Vídeo: Explicação sobre ACL Cisco 2024
As listas de controle de acesso estendido (ACLs) permitem que você permita ou negue o tráfego de endereços IP específicos para um endereço IP e porta de destino específico. Também permite que você especifique diferentes tipos de tráfego, como ICMP, TCP, UDP, etc. Desnecessário dizer que é muito granular e permite que você seja muito específico.
Se você pretende criar um firewall de filtragem de pacotes para proteger sua rede, é uma ACL estendida que você precisará criar.
O exemplo que será usado inclui um roteador conectado ao segmento 192. 168. 8. 0/24 em uma interface interna ( FastEthernet 0/0 ) usando endereço 192. 168. 8. 1/24 e ao 10. 0. 2. 0/24 segmento em uma interface externa ( FastEthernet 0/1 ) usando o endereço 10. 0. 2. 1 / 24.
Neste caso, você gerenciaria a rede 192. 168. 8. 0/24 e algum grupo desconhecido e não confiável gerencia o resto da rede, como mostrado. Nesta rede, você deseja permitir que os usuários acessem apenas servidores web fora da rede. Para suportar isso, você precisa criar duas ACLs, 101 e 102.
Você usa a lista de acesso 101 para gerenciar o tráfego que sai do escritório e a lista de acesso 102 para gerenciar o tráfego que vem da rede não confiável para o escritório.
Criando ACL 101
Router1> ative Senha: Router1 # configure terminal Digite os comandos de configuração, um por linha. Fim com CNTL / Z. Router1 (config) # access-list 101 observação Esta ACL é para controlar o tráfego do roteador de saída. Router1 (config) # access-list 101 permitir tcp 192. 168. 8. 0 0. 0. 0. 255 qualquer eq 80 Router1 (config) # access-list 101 permit tcp 192. 168. 8. 0 0. 0. 0. 255 qualquer eq 443 Router1 (config) # fim
Criando ACL 102
Router1> habilite Senha: Router1 # configure terminal Digite os comandos de configuração, um por linha. Fim com CNTL / Z. Router1 (config) # access-list 102 observação Esta ACL é para controlar o tráfego do roteador de entrada. Router1 (config) # access-list 102 permitir tcp qualquer 192. 168. 8. 0. 0. 0. 255 estabelecido Router1 (config) # fim
Se você examinar ACL 101, a quebra no formato do comando é o seguinte:
-
A ACL é o número 101
-
Permite o tráfego
-
Permite o tráfego TCP
-
A fonte que é permitida é definida por 192. 168. 8. 0 com um máscara curinga de 0, 0. 0. 255
-
O host de destino é qualquer host
-
O tráfego TCP permitido é na porta 80
-
A segunda linha é a mesma, mas permite o tráfego na porta TCP 443
Se você fizer o mesmo exame da segunda ACL, ACL 102, você deve terminar com o seguinte:
-
A ACL é o número 102
-
Permite o tráfego
-
Permite o tráfego TCP
-
O A fonte de que é permitido é de qualquer host
-
O host de destino é definido por 192.168. 8. 0 com uma máscara curinga de 0, 0. 0. 255
-
O tráfego TCP permitido é qualquer tráfego em uma sessão estabelecida
O último item no ACL 102 é algo para ver um pouco mais. Na ilustração a seguir, um computador cliente no 192. 168. 8. A rede 0/24 criou uma sessão TCP com um servidor remoto. Esta sessão TCP teve um processo de handshaking que estabeleceu quais portas seriam usadas, que era uma porta escolhida aleatoriamente no cliente e a porta 80 no servidor.
A porta que é usada na ACE depende do endereço de destino e, neste caso, a porta de destino é uma porta escolhida aleatoriamente no cliente. Em vez de especificar que toda porta possível está aberta, o que não seria seguro, a opção é dizer que qualquer sessão estabelecida no cliente é permitida. Portanto, se o cliente abrir a conexão, essa ACL permitirá que o tráfego volte.
