Prerequisito – Access-lists (ACL)
Access-list (ACL) é um conjunto de regras definidas para controlar o tráfego da rede e reduzir os ataques à rede. As ACLs são usadas para filtrar o tráfego baseado no conjunto de regras definidas para a entrada ou saída da rede.
Lista de acesso padrão –
Esta é a lista de acesso que é feita usando apenas o endereço IP de origem. Estas ACLs permitem ou negam todo o conjunto de protocolos. Elas não fazem distinção entre o tráfego IP como TCP, UDP, Https, etc. Ao usar os números 1-99 ou 1300-1999, o roteador irá entendê-lo como uma ACL padrão e o endereço especificado como endereço IP de origem.
Features –
- Lista de acesso padrão é geralmente aplicada perto do destino (mas nem sempre).
- Na lista de acesso padrão, toda a rede ou subrede é negada.
- Lista de acesso padrão usa o intervalo 1-99 e o intervalo alargado 1300-1999.
- Lista de acesso padrão é implementada usando apenas o endereço IP de origem.
- Se for usada a numeração com a lista de acesso padrão, então lembre-se que as regras não podem ser apagadas. Se uma das regras for excluída, toda a lista de acesso será excluída.
- Se for nomeado com a lista de acesso padrão, então você tem a flexibilidade de excluir uma regra da lista de acesso.
Note – A lista de acesso padrão é menos usada em comparação com a lista de acesso estendida, pois todo o conjunto de protocolos IP será permitido ou negado para o tráfego, pois não é possível distinguir entre os diferentes protocolos de tráfego IP.
Configuração –
Aqui está uma pequena topologia na qual existem 3 departamentos: vendas, finanças e marketing. Departamento comercial com rede 172.16.40.0/24, departamento financeiro com rede 172.16.50.0/24 e departamento de marketing com rede 172.16.60.0/24. Agora, quer negar a ligação do departamento de vendas ao departamento financeiro e permitir que outros cheguem a essa rede.
Agora, configurando primeiro o acesso padrão numerado – lista para negar qualquer conexão IP do departamento de vendas ao departamento financeiro.
R1# config terminalR1(config)# access-list 10 deny 172.16.40.0 0.0.0.255
Aqui, como a lista de acesso estendido, você não pode especificar o tráfego IP particular a ser permitido ou negado. Note também que foi utilizada a máscara de wildcard (0.0.0.255 que significa Subnet mask 255.255.255.0). 10 é utilizado a partir do número padrão da gama de listas de acesso.
R1(config)# access-list 110 permit ip any any
Agora, como você já sabe que há uma negação implícita no final de cada lista de acesso, o que significa que se o tráfego não corresponder a nenhuma das regras da lista de acesso, então o tráfego será descartado.
Por especificação de qualquer meio que a fonte com qualquer tráfego de endereço ip chegará ao departamento financeiro, exceto o tráfego que corresponder às regras acima que você tenha feito.
Agora, você tem que aplicar a lista de acesso na interface do roteador:
R1(config)# int fa0/1R1(config-if)# ip access-group 10 out
Como você se lembra que a lista de acesso padrão é geralmente aplicada ao destino e aqui também se você aplicar a lista de acesso próxima ao destino, ela irá satisfazer a nossa necessidade, portanto, a saída para a interface fa0/1 foi aplicada.
Nomeado exemplo de lista de acesso padrão –
Agora, considerando a mesma topologia, você fará uma lista de acesso padrão nomeada.
>
R1(config)# ip access-list standard blockacl
Ao usar este comando você terá feito uma lista de acesso chamada blockacl.
R1(config-std-nacl)# deny 172.16.40.0 0.0.0.255 R1(config-std-nacl)# permit any
E então a mesma configuração que você fez na lista de acesso numerada.
R1(config)# int fa0/1R1(config-if)# ip access-group blockacl out
Lista de acesso padrão para exemplo Telnet –
Como você sabe, você não pode especificar um determinado tráfego IP a ser negado na lista de acesso padrão, mas a conexão telnet pode ser permitida ou negada usando a lista de acesso padrão, aplicando a lista de acesso na linha vty lines.
Aqui, na figura dada, você quer negar o telnet ao departamento financeiro de qualquer rede. Configurando para o mesmo:
R1(config)# access-list 10 deny anyR1(config)# line vty 0 4R1(config-line)# access-class 10 out
