Tabla de Contenido
O que é uma ACL?
Os roteadores tomam decisões de roteamento com base nas informações do cabeçalho do pacote. O tráfego que entra na interface do roteador é roteado exclusivamente com base nas informações da tabela de roteamento. O roteador compara o endereço IP de destino com as rotas na tabela de roteamento para encontrar a melhor correspondência e, a seguir, encaminha o pacote com base na melhor rota de correspondência. Esse mesmo processo pode ser usado para filtrar o tráfego usando uma lista de controle de acesso (ACL).
Uma ACL é uma série de comandos IOS usados para filtrar pacotes com base nas informações encontradas no cabeçalho do pacote. Por padrão, um roteador não tem nenhuma ACL configurada. No entanto, quando uma ACL é aplicada a uma interface, o roteador executa a tarefa adicional de avaliar todos os pacotes de rede à medida que passam pela interface para determinar se o pacote pode ser encaminhado.
Uma ACL usa uma lista sequencial de declarações de permissão ou negação, conhecidas como entradas de controle de acesso (ACEs).
Nota: ACEs também são comumente chamados de instruções ACL.
Quando o tráfego de rede passa por uma interface configurada com uma ACL, o roteador compara as informações do pacote com cada ACE, em ordem sequencial, para determinar se o pacote corresponde a uma das ACEs. Esse processo é chamado de filtragem de pacotes.
Várias tarefas executadas por roteadores requerem o uso de ACLs para identificar o tráfego. A tabela lista algumas dessas tarefas com exemplos.
Tarefa | Exemplo |
---|---|
Limite o tráfego de rede para aumentar o desempenho da rede | Uma política corporativa proíbe o tráfego de vídeo na rede para reduzir a carga da rede. Uma política pode ser aplicada usando ACLs para bloquear o tráfego de vídeo. |
Fornece controle de fluxo de tráfego | Uma política corporativa exige que o tráfego do protocolo de roteamento seja limitado apenas a determinados links. Uma política pode ser implementada usando ACLs para restringir a entrega de atualizações de roteamento apenas àquelas provenientes de uma fonte conhecida. |
Fornece um nível básico de segurança para acesso à rede | A política corporativa exige que o acesso à rede de Recursos Humanos seja restrito apenas a usuários autorizados. Uma política pode ser aplicada usando ACLs para limitar o acesso a redes especificadas. |
Filtrar o tráfego com base no tipo de tráfego | A política corporativa exige que o tráfego de e-mail seja permitido em uma rede, mas que o acesso Telnet seja negado. Uma política pode ser implementada usando ACLs para filtrar o tráfego por tipo. |
Faça a triagem de hosts para permitir ou negar acesso aos serviços de rede | A política corporativa exige que o acesso a alguns tipos de arquivo (por exemplo, FTP ou HTTP) seja limitado a grupos de usuários. Uma política pode ser implementada usando ACLs para filtrar o acesso do usuário aos serviços. |
Dê prioridade a certas classes de tráfego de rede | O tráfego corporativo especifica que o tráfego de voz seja encaminhado o mais rápido possível para evitar qualquer interrupção. Uma política pode ser implementada usando ACLs e serviços de QoS para identificar o tráfego de voz e processá-lo imediatamente. |
Filtragem de Pacotes
A filtragem de pacotes controla o acesso a uma rede analisando os pacotes de entrada e / ou de saída e encaminhando-os ou descartando-os com base em determinados critérios. A filtragem de pacotes pode ocorrer na Camada 3 ou na Camada 4, conforme mostrado na figura.
Os roteadores Cisco oferecem suporte a dois tipos de ACLs:
- ACLs padrão – Os ACLs filtram apenas na camada 3 usando apenas o endereço IPv4 de origem.
- ACLs estendidos – Filtro de ACLs na camada 3 usando o endereço IPv4 de origem e / ou destino. Eles também podem filtrar na Camada 4 usando portas TCP, UDP e informações opcionais de tipo de protocolo para um controle mais preciso.
Operação ACL
As ACLs definem o conjunto de regras que fornecem controle adicional para pacotes que entram nas interfaces de entrada, pacotes que retransmitem através do roteador e pacotes que saem das interfaces de saída do roteador.
As ACLs podem ser configuradas para serem aplicadas ao tráfego de entrada e de saída, conforme mostrado na figura.
Nota: ACLs não atuam em pacotes originados do próprio roteador.
Uma ACL de entrada filtra os pacotes antes que eles sejam roteados para a interface de saída. Uma ACL de entrada é eficiente porque economiza a sobrecarga de pesquisas de roteamento se o pacote for descartado. Se o pacote for permitido pela ACL, ele será processado para roteamento. As ACLs de entrada são mais utilizadas para filtrar pacotes quando a rede conectada a uma interface de entrada é a única fonte de pacotes que precisa ser examinada.
Uma ACL de saída filtra os pacotes após serem roteados, independentemente da interface de entrada. Os pacotes de entrada são roteados para a interface de saída e, em seguida, são processados por meio da ACL de saída. ACLs de saída são mais bem usados quando o mesmo filtro será aplicado a pacotes vindos de várias interfaces de entrada antes de sair da mesma interface de saída.
Quando uma ACL é aplicada a uma interface, ela segue um procedimento operacional específico. Por exemplo, aqui estão as etapas operacionais usadas quando o tráfego entrou em uma interface do roteador com uma ACL IPv4 padrão de entrada configurada.
- O roteador extrai o endereço IPv4 de origem do cabeçalho do pacote.
- O roteador começa na parte superior da ACL e compara o endereço IPv4 de origem com cada ACE em uma ordem sequencial.
- Quando uma correspondência é feita, o roteador executa a instrução, permitindo ou negando o pacote, e as ACEs restantes na ACL, se houver, não são analisadas.
- Se o endereço IPv4 de origem não corresponder a nenhuma ACE na ACL, o pacote será descartado porque há uma ACE de negação implícita aplicada automaticamente a todas as ACLs.
A última instrução ACE de uma ACL é sempre uma negação implícita que bloqueia todo o tráfego. Por padrão, essa instrução está automaticamente implícita no final de uma ACL, embora esteja oculta e não seja exibida na configuração.
Nota: Uma ACL deve ter pelo menos uma declaração de permissão, caso contrário, todo o tráfego será negado devido à declaração de negação ACE implícita.
Packet Tracer – Demonstração ACL
Nesta atividade, você observará como uma lista de controle de acesso (ACL) pode ser usada para evitar que um ping alcance hosts em redes remotas. Depois de remover a ACL da configuração, os pings serão bem-sucedidos.
[button url=”https://www.ccna.network/wp-content/uploads/2021/03/4.1.4-pt.zip” target=”self” style=”default” background=”#2fa614″ color=”#FFFFFF” size=”3″ wide=”no” center=”yes” radius=”auto” icon=”” icon_color=”#FFFFFF” text_shadow=”none” desc=”” download=”” onclick=”” rel=”” title=”” id=”” class=””]BAIXE AQUI[/button]Pronto para ir! Continue visitando nosso blog do curso de networking, confira todo o conteúdo do CCNA 3 aqui; e você encontrará mais ferramentas e conceitos que o tornarão um profissional de rede.