Académique Documents
Professionnel Documents
Culture Documents
1. Introdução
As ACLs são listas de instruções que você aplica à interface do roteador. Essas listas
informam o roteador sobre que tipos de pacotes deve aceitar e que tipos de pacotes
deve recusar. A aceitação e a recusa podem ser baseadas em certas especificações,
como o endereço de origem, endereço de destino e número da porta. As ACLs
permitem que você gerencie o tráfego e examine pacotes específicos aplicando a
ACL à interface de um roteador. Qualquer tráfego atravessando a interface é
testado com relação a determinadas condições que fazem parte da ACL.
As ACLs podem ser criadas para todos os protocolos de rede roteados, como o
protocolo IP e o IPX, para filtrar pacotes à medida que atravessem um roteador. As
ACLs podem ser configuradas no roteador para controlar o acesso a uma rede ou
sub-rede. Por exemplo, na Unice, as ACLs poderiam ser usadas para evitar que o
tráfego de alunos entre na rede administrativa.
Há várias razões para que ACLs sejam criadas. Por exemplo, as ACLs podem ser
usadas para:
Dados de um pacote
As instruções irão permitir ou recusar pacotes com base nas instruções das ACLs.
A ordem em que você cria as regras da ACL é importante. Quando o roteador está
decidindo se deve encaminhar ou bloquear um pacote, testa-se o pacote em relação
à cada instrução de condição, na ordem em que as instruções foram criadas.
Se você criar uma instrução de condição que permita todo tráfego, nenhuma
instrução adicionada posteriormente será verificada.
Depois, o roteador verifica se a interface de destino tem uma ACL. Se não tiver, o
pacote pode ser enviado para a interface de destino diretamente; por exemplo, se o
pacote usar E0, que não tem ACLs, ele usará E0 diretamente.
Padrão
–Checam apenas o endereço de origem
–Permitem ou negam toda a suite de protocolos
Estendida
–Checan os endereços de origem e destino
–Podem permitir ou negar protocolos específicos
–Podem permitir ou negar aplicações específicas (portas)
Comando
9.1. Exemplo 1
interface ethernet 0
ip access-group 1 out
interface ethernet 1
ip access-group 1 out
Para indicar qualquer endereço IP, você digitaria 0.0.0.0; depois, para indicar que a
ACL deveria ignorar (ou seja, permitir sem verificar) qualquer valor, os bits da
máscara-curinga correspondentes para esse endereço seriam todos iguais (ou seja,
255.255.255.255). Você pode usar a abreviação any para comunicar essa mesma
condição. Ao invés de digitar 0.0.0.0 255.255.255.255, você pode usar a palavra
any sozinha como palavra-chave.
O comando host
Um endereço de host IP, por exemplo 172.30.16.29 com máscara curinga 0.0.0.0
significa que é necessário verificar todos os bits
Uma outra condição comum em que o Cisco IOS permite uma abreviação na
máscara-curinga da ACL é quando você deseja coincidir todos os bits de um
endereço de host IP inteiro. Por exemplo, digamos que você deseje especificar que
um endereço IP de host seja permitido em um teste de ACL. Para indicar o
endereço IP de host, você deve inserir o endereço completo (por exemplo,
172.30.16.29) e depois, para indicar que a ACL deve verificar todos os bits no
endereço, todos os bits da máscara-curinga correspondente a esse endereço devem
ser zero (ou seja, 0.0.0.0). Você pode usar a abreviação host para comunicar a
mesma condição de teste ao software Cisco IOS ACL. No exemplo, ao invés de
digitar 172.30.16.29 0.0.0.0, você pode usar a palavra host na frente do endereço.
Por exemplo, ao invés de usar:
10.1. Exemplo1:
10.2. Exemplo 2:
Dica:
Se endereço ip de origem de rede do pacote=endereço ip de rede da interface =>
regra deve ser aplicada com in (input-entrada)