a primeira ACE deveria ser negar o host em 192.168.10.10. No entanto, o ACE foi inserido incorretamente.
Para corrigir o erro:
- Copie a ACL da configuração em execução e cole-a no editor de texto.
- Faça as alterações de edição necessárias.
- Remova a ACL configurada anteriormente no roteador, caso contrário, colar os comandos ACL editados apenas acrescentará (ou seja, adicionará) às ACL ACEs existentes no roteador.
- Copie e cole a ACL editada de volta no roteador.
Suponha que o ACL 1 agora foi corrigido. Portanto, a ACL incorreta deve ser excluída e as instruções ACL 1 corrigidas devem ser coladas no modo de configuração global, conforme mostrado na saída.
R1(config)# no access-list 1 R1(config)# R1(config)# access-list 1 deny 192.168.10.10 R1(config)# access-list 1 permit 192.168.10.0 0.0.0.255 R1(config)#
Método de Sequência de Números
Uma ACL ACE também pode ser excluída ou adicionada usando os números de sequência ACL. Os números de sequência são atribuídos automaticamente quando um ACE é inserido. Esses números são listados no comando show access-lists. O comando show running-config não exibe números de sequência.
No exemplo anterior, a ACE incorreta para ACL 1 está usando o número de sequência 10, conforme mostrado no exemplo.
R1# show access-lists Standard IP access list 1 10 deny 19.168.10.10 20 permit 192.168.10.0, wildcard bits 0.0.0.255 R1#
Use o comando ip access-list standard para editar uma ACL. As instruções não podem ser substituídas usando o mesmo número de sequência de uma instrução existente. Portanto, a instrução atual deve ser excluída primeiro com o comando nº 10. Em seguida, a ACE correta pode ser adicionada usando o número de sequência 10 configurado. Verifique as alterações usando o comando show access-lists, conforme mostrado no exemplo.
R1# conf t R1(config)# ip access-list standard 1 R1(config-std-nacl)# no 10 R1(config-std-nacl)# 10 deny host 192.168.10.10 R1(config-std-nacl)# end R1# show access-lists Standard IP access list 1 10 deny 192.168.10.10 20 permit 192.168.10.0, wildcard bits 0.0.0.255 R1#
Modificar um exemplo de ACL nomeada
ACLs nomeados também podem usar números de sequência para excluir e adicionar ACEs. Consulte o exemplo para ACL NO-ACCESS.
R1# show access-lists Standard IP access list NO-ACCESS 10 deny 192.168.10.10 20 permit 192.168.10.0, wildcard bits 0.0.0.255
Suponha que o host 192.168.10.5 da rede 192.168.10.0/24 também tenha sido negado. Se você inserir uma nova ACE, ela será anexada ao final da ACL. Portanto, o host nunca seria negado porque o ACE 20 permite todos os hosts dessa rede.
A solução é adicionar um host de negação ACE 192.168.10.5 entre o ACE 10 e o ACE 20, como o ACE 15, conforme mostrado no exemplo. Observe também que a nova ACE foi inserida sem usar a palavra-chave do host. A palavra-chave é opcional ao especificar um host de destino.
Use o comando show access-lists para verificar se o ACL agora tem um novo ACE 15 inserido apropriadamente antes da declaração de permissão.
Observe que o número de sequência 15 é exibido antes do número de sequência 10. Podemos esperar que a ordem das instruções na saída reflita a ordem em que foram inseridas. No entanto, o IOS coloca as instruções do host em uma ordem usando uma função especial de hashing. A ordem resultante otimiza a ACL para pesquisar primeiro pelas entradas do host e depois pelas entradas da rede.
Nota: Afunção hashing é aplicada apenas a instruções de host em uma lista de acesso padrão IPv4. Os detalhes da função de hashing estão além do escopo deste curso.
R1# configure terminal R1(config)#ip access-list standard NO-ACCESS R1(config-std-nacl)# 15 deny 192.168.10.5 R1(config-std-nacl)# end R1# R1# show access-lists Standard IP access list NO-ACCESS 15 deny 192.168.10.5 10 deny 192.168.10.10 20 permit 192.168.10.0, wildcard bits 0.0.0.255 R1#
Estatísticas ACL
Observe que o comando show access-lists no exemplo mostra estatísticas para cada instrução que foi correspondida. O ACE de negação no ACL SEM ACESSO foi combinado 20 vezes e o ACE de permissão foi correspondido 64 vezes.
Observe que a negação implícita de qualquer última instrução não exibe nenhuma estatística. Para rastrear quantos pacotes negados implícitos foram combinados, você deve configurar manualmente o comando deny any no final da ACL.
Use o comando clear access-list counters para limpar as estatísticas de ACL. Este comando pode ser usado sozinho ou com o número ou nome de uma ACL específica.
R1# show access-lists Standard IP access list NO-ACCESS 10 deny 192.168.10.10 (20 matches) 20 permit 192.168.10.0, wildcard bits 0.0.0.255 (64 matches) R1# clear access-list counters NO-ACCESS R1# show access-lists Standard IP access list NO-ACCESS 10 deny 192.168.10.10 20 permit 192.168.10.0, wildcard bits 0.0.0.255 R1#
Verificador de sintaxe – modificar ACLs IPv4
Modifique uma ACL usando números de sequência.
Use o comando show access-lists para verificar as ACLs configuradas.
R1#show access-lists Standard IP access list 1 10 deny 19.168.10.10 20 permit 192.168.10.0, wildcard bits 0.0.0.255
Você percebe que o ACE 10 está incorreto e precisa ser editado. Entre no modo de configuração global e use o comando ip access-list standard para ACL 1.
R1#configure terminal R1(config)#ip access-list standard 1
Uma ACE incorreta deve ser excluída e inserida novamente. Remova o ACE com o número de sequência 10.
R1(config-std-nacl)#no 10
Em seguida, insira novamente a ACE correta usando o número de sequência 10 para negar ao host com o endereço IP 192.168.10.10 acesso fora da LAN 1 e retorne ao modo EXEC privilegiado usando o comando end.
R1(config-std-nacl)#10 deny host 192.168.10.10 R1(config-std-nacl)#end
Verifique a nova entrada usando o comando show access-lists.
R1#show access-lists Standard IP access list 1 10 deny 192.168.10.10 20 permit 192.168.10.0, wildcard bits 0.0.0.255
Você modificou com êxito uma ACL numerada IPv4 em R1.
Packet Tracer – Configurar e modificar ACLs IPv4 padrão
Nesta atividade do Packet Tracer, você completará os seguintes objetivos:
- Parte 1: Configurar Dispositivos e Verificar Conectividade
- Parte 2: Configurar e verificar ACLs nomeados e numerados padrão
- Parte 3: Modificar uma ACL padrão
Pronto para ir! Continue visitando nosso blog do curso de networking, confira todo o conteúdo do CCNA 3 aqui; e você encontrará mais ferramentas e conceitos que o tornarão um profissional de rede.