Scribd Logo
Загрузить

Добро пожаловать в Scribd!

  • Acl - Access Control List

    Загружено:

    CarloseLidia ZP
    37 просмотров7 страниц

    Авторское право

    © © All Rights Reserved

    Доступные форматы

    PDF, TXT или читайте онлайн в Scribd

    Этот документ был вам полезен?

    Это неприемлемый материал?

    Пожаловаться на этот документ

    Авторское право:

    © All Rights Reserved
    Скачайте в формате PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    37 просмотров7 страниц

    Acl - Access Control List

    Загружено:

    CarloseLidia ZP

    Авторское право:

    © All Rights Reserved
    Скачайте в формате PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    из 7

    Capitulo 5: ACL - ACCESS CONTROL LIST

    1. REGRAS GERAIS:

    1.1 ACLs so um conjunto de regras composto por instrues de permisso ou negao.
    1.2 Essas regras so lidas de forma seqencial, de cima para baixo.
    1.3 As ACLs PADRO verificam apenas o endereo de origem dos pacotes (IP da rede de
    origem ou host de origem).
    1.4 As ACLs ESTENDIDAs verificam o endereo de origem e de destino, alm dos
    protocolos da camada superior.
    1.5 Uma ACLs por interface, por protocolo e por direo.
    1.6 ACLs PADRO devem ser aplicadas o mais prximo do destino dos pacotes.
    1.7 ACLs ESTENDIDAS devem se aplicadas o mais prximo da origem dos pacotes.
    1.8 O sentido que uma ACL aplicada a uma interface determina qual sentido do fluxo deve
    ser analisado: IN (entrada de dados) ROUTER OUT (sada de dados).
    1.9 A ordem das regras dentro de um ACL muito importante.
    1.10 Ao verificar uma instruo, se o resultado for negativo (no coincidir) a prxima
    instruo verificada. Se o resultado for positivo (coincidir) a instruo executada e as
    demais so ignoradas.
    1.11 Ao final de toda ACL existe um DENY implcito (no escrito) que bloqueia todo o
    trfego que no coincidiu com qualquer uma das regras.
    1.12 Antes de aplicar um ACL, certifique-se de que a conectividade entre os dispositivos
    esteja em total funcionamento.
    2. TIPOS DE ACLs:
    2.1 ACL NUMERADAS PADRO (1-99)
    Exemplo: access-lis 10 permit 192.168.30.0 0.0.0.255
    access-lis 10 deny host 192.168.30.10

    2.2 ACL NUMERADA ESTENDIDA (100-199)
    Exemplo: access-list 103 permit tcp 192.168.30.0 0.0.0.255 any eq 80

    2.3 ACL NOMEADAS PADRO e ESTENDIDA (O nome substituiu o nmero)
    Exemplo: ip access-list extended NAVEGAR
    permit tcp 192.168.30.0 0.0.0.255 any eq 80


    3. MASCARA CURINGA
    Bits de mscara com valor 0 verificar
    Bits de mscara com valor 1 no verificar
    Exemplos:
    172.28.33.100 0.0.0.0 = corresponder a todos os bits
    0.0.0.0 255.255.255.255 = ignora todos os bits
    172.28.33.100 0.0.0.255 = ignora o ultimo octeto

    OBS:
    A palavra HOST substitui a mascara 0.0.0.0
    A palavra ANY substitui o IP 0.0.0.0 com mascara 255.255.255.255

    4. CRIANDO ACLs
    Etapa 1. Dentro do modo de configurao global, criar uma lista de acesso especificando o
    nmero da lista.


    Sintaxe ACL Padro:
    Router(config)#access-list access-list-number [deny | permit | remark] source [source-
    wildcard] [log]

    Sintaxe ACL Estendida:
    Router(config)#access-list access-list-number [deny | permit | remark] protocol source
    [source-wildcard] operator port destination [destination-wildcard] operator port
    [established]


    Etapa 2. Dentro da interface de interesse, aplicar a ACL especificando o sentido a ser filtrado.

    Router(config-if)#ip access-group access-list-number {in| out}











    5. EXERCICIOS
















    5.1 Bloqueie o acesso do host 192.168.0.100 a rede 10.0.0.0. O acesso ao servidor deve ser
    mantido.

    5.2 Permita o acesso do host 192.168.0.200 via Telnet ao roteador.

    5.3 Bloqueie o acesso http do host 192.168.0.100 ao servidor e permita o ping.























    RESPOSTAS

    5.1
    access-list 10 deny host 192.168.0.100
    access-list 10 permit any

    interface fast 0/1
    ip access-group 10 out

    5.2
    access-list 100 permit tcp host 192.168.0.200 any eq 23
    access-list 100 deny tcp any any eq 23
    access-list 100 permit ip any any

    interface eth 0/0/0
    ip access-group 100 in

    5.3
    Ser necessrio acrescentar as prximas duas linhas a ACL 100 j existente:

    access-list 100 deny tcp host 192.168.0.100 host 172.27.2.10 eq 80
    access-list 100 permit tcp any host 172.27.2.10 eq 80














    6. EXERCICIOS

    OBS: Apenas desenvolva as ACLs, no necessrio montar a topologia acima.

    6.1. Para a rede 192.168.10.0/24, bloqueie o acesso Telnet a todos os locais e o acesso TFTP
    para o servidor Web/TFTP corporativo em 192.168.20.254. Todos os demais acessos so
    permitidos.

    6.2. Para a rede 192.168.11.0/24, permita o acesso TFTP e o acesso Web para o servidor
    Web/TFTP em 192.168.20.254. Bloqueie os demais trfegos da rede 192.168.11.0/24 para a
    rede 192.168.20.0/24. Todos os demais acessos so permitidos.



    Respostas:
    6.1
    Access-list 110 deny tcp 192.168.10.0 0.0.0.255 any eq telnet
    Access-list 100 deny udp 192.168.10.0 0.0.0.255 host 192.168.20.254 eq tftp
    Access-lis 100 permit ip any any

    6.2
    Access-list 111 permit udp 192.168.11.0 0.0.0.255 host 192.168.20.254 eq tftp
    Access-list 111 permit tcp 192.168.11.0 0.0.0.255 host 192.168.20.254 eq WWW
    Access-list 111 deny ip 192.168.11.0 0.0.0.255 192.168.20.0 0.0.0.255
    Access-list 111 permit ip any any

    Вам также может понравиться