Conf. acl

Disponível somente no TrabalhosFeitos
  • Páginas : 7 (1744 palavras )
  • Download(s) : 0
  • Publicado : 16 de fevereiro de 2013
Ler documento completo
Amostra do texto
Bom tendo-se em mente esta pequena introdução, vamos à configuração de ACLs.
A sintaxe do comando para ACLs numeradas padrão seria:
Router(config)# access-list [1-99] [permit/deny] [any/host {IP} (origem)] [endereço IP / subrede]
Para ACLs estendidas numeradas, teríamos:
Router(config)# access-list [100-199] [permit/deny] [protocolo] [any/host {IP} (origem)] [endereço IP / subrede] [any/host{IP} (destino)] [endereço IP / subrede] [parâmetros adicionais]
Para ACLs nomeadas, o processo não muda, apenas eliminamos o número e substituímos pelo nome escolhido e tipo de ACL:
Router(config)# ip access-list standard [nome da ACL]
Router(config-std-nacl)# [permit/deny] [any/host {IP} (origem)] [endereço IP / subrede]
Router(config)# ip access-list extended [nome da ACL]Router(config-ext-nacl)# [permit/deny] [protocolo] [any/host {IP} (origem)] [endereço IP / subrede] [any/host {IP} (destino)] [endereço IP / subrede] [parâmetros adicionais]
Estes então seriam os comandos para se criar uma ACL. E quanto à aplicação de uma ACL?
A regra básica diz que somente UMA ACL pode ser aplicada em uma mesma interface e direção, em um determinado router (ou switch). Ou seja, em uma mesmainterface você até pode ter mais de uma ACL, desde que em sentidos opostos. Os sentidos possíveis são ilustrados no diagrama abaixo.
(IN) entrante —–> ROUTER ——> sainte (OUT)
O sentido em que uma ACL é aplicada determina qual o sentido do fluxo que deve ser examinado pelo router. Por este motivo, antes de aplicar uma ACL é necessário ter bem claro qual o efeito desejado.
Alguns pontos quedevemos saber ANTES de sair criando e aplicando ACLs:
* A análise pelo roteador da ACL aplicada ocorre sempre de forma sequencial, de cima para baixo (top-down). Ou seja, as regras colocadas antes serão analisadas antes.
* Uma vez que a regra testada resulte em positivo, nenhuma outra regra será analisada. Ou seja, se sua ACL tem 100 linhas, porém se o roteador ao comparar um pacote com asregras de sua ACL já der a primeira regra como positiva, nenhuma das outras 99 linhas será examinada e a ação definida (PERMIT ou DENY) será tomada. PORTANTO, lembre-se de sempre colocar as regras mais específicas ANTES, e as mais genéricas DEPOIS. Do contrário, as regras genéricas acabarão anulando as regras mais específicas.
* Lembre-se que, SEMPRE ao final de uma ACL existe uma regra DENYANY escondida. Ou seja, se você criar uma ACL contendo apenas DENYs, sua ACL terá o mesmo efeito de dar um SHUT DOWN na interface onde ela for aplicada.
* Atenção para o sentido de aplicação da ACL!!!
* Faça sempre que possível um teste de mesa ANTES de aplicar uma ACL, para ter certeza que a mesma possui a lógica imaginada, e que irá funcionar de acordo.
* Nunca remova uma ACL queencontra-se aplicada à uma interface! Primeiro desaplique a ACL, DEPOIS remova-a. Acho que não preciso explicar o porquê disso, certo???
Em teoria, para o exame CCNA, é basicamente isso. Vamos ver 2 pequenos exemplos práticos, para ilustrar o que vimos aqui.
1) ACL standard

Suponha o diagrama acima.
O usuário A não deve ter acesso à rede onde se encontra o computador do usuário B, porém, deveseguir tendo acesso ao servidor de WEB e E-mail. Dados os requisitos, vamos montar a ACL. Como o objetivo aqui é apenas barrar o acesso de um host a um determinado recurso, podemos fazer isso com uma ACL padrão:
Router(config)# access-list 10 deny host 192.168.0.100
Simples, não? Mas… será que acabou? Olhe BEM a ACL criada… o que aconteceria se aplicássemos ela no router, em qualquer sentido e emqualquer interface??? Ela bloquearia TODO O TRÁFEGO, e não apenas o tráfego originado pelo IP 192.168.0.100…! Por que??? Lembra-se do DENY ANY implícito? Olha ele aqui, em vermelho:
Router(config)# access-list 10 deny host 192.168.0.100
Router(config)# access-list 10 deny any
Você não configurou isso, não é mesmo??? Você não pode vê-lo, mas ele está lá… simplesmente acredite
Portanto,...
tracking img