Tipos de ACLs IPv4
Tipos de ACLs IPv4

Tipos de ACLs IPv4

[note note_color=”#21ab5136″ text_color=”#2c2c2d” radius=”3″ class=”” id=””]Bem-vindo: este tópico faz parte do Capítulo 14 do curso Cisco CCNA 3, para um melhor acompanhamento do curso você pode ir para a seção CCNA 2 para orientá-lo durante um pedido.[/note]

R1(config)# access-list 10 permit 192.168.10.0 0.0.0.255
R1(config)#

O ACL 10 permite hosts na rede de origem 192.168.10.0/24. Por causa do “deny any” implícito no final, todo o tráfego, exceto o tráfego proveniente da rede 192.168.10.0/24, é bloqueado com esta ACL.

No próximo exemplo, um ACL 100 estendido permite o tráfego originado de qualquer host na rede 192.168.10.0/24 para qualquer rede IPv4 se a porta do host de destino for 80 (HTTP).

R1(config)# access-list 100 permit tcp 192.168.10.0 0.0.0.255 any eq www
R1(config)#

Observe como o ACL 10 padrão só é capaz de filtrar por endereço de origem, enquanto o ACL 100 estendido está filtrando nas informações de origem e de destino da Camada 3 e do protocolo da Camada 4 (ou seja, TCP).

Nota: A configuração ACL completa é discutida em outro módulo.

ACLs numeradas e nomeadas

ACLs numeradas

As ACLs de número 1 a 99 ou de 1300 a 1999 são ACLs padrão, enquanto as ACLs de número 100 a 199 ou de 2000 a 2699 são ACLs estendidas, conforme mostrado na saída.

R1(config)# access-list ?
  <1-99>       IP standard access list
  <100-199>    IP extended access list
  <1100-1199>  Extended 48-bit MAC address access list
  <1300-1999>  IP standard access list (expanded range)
  <200-299>    Protocol type-code access list
  <2000-2699>  IP extended access list (expanded range)
  <700-799>    48-bit MAC address access list
  rate-limit   Simple rate-limit specific access list
  template     Enable IP template acls
Router(config)# access-list

ACLs nomeados

ACLs nomeados é o método preferido para usar ao configurar ACLs. Especificamente, as ACLs padrão e estendidas podem ser nomeadas para fornecer informações sobre a finalidade da ACL. Por exemplo, nomear um ACL FTP-FILTER estendido é muito melhor do que ter um ACL 100 numerado.

O comando de configuração global ip access-list é usado para criar uma ACL nomeada, conforme mostrado no exemplo a seguir.

R1(config)# ip access-list extended FTP-FILTER
R1(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq ftp
R1(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq ftp-data
R1(config-ext-nacl)#

A seguir, um resumo das regras a serem seguidas para ACLs nomeadas.

  • Atribua um nome para identificar a finalidade da ACL.
  • Os nomes podem conter caracteres alfanuméricos.
  • Os nomes não podem conter espaços ou pontuação.
  • Sugere-se que o nome seja escrito em MAIÚSCULAS.
  • As entradas podem ser adicionadas ou excluídas na ACL.

Onde colocar ACLs

Cada ACL deve ser colocado onde tenha o maior impacto na eficiência.

A figura ilustra onde as ACLs padrão e estendidas devem estar localizadas em uma rede corporativa. Assuma o objetivo de evitar que o tráfego originado na rede 192.168.10.0/24 alcance a rede 192.168.30.0/24.

Onde colocar ACLs

As ACLs estendidas devem estar localizadas o mais próximo possível da origem do tráfego a ser filtrado. Dessa forma, o tráfego indesejável é negado próximo à rede de origem sem cruzar a infraestrutura de rede.

As ACLs padrão devem estar localizadas o mais próximo possível do destino. Se uma ACL padrão foi colocada na origem do tráfego, a “permissão” ou “negação” ocorrerá com base no endereço de origem fornecido, independentemente de onde o tráfego é destinado.

O posicionamento do ACL e, portanto, o tipo de ACL usado, também podem depender de uma variedade de fatores, conforme listado na tabela.

Fatores que influenciam o posicionamento do ACLExplicação
A extensão do controle organizacionalO posicionamento da ACL pode depender de a organização ter ou não controle das redes de origem e de destino.
Largura de banda das redes envolvidasPode ser desejável filtrar o tráfego indesejado na origem para evitar a transmissão do tráfego que consome largura de banda.
Facilidade de configuraçãoPode ser mais fácil implementar uma ACL no destino, mas o tráfego usará a largura de banda desnecessariamente. Uma ACL estendida pode ser usada em cada roteador onde o tráfego foi originado. Isso economizaria largura de banda ao filtrar o tráfego na origem, mas exigiria a criação de ACLs estendidas em vários roteadores.

Exemplo de posicionamento ACL padrão

Seguindo as diretrizes para colocação de ACLs, as ACLs padrão devem ser localizadas o mais próximo possível do destino.

Na figura, o administrador deseja evitar que o tráfego originado na rede 192.168.10.0/24 alcance a rede 192.168.30.0/24.

Exemplo de posicionamento ACL padrão

Seguindo as diretrizes básicas de posicionamento, o administrador colocaria uma ACL padrão no roteador R3. Existem duas interfaces possíveis em R3 para aplicar a ACL padrão:

  • Interface R3 S0 / 1/1 (entrada) – A ACL padrão pode ser aplicada de entrada na interface R3 S0 / 1/1 para negar tráfego da rede .10. No entanto, ele também filtraria o tráfego de 0,10 para a rede 192.168.31.0/24 (.31 neste exemplo). Portanto, a ACL padrão não deve ser aplicada a esta interface.
  • Interface R3 G0 / 0 (saída) – A ACL padrão pode ser aplicada de saída na interface R3 G0 / 0/0. Isso não afetará outras redes acessíveis por R3. Os pacotes da rede .10 ainda serão capazes de alcançar a rede .31. Esta é a melhor interface para colocar a ACL padrão para atender aos requisitos de tráfego.

Exemplo de posicionamento de ACL estendido

A ACL estendida deve ser localizada o mais próximo possível da fonte. Isso evita que o tráfego indesejado seja enviado por várias redes para ser negado quando chegar ao seu destino.

No entanto, a organização só pode colocar ACLs em dispositivos que ela controla. Portanto, o posicionamento estendido da ACL deve ser determinado no contexto de onde o controle organizacional se estende.

Na figura, por exemplo, a Empresa A deseja negar o tráfego Telnet e FTP para a rede 192.168.30.0/24 da Empresa B de sua rede 192.168.11.0/24 enquanto permite todo o outro tráfego.

Exemplo de posicionamento de ACL estendido

Existem várias maneiras de atingir esses objetivos. Uma ACL estendida em R3 realizaria a tarefa, mas o administrador não controla R3. Além disso, esta solução permite que o tráfego indesejado atravesse toda a rede, apenas para ser bloqueado no destino. Isso afeta a eficiência geral da rede.

A solução é colocar uma ACL estendida em R1 que especifica os endereços de origem e destino.

Existem duas interfaces possíveis em R1 para aplicar a ACL estendida:

  • Interface R1 S0 / 1/0 (saída) – A ACL estendida pode ser aplicada de saída na interface S0 / 1/0. No entanto, esta solução processará todos os pacotes que saem de R1, incluindo pacotes de 192.168.10.0/24.
  • Interface R1 G0 / 0/1 (entrada) – A ACL estendida pode ser aplicada na entrada G0 / 0/1 e apenas os pacotes da rede 192.168.11.0/24 estão sujeitos ao processamento de ACL em R1. Como o filtro deve ser limitado apenas aos pacotes que saem da rede 192.168.11.0/24, aplicar a ACL estendida a G0 / 1 é a melhor solução.

Pronto para ir! Continue visitando nosso blog do curso de networking, confira todo o conteúdo do CCNA 3 aqui; e você encontrará mais ferramentas e conceitos que o tornarão um profissional de rede.

O seu endereço de email não será publicado. Campos obrigatórios marcados com *