R1(config)# access-list 10 permit 192.168.10.0 0.0.0.255 R1(config)#
O ACL 10 permite hosts na rede de origem 192.168.10.0/24. Por causa do “deny any” implícito no final, todo o tráfego, exceto o tráfego proveniente da rede 192.168.10.0/24, é bloqueado com esta ACL.
No próximo exemplo, um ACL 100 estendido permite o tráfego originado de qualquer host na rede 192.168.10.0/24 para qualquer rede IPv4 se a porta do host de destino for 80 (HTTP).
R1(config)# access-list 100 permit tcp 192.168.10.0 0.0.0.255 any eq www R1(config)#
Observe como o ACL 10 padrão só é capaz de filtrar por endereço de origem, enquanto o ACL 100 estendido está filtrando nas informações de origem e de destino da Camada 3 e do protocolo da Camada 4 (ou seja, TCP).
Nota: A configuração ACL completa é discutida em outro módulo.
Tabla de Contenido
ACLs numeradas e nomeadas
ACLs numeradas
As ACLs de número 1 a 99 ou de 1300 a 1999 são ACLs padrão, enquanto as ACLs de número 100 a 199 ou de 2000 a 2699 são ACLs estendidas, conforme mostrado na saída.
R1(config)# access-list ? <1-99> IP standard access list <100-199> IP extended access list <1100-1199> Extended 48-bit MAC address access list <1300-1999> IP standard access list (expanded range) <200-299> Protocol type-code access list <2000-2699> IP extended access list (expanded range) <700-799> 48-bit MAC address access list rate-limit Simple rate-limit specific access list template Enable IP template acls Router(config)# access-list
ACLs nomeados
ACLs nomeados é o método preferido para usar ao configurar ACLs. Especificamente, as ACLs padrão e estendidas podem ser nomeadas para fornecer informações sobre a finalidade da ACL. Por exemplo, nomear um ACL FTP-FILTER estendido é muito melhor do que ter um ACL 100 numerado.
O comando de configuração global ip access-list é usado para criar uma ACL nomeada, conforme mostrado no exemplo a seguir.
R1(config)# ip access-list extended FTP-FILTER R1(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq ftp R1(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq ftp-data R1(config-ext-nacl)#
A seguir, um resumo das regras a serem seguidas para ACLs nomeadas.
- Atribua um nome para identificar a finalidade da ACL.
- Os nomes podem conter caracteres alfanuméricos.
- Os nomes não podem conter espaços ou pontuação.
- Sugere-se que o nome seja escrito em MAIÚSCULAS.
- As entradas podem ser adicionadas ou excluídas na ACL.
Onde colocar ACLs
Cada ACL deve ser colocado onde tenha o maior impacto na eficiência.
A figura ilustra onde as ACLs padrão e estendidas devem estar localizadas em uma rede corporativa. Assuma o objetivo de evitar que o tráfego originado na rede 192.168.10.0/24 alcance a rede 192.168.30.0/24.
As ACLs estendidas devem estar localizadas o mais próximo possível da origem do tráfego a ser filtrado. Dessa forma, o tráfego indesejável é negado próximo à rede de origem sem cruzar a infraestrutura de rede.
As ACLs padrão devem estar localizadas o mais próximo possível do destino. Se uma ACL padrão foi colocada na origem do tráfego, a “permissão” ou “negação” ocorrerá com base no endereço de origem fornecido, independentemente de onde o tráfego é destinado.
O posicionamento do ACL e, portanto, o tipo de ACL usado, também podem depender de uma variedade de fatores, conforme listado na tabela.
| Fatores que influenciam o posicionamento do ACL | Explicação |
|---|---|
| A extensão do controle organizacional | O posicionamento da ACL pode depender de a organização ter ou não controle das redes de origem e de destino. |
| Largura de banda das redes envolvidas | Pode ser desejável filtrar o tráfego indesejado na origem para evitar a transmissão do tráfego que consome largura de banda. |
| Facilidade de configuração | Pode ser mais fácil implementar uma ACL no destino, mas o tráfego usará a largura de banda desnecessariamente. Uma ACL estendida pode ser usada em cada roteador onde o tráfego foi originado. Isso economizaria largura de banda ao filtrar o tráfego na origem, mas exigiria a criação de ACLs estendidas em vários roteadores. |
Exemplo de posicionamento ACL padrão
Seguindo as diretrizes para colocação de ACLs, as ACLs padrão devem ser localizadas o mais próximo possível do destino.
Na figura, o administrador deseja evitar que o tráfego originado na rede 192.168.10.0/24 alcance a rede 192.168.30.0/24.
Seguindo as diretrizes básicas de posicionamento, o administrador colocaria uma ACL padrão no roteador R3. Existem duas interfaces possíveis em R3 para aplicar a ACL padrão:
- Interface R3 S0 / 1/1 (entrada) – A ACL padrão pode ser aplicada de entrada na interface R3 S0 / 1/1 para negar tráfego da rede .10. No entanto, ele também filtraria o tráfego de 0,10 para a rede 192.168.31.0/24 (.31 neste exemplo). Portanto, a ACL padrão não deve ser aplicada a esta interface.
- Interface R3 G0 / 0 (saída) – A ACL padrão pode ser aplicada de saída na interface R3 G0 / 0/0. Isso não afetará outras redes acessíveis por R3. Os pacotes da rede .10 ainda serão capazes de alcançar a rede .31. Esta é a melhor interface para colocar a ACL padrão para atender aos requisitos de tráfego.
Exemplo de posicionamento de ACL estendido
A ACL estendida deve ser localizada o mais próximo possível da fonte. Isso evita que o tráfego indesejado seja enviado por várias redes para ser negado quando chegar ao seu destino.
No entanto, a organização só pode colocar ACLs em dispositivos que ela controla. Portanto, o posicionamento estendido da ACL deve ser determinado no contexto de onde o controle organizacional se estende.
Na figura, por exemplo, a Empresa A deseja negar o tráfego Telnet e FTP para a rede 192.168.30.0/24 da Empresa B de sua rede 192.168.11.0/24 enquanto permite todo o outro tráfego.
Existem várias maneiras de atingir esses objetivos. Uma ACL estendida em R3 realizaria a tarefa, mas o administrador não controla R3. Além disso, esta solução permite que o tráfego indesejado atravesse toda a rede, apenas para ser bloqueado no destino. Isso afeta a eficiência geral da rede.
A solução é colocar uma ACL estendida em R1 que especifica os endereços de origem e destino.
Existem duas interfaces possíveis em R1 para aplicar a ACL estendida:
- Interface R1 S0 / 1/0 (saída) – A ACL estendida pode ser aplicada de saída na interface S0 / 1/0. No entanto, esta solução processará todos os pacotes que saem de R1, incluindo pacotes de 192.168.10.0/24.
- Interface R1 G0 / 0/1 (entrada) – A ACL estendida pode ser aplicada na entrada G0 / 0/1 e apenas os pacotes da rede 192.168.11.0/24 estão sujeitos ao processamento de ACL em R1. Como o filtro deve ser limitado apenas aos pacotes que saem da rede 192.168.11.0/24, aplicar a ACL estendida a G0 / 1 é a melhor solução.
Pronto para ir! Continue visitando nosso blog do curso de networking, confira todo o conteúdo do CCNA 3 aqui; e você encontrará mais ferramentas e conceitos que o tornarão um profissional de rede.