Para aqueles que estão familiarizados com listas de controle de acesso, você provavelmente está ciente de que existem muitos tipos diferentes de listas de controle de acesso. Temos listas de controle de acesso para IP versão 4, para IP versão 6, para IPX, para DECnet, para AppleTalk e a lista continua e continua e continua. De que é responsável? Somos responsáveis pelo IP versão 4 neste momento, e é aí que o nosso foco está, o IP versão 4. E podemos dividir as listas de controle de acesso IP versão 4 em dois tipos diferentes, padrão e estendido. Qual é a diferença aqui?
- ACL padrão
- Verifica o endereço de origem do ACL
- Permita ou nega todo o conjunto de protocolos
- ACL estendido
- Verifica endereço de origem e destino
- Permite ou nega protocolos e aplicações específicas
- Portas TCP e UDP de origem e destino
- Protocolo tipo (IP, ICMP, UDP, TCP ou número de protocolo)
Bem é que parâmetros eles procuram e eu quero que você leia o padrão, o que é que este padrão procura aqui? O que ele verifica? Eu quero que você leia isso. E eu vou mostrar uma forma de o lembrar. Então você vê que o padrão não olha para o destino, o que praticamente falando, não é muito útil. A falta de poder procurar um destino é bastante limitada, você normalmente quer procurar de onde ele vem e para onde vai. Mas uma lista de acesso padrão tem algo em comum com o endereço de origem, não tem? É a letra S, é uma ótima maneira de lembrar que listas de acesso padrão só procuram pela origem.
Listas de controle de acesso estendidas, ou ACLs estendidas, por outro lado, elas são muito mais poderosas, podem procurar pela origem e destino, podem procurar por protocolos da camada de transporte como TCP e User Data Protocol, ou UDP. Eles podem olhar para os protocolos da camada de aplicação sobre TCP e UDP, como HTTP, FTP, Trivial File Transport Protocol, ou TFTP, DNS, camada de soquetes seguros, e shell seguro. Isso parece muito, então como nos lembramos que listas de acesso estendidas podem corresponder a muito mais do que listas de controle de acesso padrão? Bem, quando estávamos nos referindo às nossas listas de controle de acesso padrão, nós apontamos que ele só verifica o endereço de origem. Padrão começa com S, fonte começa com S também.
Então eu me lembro dele como padrão, fonte apenas, S e S, enquanto que com estendido, nós temos tudo mais. Então o E nos ajuda a lembrar de tudo. Agora há certas coisas que não podemos igualar. Não podemos corresponder números de sequência, números de reconhecimento, não podemos corresponder muitas das bandeiras no TCP, por exemplo, podemos corresponder uma delas e enviar bits. Mas é muito mais inclusivo e por isso estamos mais próximos de tudo. Tenha em mente, quando os inserimos, temos dois conjuntos de sintaxe, temos a sintaxe antiga e temos a nova sintaxe. E vamos expor a ambos.
A velha sintaxe é numerada, a nova sintaxe é nomeada, e a sintaxe numerada, é um pouco complicada. Nós não encontramos nomes numéricos com tanta frequência. Na lista de acesso padrão numerada, temos um até 99. Há um intervalo expandido do qual nos mantemos afastados, não há mais razão para usarmos isso. Do 1300 ao 1999, não usamos isso, ok, mantenha-se afastado. Mas um até 99 é padrão, 100 até 199 é estendido e a maneira de lembrar esse alcance é sempre terminar em 99s, cada alcance termina em 99 alguma coisa. E quando estendemos para um valor de três dígitos, quando saltamos de dois dígitos para três dígitos, estendemos e, portanto, obtemos o intervalo da lista de acesso IP estendido.
| IPv4 Tipo ACL | Intervalo Numérico / Identificador |
|---|---|
| Padrão Numérico | 1-99, 1300-1999 |
| Estendido Numérico | 100-199, 2000-2699 |
| Nome (Padrão e Estendido) | Nome |
Mas essa é a sintaxe pela qual, francamente, somos mais responsáveis, mas já temos há uma década, listas de controle de acesso nomeadas. Na verdade, é mais de uma década enquanto falamos. Qual é o benefício de uma lista de controle de acesso nomeada? Uma lista de controle de acesso bem nomeada, primeiro que tudo, permite-nos fornecer um nome descritivo. Assim, em vez da nossa lista de controle de acesso ser chamada 79, podemos fornecer um nome descritivo e esse nome pode nos ajudar a entender o que a lista de controle de acesso é projetada para realizar. Mas o que nós realmente beneficiamos ao usar listas de controle de acesso nomeadas é a habilidade de editá-las, adicionar e excluir entradas dentro daquela ACL.
Você vê, com listas de controle de acesso numeradas, se você precisar adicionar uma entrada, quando você for para a interface de linha de comando e quiser adicionar uma entrada, que será olhada antes de uma entrada que você já tem lá dentro. Agora você simplesmente não pode ir lá e simplesmente colocar lá, não há como fazer isso com a sintaxe para criar isso. Então você está limitado na sua capacidade de edição, o que você tem que fazer? Apagar tudo, recriar tudo. Então, o Bloco de Notas vem a calhar. Tudo bem, mas com a lista de controle de acesso nomeado, nós temos a habilidade de ir para a sintaxe da lista de controle de acesso nomeado, adicionar, mover, apagar, alterar essas entradas na lista de controle de acesso, como achamos melhor.
Tão mais poderosa, a sintaxe da lista de controle de acesso nomeado. Mas não nos interprete mal aqui. A identificação numerada da lista de controle de acesso, como 1, 2, 3, 4 ou 100 ou 150, que ainda é o nome da lista de controle de acesso. E você verá mais tarde, utilize a sintaxe da lista de controle de acesso nomeada para editar uma lista de controle de acesso numerada. É muito legal e nós lhe daremos a habilidade de editar e corrigir seus erros com sua lista de controle de acesso numerada sem ter que explodir tudo e removê-la. Então uma sintaxe realmente ótima e você vai aprendê-la e vai adorá-la e nós veremos tudo, toda a sintaxe à medida que progredirmos juntos neste curso.
As ACLs numeradas padrão
Lista de controle de acesso padrão, o que eles procuram? Eu estou lhe perguntando, o que eles procuram? Eles procuram o parâmetro da fonte e aqui podemos ver isso. Então eles não vão se preocupar com o cabeçalho da camada 2, eles vão olhar para o cabeçalho do pacote, eles vão olhar para o campo de origem no cabeçalho do pacote e corresponder com base nisso exclusivamente. Então eles não vão ir mais fundo na camada de transporte. E nenhum destes vai para os dados, está bem. Você teria que usar alguns recursos avançados de firewall para filtrar com base nos dados.
Aqui está o que estávamos esperando, a sintaxe, e não é muito complicada, anote isso. Não é excessivamente complicado. Primeiro e acima de tudo, configuramos listas numeradas de controle de acesso em modo de configuração global. Nós digitamos a lista de acesso e depois especificamos o número da lista de acesso. Então estas são listas de controle de acesso IPv4 padrão, quais são os intervalos de numeração? 1 a 99 e 1300 a 1999. Quando especificamos qualquer número fora desses valores possíveis, nosso roteador sabe automaticamente que estamos criando uma lista de controle de acesso IPv4 padrão e ele lhe dará a sintaxe correta para usar.
Não lhe permitirá colocar parâmetros que não são aceitáveis para a lista de controle de acesso IP padrão versão 4. Então você coloca o número errado, se você colocar um 101, onde você está tentando criar uma lista de controle de acesso IP padrão versão 4, ele vai lhe dar a sintaxe para uma lista de controle de acesso estendida, certo? Então tenha cuidado com sua numeração, escolha os números certos e então você vai especificar o que você quer que aconteça com esse tráfego. Você quer permitir isso? Você quer negá-lo? Também pode fazer uma observação, o que é uma observação? É apenas uma descrição. Então você pode descrever esta lista de controle de acesso, então quando você revisar a lista de controle de acesso mais tarde, você saberá para que serve.
R1(config)#R1(config)#access-list 1 ?negar Especificar pacotes a rejeitarpermissão Especificar pacotes a encaminharobservação Comentário de entrada na lista de acessoR1(config)#access-list 1 permit ?Hostname ou endereço A.B.C.D para combinarqualquer host de origemhost Um único endereço de hostR1(config)#access-list 1 permit 172.16.0.0 ?/nn ou A.B.C.D Wildcard bitslog corresponde a esta entrada<cr>R1(config)#access-list 1 permit 172.16.0.0 0 0.0.255.255 ?Log Log corresponde a esta entrada<cr>>959595>R1(config)#access-list 1 permit 172.16.0.0 0 0.0.255.255R1(config)#Então temos a nossa fonte, qual é a fonte? Lembre-se, antes quando estávamos olhando para endereços e combinações de máscaras wildcard… Bem, a fonte é o endereço de origem, aquele ponto de partida que queremos usar para essa comparação de faixa. Então se olharmos para o nosso exemplo, temos 172.16.0.0 como o endereço, a fonte e depois a máscara. O que é a máscara? Tenha cuidado aqui, não é, repito, não é a máscara da sub-rede. É a máscara de wildcard. É aqui que colocamos a máscara do curinga. Então, no nosso exemplo 0.0.255.255, qual é o intervalo de endereços que esta lista de controle de acesso, que acabamos de criar, vai verificar? 172.16.0.0.0 até 172.16.255.255.
Então você vê o quão importante essa máscara de wildcard é, e entendendo o que ela faz, ela vai ajudar você a criá-las e lê-las. Diz aqui que há uma máscara de wildcard padrão, leve isso com um grão de sal, seu sistema operacional geralmente não aceitará mais a sintaxe quando você colocar qualquer entrada dentro de sua lista de controle de acesso que não tenha uma máscara de wildcard. Ok, então isso é comportamento antigo e não representa nada recente. Quando colocamos uma entrada como o que vemos no modo de configuração global com lista de acesso, isso é apenas uma entrada. Tenha em mente, se quiséssemos adicionar outra entrada, ainda teríamos a lista de acesso 1 e então construiremos a próxima sequência de permissão ou negação. lista de acesso 1 novamente, lista de acesso 1 novamente, se quisermos construir uma lista de controle de acesso cada vez maior. Qual é o tamanho mínimo de uma lista de controle de acesso?
Um tamanho mínimo seria uma declaração de permissão. Sim, acho que não pode haver apenas uma declaração de negação, que seria inútil, a menos que você esteja registrando, mas que não deixaria nada passar. E o máximo é o que você pode sonhar e para o que você tem a resistência. Assim que você aperfeiçoar sua lista de controle de acesso no modo de configuração global, como vemos aqui, você pode validá-la. Mas para mostrar listas de acesso, comando e que de fato mostraria todas as listas de acesso, IPv4, IPv6, lista de acesso de endereços Mac, IPX, AppleTalk, mas normalmente só temos IPv4 e pode ser hoje em dia algum IPv6.
R1#show access-listsLista de acesso IP padrão 110 permit 172.16.0.0, wildcard bits 0.0.255.255E podemos ver a única entrada. Agora espere um minuto, espere um minuto, nós colocamos a autorização 172.16 com essa máscara de wildcard, qual é o 10 lá? O que são aqueles 10 que acabaram de ganhar vida dentro da nossa lista de acesso? O 10 é um número de sequência automático que é adicionado à lista de acesso. Será o 10 por defeito. Se criássemos outra entrada…então digitamos a permissão de acesso da lista 1 192.168.1.0 0.0.0.255, seria automaticamente fornecido um número de sequência. E seria 20, o próximo da lista e o próximo será 30 e 40 e 50, é assim que mantemos o controle deles, o número da seqüência, a ordem em que os criamos em.
E isto é importante, lembre-se como dissemos, se quisermos editar a lista de controle de acesso, podemos querer adicionar uma entrada aqui e ali, mas só podemos fazer isso com sintaxe nomeada, não podemos fazer isso aqui com esta sintaxe de numeração padrão, mas esses números de seqüência serão o fator definidor de para onde nossa entrada vai. Se adicionarmos, movermos, apagarmos ou alterarmos e veremos isso mais tarde, veremos isso mais tarde apenas quando entrarmos na sintaxe da lista de controle de acesso nomeado de como esses números de seqüência podem ser usados e manipulados em nosso benefício.
Remover uma lista de acesso é muito fácil, lembre-se que poderoso nenhum comando, digite nenhuma lista de acesso e depois o número da lista de acesso que você quer remover. Tenha cuidado, tenha cuidado. Digamos que você digitou no access-list 1 permit 172.16.0.0 0 0.0.255.255. Então você quer remover uma entrada da lista de acesso padrão que você criou anteriormente. Você digita não e especifica todo o comando que você digitou antes, isso removerá apenas aquela entrada? Eu vou repetir isso, isso vai remover apenas uma entrada? À primeira vista, sim, isso é à primeira vista, mas se você tentar isso e o testar? Não, não é isso que vai acontecer. Não vai remover só aquela entrada, o que vai fazer? Vai livrar-se de tudo isto, por isso alguns de vocês já tiveram exposição a isto. É realmente um comportamento bizarro no IOS.
R1#config t
Enter comandos de configuração, um por linha. Termine com CNTL/Z.
R1(config)#no access-list 1
R1(config)#end
R1#sh access-lists
R1#sh access-lists
R1#4601>Normalmente, quando introduzimos um comando específico e o colocamos como um não, ele apenas remove esse comando. Aqui temos que ter muito cuidado com a sintaxe, não importa o quê, você diz sem lista de acesso, dê-lhe um número. Não me importa o que acontece depois, vai esmagar toda a lista de acesso e muitos dias ruins foram causados por este comportamento.
