Lançamento ACL Versão 9 MIGUEL PERROTTI Presidente Perrotti Partners .
Capítulo 7: listas de controle de acesso...Confidencial da Cisco 13 7.1 Operação de ACL...
Transcript of Capítulo 7: listas de controle de acesso...Confidencial da Cisco 13 7.1 Operação de ACL...
Capítulo 7: listas de controle de acesso
CCNA Routing and Switching
Routing and Switching Essentials v6.0
13© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
▪ 7.1 Operação de ACL
• Explique a finalidade e a operação das ACLs em redes empresariais de pequeno a médio
porte.
• Explicar como as ACLs filtram o tráfego.
• Explicar como as ACLs usam máscaras curinga.
• Explicar como criar ACLs.
• Explicar como posicionar ACLs.
▪ 7.2 ACLs IPv4 padrão
• Configure ACLs IPv4 padrão para filtrar o tráfego em uma rede empresarial de pequeno a
médio porte.
• Configurar as ACLs IPv4 padrão para filtrar o tráfego de modo que atenda aos requisitos de rede.
• Usar números de sequência para editar as atuais ACLs IPv4 padrão.
• Configurar uma ACL padrão para proteger o acesso VTY.
Capítulo 7 – Seções e Objetivos
14© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
▪ 7.3 Solucionar problemas de ACLs
• Solucione problemas de ACL de IPv4.
• Explicar como um roteador processa pacotes quando uma ACL é aplicada.
• Solucionar problemas comuns na ACL IPv4 padrão com comandos CLI.
Capítulo 7 – Seções e Objetivos (Cont.)
15© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
7.1 Operação de ACL
16© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Objetivo das ACLs
O que é uma ACL? ▪ Uma ACL é uma série de comandos de IOS que
controlam se um roteador encaminha ou elimina
pacotes com base nas informações encontradas
no cabeçalho do pacote. As ACLs não são
configuradas por padrão em um roteador.
▪ As ACLs podem realizar as seguintes tarefas:
• Limitam o tráfego e aumentam o desempenho da rede. Por exemplo, o tráfego de vídeo poderá ser
bloqueado se não for permitido.
• Fornecer controle de fluxo de tráfego. As ACLs
podem ajudar a verificar se as atualizações de roteamento são de uma fonte conhecida.
• As ACLs fornecem segurança para acesso à
rede e podem bloquear um host ou uma rede.
• Filtram o tráfego com base no tipo de tráfego,
como o tráfego de Telnet.
• Selecionam hosts para permitir ou negar acesso aos serviços de rede, como FTP ou HTTP.
17© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Objetivo das ACLs
Filtragem de pacote▪ Uma ACL é uma lista sequencial de instruções de
permissão ou de negação, conhecidas como entradas
de controle de acesso (ACEs).
• As ACEs são chamadas de instruções da ACL.
▪ Quando o tráfego da rede passa através de uma
interface configurada com uma ACL, o roteador
compara as informações no pacote com cada ACE,
em ordem sequencial, para determinar se o pacote
corresponde a uma das ACEs. Isso é chamado de
filtragem de pacote.
▪ Filtragem de pacote:
• Pode analisar os pacotes de entrada e/ou de saída.
• Pode ocorrer na camada 3 ou 4.
▪ A última instrução de uma ACL é sempre um deny
implícito. Isso é inserido automaticamente no final de
cada ACL e bloqueia todo o tráfego. Por causa disso,
todas as ACLs devem ter pelo menos uma instrução
permit.
18© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Objetivo das ACLs
Operação de ACL ▪ As ACLs não atuam em pacotes que se
originam do roteador.
• As listas de acesso expressam o conjunto
de regras que permitem maior controle dos
pacotes que chegam às interfaces de
entrada, pacotes que são retransmitidos
através do roteador e pacotes que saem
das interfaces do roteador.
▪ ACLs podem ser configuradas para serem
aplicadas a tráfego de entrada e saída:
• ACLs de entrada – Os pacotes de entrada
são processados antes de serem roteados
para a interface de saída.
• ACLs de saída – Os pacotes de entrada
são encaminhados para a interface de
saída e processados em seguida por meio
da ACL de saída.
19© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Objetivo das ACLs
Packet Tracer – Demonstração da ACL▪ Nesta atividade do Packet
Tracer, você observará como
um ACL pode ser usado para
impedir que um ping alcance
hosts em uma rede.
▪ Após remover a ACL da
configuração, os pings terão
êxito.
20© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Máscara curinga em ACLs
Apresentando a máscara coringa em ACL▪ As ACEs IPv4 exigem o uso de máscaras curinga.
▪ Uma máscara curinga é uma sequência de 32 dígitos
binários (1 e 0) usados pelo roteador para determinar
que bits do endereço serão examinados para uma
correspondência.
▪ Máscaras curinga costumam ser tratadas como uma
máscara inversa, pois diferentemente de uma
máscara de sub-rede em que um binário 1 é uma
correspondência, um binário 0 é uma correspondência
com máscaras curinga. Por exemplo:
21© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Máscaras curingas em ACLs
Exemplos de máscara curinga▪ Calcular a máscara curinga pode
exigir alguma prática. A figura 1
fornece três exemplos de
máscaras curinga.
• Exemplo 1: A máscara curinga
estipula que cada bit do IPv4
192.168.1.1 deve coincidir
exatamente.
• Exemplo 2: A máscara coringa
estipula que nada deve ser
correspondente.
• Exemple 3: A máscara curinga
estipula que qualquer host na
rede 192.168.1.0/24 será
correspondente.
22© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Máscaras curinga em ACLs
Calculando a máscara coringa
▪ Calculando exemplos de máscara curinga:
• Exemplo 1: Suponha que você deseja permitir acesso
a todos os usuários na rede 192.168.3.0 com a
máscara de sub-rede de 255.255.255.0. Subtraia a
sub-rede de 255.255.255.255 e o resultado é:
0.0.0.255.
• Exemplo 2: Suponha que você deseja permitir acesso
à rede para 14 usuários na sub-rede 192.168.3.32/28
com a máscara de sub-rede de 255.255.255.240.
Depois de subtrair máscaras de sub-rede de
255.255.255.255, o resultado é 0.0.0.15.
• Exemplo 3: Suponha que você deseja corresponder
apenas as redes 192.168.10.0 e 192.168.11.0 com a
máscara de sub-rede de 255.255.254.0. Depois de
subtrair a máscara de sub-rede de 255.255.255.255, o
resultado é 0.0.1.255.
23© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Máscaras curingas em ACLs
Palavras-chave de máscara curinga
▪ Para facilitar a leitura das máscaras
curinga, as palavras-chave host e any
podem ajudar a identificar os usos mais
comuns de máscara curinga.
• host substitui a máscara 0.0.0.0
• any substitui para a máscara
255.255.255.255
▪ Se você quiser corresponder o
endereço 192.169.10.10, você poderá
usar 192.168.10.10 0.0.0.0 ou, você
poderá usar: host 192.168.10.10
▪ No exemplo 2, em vez de inserir 0.0.0.0
255.255.255.255, você pode usar a
palavra-chave any sozinha.
24© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Máscaras curingas em ACLs
Exemplos de palavras-chave de máscara curinga
▪ O exemplo na figura 1 mostra
como usar a palavra-chave
any para substituir o endereço
IPv4 0.0.0.0 por uma máscara
curinga de 255.255.255.255.
▪ O exemplo 2 mostra como usar
a palavra-chave host para
substituir a máscara curinga ao
identificar um único host.
25© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Instruções para a criação de ACL
Instruções gerais para a criação de ACL▪ Use as ACLs em roteadores com firewall
posicionados entre a rede interna e uma
rede externa como a Internet.
▪ Use as ACLs em um roteador posicionado
entre duas partes da rede para controlar o
tráfego que chega ou sai de uma
determinada parte da rede interna.
▪ Configure ACLs em roteadores de borda de
rede como aqueles situados na borda de
sua rede. Isso proporcionará um buffer
básico da rede externa que é menos
controlada.
▪ Configure ACLs para cada protocolo de
rede configurado nas interfaces do roteador
de borda.
26© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Instruções para a criação de ACL
Melhores práticas
▪ Usar ACLs exige atenção significativa a detalhes. Os erros podem ser caros em termos de
inatividade, esforços de solução de problemas e serviços de rede.
27© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Instruções para a criação de ACL
Instruções gerais para a criação de ACL▪ A colocação correta de uma ACL pode
fazer com que a rede opere com mais
eficiência. Por exemplo, e a ACL pode
ser colocada para reduzir o tráfego
desnecessário.
▪ Cada ACL deve ser posicionada onde
há maior impacto sobre o aumento da
eficiência.
• ACLs estendidas – Coloque as ACLs estendidas o mais perto possível da
origem do tráfego a ser filtrado. Isso evita que tráfego indesejado entre perto da origem sem ela cruzar a infraestrutura de rede.
• ACLs padrão – Como as ACLs padrão não especificam os endereços de destino, coloque-as o mais perto
possível do destino.
28© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Instruções para o posicionamento de ACL
Posicionamento de ACL padrão▪ Este exemplo demonstra a colocação
correta da ACL padrão que está
configurada para bloquear o tráfego da
rede 192.168.10.0/24 à rede
192.168.30.0/24.
▪ Há dois locais possíveis para configurar a
lista de acesso em R3.
▪ Se a lista de acesso é aplicada à interface
S0/0/1, ela bloqueará o tráfego para a
rede 192.168.30.0/24, mas também, indo
para a rede 192.168.31.0/24.
▪ O melhor local para aplicar a lista de
acesso é na interface G0/0 de R3. A lista
de acesso deve ser aplicada ao tráfego
que sai a interface G0/0. Os pacotes de
192.168.10.0/24 ainda podem acessar
192.168.31.0/24.
29© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
7.2 ACLs IPv4 padrão
30© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Configurar ACLs IPv4 padrão
Sintaxe de ACL IPv4 padrão numerada
▪ O comando de configuração global
access-list define uma ACL padrão
com um número entre 1 e 99.
▪ A sintaxe completa do comando
para criar uma ACL padrão é a
seguinte:
Router(config)# access-list access-list-number { deny | permit | remark }
source [ source-wildcard ][ log ]
Para remover a ACL, o comando
global de configuração no access-
list é utilizado. Use o comando
show access-list para verificar a
remoção da ACL.
31© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Configurar ACLs IPv4 padrão
Aplicação de ACLs IPv4 padrão a interfaces
▪ Após a configuração de uma ACL
IPv4 padrão, ela é vinculada a
uma interface usando o comando
ip access-group no modo
configuração de interface:
Router(config-if)# ip access-group{ access-list-number | access-list-
name } { in | out }
▪ Para remover uma ACL de uma
interface, insira o comando no ip
access-group na interface e
insira no comando global no
access-list para remover a ACL
inteira.
32© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Configurar ACLs IPv4 padrão
Exemplos de ACL IPv4 padrão numerada
▪ A figura à esquerda mostra um exemplo de uma ACL que permite o tráfego de uma sub-rede específica, mas nega o tráfego de um host específico nessa sub-rede.
• O comando no access-list 1 exclui a versão anterior da ACL 1.
• A próxima instrução de ACL nega o host 192.168.10.10.
• Qual é a outra maneira de escrever esse comando sem usar host?
• Todos os outros hosts na rede 192.168.10.0/24 são permitidos.
• Não há uma instrução deny implícita que corresponde a todas as outras redes.
• Em seguida, a ACL é reaplicada à interface em uma direção de saída.
33© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Configurar ACLs IPv4 padrão
Exemplos de ACL IPv4 padrão numerada (Continuação)
▪ Este próximo exemplo demonstra uma
ACL que nega um host específico, mas vai
permitir todos os demais tráfegos.
• A primeira instrução de ACL exclui a versão
anterior da ACL 1.
• O próximo comando, com a palavra-chave
deny, será negar o tráfego do host do PC1
localizado em 192.168.10.10.
• A instrução access-list 1 permit any
permitirá todos os outros hosts.
• Essa ACL é aplicada à interface G0/0 na
direção de entrada, pois ele afeta apenas a
LAN 192.168.10.0/24.
34© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Configurar ACLs IPv4 padrão
Sintaxe de ACL IPv4 padrão nomeada▪ Identificar uma ACL com um nome em vez de
com um número facilita a compreensão de
sua função.
▪ O exemplo à esquerda mostra como
configurar uma lista de acesso padrão
nomeada. Observe como os comandos são
ligeiramente diferentes:
• Utilize o comando ip access-list para criar
uma ACL nomeada. Os nomes são
alfanuméricos, diferenciam maiúsculas de
minúsculas e devem ser exclusivos.
• Use instruções permitir ou negar conforme
necessário. Você também pode usar o
comando remark para adicionar comentários.
• Aplique a ACL a uma interface usando o
comando ip access-group name.
35© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Configurar ACLs IPv4 padrão
Packet Tracer – Configuração de ACLs IPv4 nomeadas padrão
▪ Esta atividade de packet tracer
permitirá que você pratique a
definição de critérios de
filtragem e a configuração de
ACLs padrão em uma rede pré-
configurada.
▪ A verificação das ACLs
configuradas e aplicadas
também será necessária.
36© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Configurar ACLs IPv4 padrão
Packet Tracer – Configuração de ACLs IPv4 nomeadas padrão
▪ Nesta atividade do Packet
Tracer, você configurará
uma ACL padrão nomeada.
▪ Você será solicitado a
testar a ACL após aplicá-la
à interface apropriada.
37© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Modificar as ACLs IPv4
Método 1 – Usar um editor de texto▪ Às vezes, é mais fácil criar e editar as ACLs em
um editor de texto como o Bloco de Notas da
Microsoft em vez de fazer alterações
diretamente no roteador.
▪ Para uma ACL atual, use o comando show
running-config para exibir a ACL, copie e cole
no editor de texto, faça as alterações
necessárias e cole-a na interface do roteador.
▪ Deve-se mencionar que, quando você usa o
comando no access-list, as versões diferentes
do software IOS têm comportamentos
diferentes.
• Se a ACL excluída ainda for aplicada a uma
interface, algumas versões do IOS agirão como
se nenhuma ACL estivesse protegendo a sua rede, enquanto outras recusarão todo o tráfego.
38© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Modificar as ACLs IPv4
Método 2 – Usar números de sequência
▪ A figura à esquerda demonstra as etapas
usadas para fazer alterações em uma ACL
numerada usando números de sequência.
▪ A etapa 1 identifica o problema A instrução
deny 192.168.10.99 é incorreta. O host para
negar deve ser 192.168.10.10
▪ Para fazer a edição, a etapa 2 mostra como
entrar na lista de acesso padrão 1 e fazer a
alteração. A instrução errada precisou ser
excluída com o comando no: no 10
▪ Uma vez excluída, a nova instrução com o
host correto foi adicionada: 10 deny host
192.168.10.10
39© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Modificar as ACLs IPv4
Edição de ACLs padrão nomeadas ▪ Ao referirem-se aos números de
sequência de instrução, as instruções
individuais podem ser facilmente
introduzidas ou excluídas.
▪ A figura à esquerda mostra um
exemplo de como inserir uma linha
em uma ACL nomeada.
▪ Ao numerá-la 15, ela vai colocar o
comando entre as instruções 10 e 20.
▪ Observe que, quando a ACL foi
criada, o administrador de rede
espaçou cada comando por 10, o que
deixou espaço para edições e
adições.▪ O comando ACL nomeado no sequence-number
é usado para excluir instruções individuais.
40© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Modificar as ACLs IPv4
Verificação de ACLs
▪ Use o comando show ip interface para
verificar se a ACL está corretamente
aplicada à interface.
▪ A saída exibirá os nomes da lista de
acesso e a direção em que ela foi
aplicada à interface.
▪ Use o comando show access-lists para
exibir as listas de acesso configuradas no
roteador.
▪ Observe como a sequência é exibida fora
de ordem para a lista de acesso
NO_ACCESS. Isso será discutido mais
tarde nesta seção.
41© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Modificar as ACLs IPv4
Estatísticas de ACL ▪ O comando show access-lists pode ser
usado para exibir estatísticas correspondentes
quando a ACL foi aplicada a uma interface e
alguns testes ocorreram.
▪ Quando é gerado o tráfego que deve
corresponder a uma instrução da ACL, as
correspondências mostradas na saída do
comando show access-lists devem aumentar.
▪ Lembre-se de que cada ACL tem um deny any
implícito como a última instrução. As
estatísticas para esse comando implícito não
serão exibidas. No entanto, se esse comando
for configurado manualmente, os resultados
serão exibidos.
▪ O comando clear access-list counters pode ser
usado para limpar os contadores para fins de
teste.
42© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Modificar as ACLs IPv4
Laboratório – Configuração e modificação de ACLs de IPv4 padrão
▪ Este laboratório exigirá que você
instale e configure dispositivos para
corresponderem à topologia
fornecida no laboratório.
▪ Também são necessárias a
configuração, modificação e o teste
das ACLs padrão e nomeadas.
43© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Proteção das portas VTY com uma ACL IPv4 padrão
O comando access-class▪ O acesso administrativo de VTY deve ser
restrito para ajudar a melhorar a segurança.
▪ A restrição ao acesso a VTY é uma técnica
que permite definir qual endereço IP tem
acesso remoto permitido ao processo
EXEC do roteador.
▪ O comando access-class configurado no
modo de configuração de linha restringe as
conexões de entrada e saída entre um
determinado VTY (em um dispositivo da
Cisco) e os endereços de uma lista de
acesso.
▪ Router(config-line)# access-class access-
list-number {in [vrf-also ] | out }
44© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Proteção das portas VTY com uma ACL IPv4 padrão
Verificação da proteção da porta VTY
▪ É importante verificar a
configuração de ACL usada
para restringir o acesso VTY.
▪ A figura à esquerda mostra dois
dispositivos tentando fazer ssh
de dois dispositivos diferentes.
▪ A saída de comando show
access-lists mostra os
resultados após as tentativas de
SSH pelo PC1 e PC2.
▪ Observe os resultados de
correspondência na permissão
e as instruções de negação.
45© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Proteger portas VTY com uma ACL IPv4 padrão
Packet Tracer – Configurando uma ACL IPv4 em linhas VTY
▪ Nesta atividade do Packet
Tracer, você deverá
configurar e aplicar uma ACL
que permite o acesso do PC
às linhas Telnet no roteador,
mas negará todos os outros
endereços IP de origem.
46© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Proteger portas VTY com uma ACL IPv4 padrão
Laboratório – Configuração e verificação das restrições de VTY
▪ Neste laboratório, você
precisará configurar e verificar
as restrições de VTY.
▪ Apenas determinados
endereços IP terão acesso às
linhas vty no roteador.
▪ É importante garantir que
somente os computadores de
administradores têm permissão
para telnet ou SSH no roteador.
47© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
7.3 Solucionar problemas de ACLs
48© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Processamento de pacotes com ACLs
A negação implícita
▪ Uma ACL de entrada única com
apenas uma entrada recusada tem o
efeito de recusar todo o tráfego.
▪ Pelo menos uma ACE de permissão
deve ser configurada em uma ACL ou
todo o tráfego será bloqueado.
▪ Analise as duas ACL na figura à
esquerda.
• Os resultados serão iguais ou
diferentes?
49© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Processamento de pacotes com ACLs
A ordem de ACEs em uma ACL▪ A ordem na qual as ACEs são
configuradas são importantes, desde
que as ACEs sejam processadas
sequencialmente.
▪ A figura à esquerda demonstra um
conflito entre as duas afirmações, pois
elas estão na ordem errada.
• A primeira instrução de negação
bloqueia tudo na rede 192.168.10.0/24.
• No entanto, a segunda instrução de
permissão está tentando permitir o
acesso do host 192.168.10.10.
• Esta instrução é rejeitada já que é um
subconjunto da instrução anterior.
• A reversão da ordem dessas duas
instruções resolverá o problema.
50© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Processamento de pacotes com ACLs
O IOS da Cisco reorganiza as ACLs padrão▪ Observe a ordem em que as instruções
de lista de acesso foram inseridas durante
a configuração.
▪ Observe como o pedido foi alterado quando você insere o comando show
running-config.
▪ As instruções de host são listadas primeiro, mas não necessariamente na
ordem em que foram inseridas.
▪ O IOS insere instruções de host em uma ordem usando uma função de hashing especial. A ordem resultante otimiza a
busca por uma entrada da ACL de host.
▪ As instruções de intervalo são exibidas na ordem em que foram inseridas. A função
hash é aplicada às instruções de host.
51© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Processamento de pacotes com ACLs
Roteamento de processos e ACLs▪ A Figura mostra a lógica de roteamento
e os processos da ACL.
▪ Quando um pacote chega a uma
interface de roteador, o processo de
roteador é o mesmo, sendo as ACLs
configuradas ou não.
▪ Depois que o quadro de informações é
retirado, o roteador verifica se há uma
ACL na interface de entrada. Se existir
uma ACL, o pacote é testado em relação
às instruções.
▪ Se o pacote corresponder a uma
instrução, será permitido ou negado.
▪ Se o pacote for permitido, e depois que
o roteador processar o pacote, a
interface de saída também será
marcada para uma ACL.
52© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Erros comuns na ACL IPv4 padrão
Solução de problemas em ACLs IPv4 padrão – Exemplo 1
▪ Os erros mais comuns que envolvem ACLs:
• Inserir ACEs na ordem errada
• Não especificar as regras adequadas da ACL
• Aplicar a ACL usando a direção errada, interface
errada ou o endereço de origem incorreto
▪ Na figura da esquerda, o PC2 não deve ser capaz
de acessar o servidor de arquivos. No entanto, o
PC1 também não pode acessá-lo.
▪ A saída do comando show access-list mostra a
instrução deny na ACL.
▪ O conjunto de comandos à direita mostra a
solução. A instrução de permissão permite que os
outros dispositivos acessem, uma vez que o deny
implícito estava bloqueando o tráfego restante.
53© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Erros comuns na ACL IPv4 padrão
Solução de problemas em ACLs IPv4 padrão – Exemplo 2
▪ A rede 192.168.11.0/24 não poderá
acessar a rede 192.168.10.0/24.
▪ O PC2 não pode acessar o PC1 como
planejado, no entanto, ele também não
pode acessar a Internet através de R2.
▪ Problema: A lista de acesso: 20 foi aplicada
à G0/1 em uma direção de entrada
▪ Onde a ACL 20 deve ser aplicada e em
que direção?
▪ Na ordem de PC2 para acessar a Internet,
a ACL 20 precisa ser removida da interface
G0/1 e aplicada como saída na interface
G0/0.
54© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Erros comuns na ACL IPv4 padrão
Solução de problemas em ACLs IPv4 padrão – Exemplo 3
▪ Somente o PC1 deve ter permissão para SSH para R1.
▪ Há um problema com a configuração na figura à esquerda uma vez que o PC1 não consegue fazer SSH para R1.
▪ A ACL está permitindo o endereço 192.168.10.1, que é a interface G0/0. No entanto, o endereço que deve ser permitido é o endereço de host de PC1 de 192.168.10.10.
▪ A solução é informada a seguir:
55© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Erros comuns na ACL padrão IPv4
Packet Tracer – Solução de problemas de ACLs IPv4 padrão
▪ Nesta atividade, o Packet Tracer exigirá a
solução de problemas de vários problemas
de ACL de IPv4.
56© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
7.4 Resumo do Capítulo
57© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Proteger portas VTY com uma ACL IPv4 padrão
Packet Tracer – Desafio de integração de habilidades
▪ Nesta atividade do Packet
Tracer, você deverá
completar o esquema de
endereçamento de IP,
configurar o roteamento e
implementar listas de
controle de acesso
nomeadas.
58© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco
Capítulo 7
Novos termos e comandos
• Listas de controle de acesso (ACLs)
• firewalls
• Entradas de controle de acesso (ACEs)
• filtragem de pacotes
• ACLs padrão
• ACLs estendidas
• negar implícito
• ACLs de entrada
• ACLs de saída
• Máscaras curinga
• ACLs com nome
• máscara inversa