Access list - acls - cisco

Disponível somente no TrabalhosFeitos
  • Páginas : 6 (1434 palavras )
  • Download(s) : 0
  • Publicado : 7 de março de 2013
Ler documento completo
Amostra do texto
LISTAS DE CONTROLE DE ACESSOS – ACL - CISCO
O objetivo desse artigo é descrever como as listas de acesso IP (ACLs) podem
filtrar o tráfego em uma rede. Também contém uma breve descrição dos tipos
de ACL IP, características e exemplos de uso.
As ACLS não são utilizadas somente com o propósito de filtrar tráfego IP, elas
podem ser utilizadas também para definir tráfego que esta sujeito aoNetwork
Address Translation (NAT) e o tráfego que será criptografado em uma
configuração de VPN, entre outras utilidades.
O processamento das ACLs ocorre da seguinte forma: o tráfego que entra no
roteador é comparado com as entradas nas ACLs na ordem em que elas foram
escritas. Por isso é muito importante tomar cuidado na hora de redigir as ACLs
para que um tráfego que você precisa permitir nãofique bloqueado atrás de
uma entrada na ACL que negue um tráfego específico.
Novas linhas da ACL pode ser adicionada ao final da lista e o roteador ou
switch de camada 3 irá analisar as linhas da lista até encontrar uma que
combine com o tráfego específico. Se nenhuma combinação é encontrada na
lista, o tráfego é negado. Existe um entrada negando tudo (deny implícito) ao
final da lista decontrole de acesso. Por essa razão a lista de controle de
acesso precisa ter pelo menos uma linha permitindo o tráfego desejado, caso
contrário todo o tráfego será negado.
Para exemplificar, analisamos os dois exemplos a seguir, eles têm o mesmo
resultado:
Exemplo 1: access -list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
Exemplo 2: access -list 102 permit ip 10.1.1.0 0.0.0.255172.16.1.0 0.0.0.255
access-list 102 deny ip any any
Além de definir a origem e o destino do tráfego, podemos definir portas de
origem e destino, tipos de mensagens ICMP e outros parâmentros que ajudam
ainda mais a restringir as entradas das listas de acesso que serão aplicadas
nas interfaces dos roteadores.
Exemplo 3:
access-list 102 permit icmp host 10.1.1.1 host 172.16.1.1 14 - permite todosos
tipos de mensagens icmp
access-list 102 permit icmp host 10.1.1.1 host 172.16.1.1 eco-request - permite
apenas um tipo de mensagem icmp
As listas de controle de acesso só terão efeito depois de aplicadas a uma
interface. Uma boa prática é aplicar a ACL na interface mais próxima da origem
do tráfego.

Como mostra o exemplo, quando você quer bloquear um tráfego de uma
origem para umdestino, você pode aplicar a ACL na E0 no Router A como
inbound, ao invés de aplicar como outbound na interface E1 do Router C.

Os termos in, out, source e destination são utilizados como referência pelos
roteadores e possuem os seguintes significados:





in: tráfego entrante na interface.
out: tráfego sainte na interface.
source: origem do tráfego.
destination: destino dotráfego.

Tipos de ACLs:
ACL padrão: esse tipo de ACL existe desde a versão 8.3 do Cisco IOS
Software e controla o tráfego comparando o endereço de origem dos pacotes
IP com o endereço configurado na ACL. A sintaxe da ACL padrão é a s eguinte:
access-list access-list-number {permit|deny} {host|source source-wildcard|any}
Os números desse tipo de ACL podem ser de 1 a 99, a partir da versão 12.0.1do IOS foram adicionados os números 1300 a 1999 e a partir da versão 11.2 do
IOS podemos identificar uma ACL padrão pelo nome. A palavra any substitui
qualquer endereço IP e a palavra host indica que a regra se aplica apenas
aquele determinado endereço IP.
Exemplo 4:
access-list 10 permit host 10.10.10.1 - apenas o host 10.10.10.1 será liberado
access-list 10 deny any - todo o tráfegorestante será negado.
Depois de elaborada a lista de acesso, ela precisa ser aplicada a uma
interface.
interface
ip access-group number {in|out}
Caso a palavra in ou out não for especificado, out fica aplicado como padrão.
ACL estendida: A lista de acesso estendida possui maior recursos de
verificação. Com esse tipo de ACL podemos analisar o IP de origem, o IP de
destino, a porta de origem,...
tracking img