-
Notifications
You must be signed in to change notification settings - Fork 156
/
Etapa-057-ConfiguracaoACL-Padrao.txt
177 lines (142 loc) · 8.51 KB
/
Etapa-057-ConfiguracaoACL-Padrao.txt
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
!Autor: Robson Vaamonde
!Procedimentos em TI: http://procedimentosemti.com.br
!Bora para Prática: http://boraparapratica.com.br
!Robson Vaamonde: http://vaamonde.com.br
!Facebook Procedimentos em TI: https://www.facebook.com/ProcedimentosEmTi
!Facebook Bora para Prática: https://www.facebook.com/BoraParaPratica
!Instagram Procedimentos em TI: https://www.instagram.com/procedimentoem
!YouTUBE Bora Para Prática: https://www.youtube.com/boraparapratica
!Data de criação: 19/07/2020
!Data de atualização: 19/07/2020
!Versão: 0.01
!Testado e homologado no Cisco Packet Tracer 7.3 e GNS3 2.2.7
!Uma ACL (Access Control List) é uma série de comandos de IOS que controlam se um roteador encaminha
!ou elimina pacotes com base nas informações encontradas no cabeçalho do pacote. Por padrão, um roteador
!não tem ACLs configuradas, portanto, por padrão um roteador não filtra o tráfego, as ACLs atuam nas
!camadas 3 e 4 do modelo OSI ou nas camadas 2 e 3 do modelo TCP.
!Uma ACL é uma lista sequencial de instruções de permissão ou de negação, conhecidas como entradas de
!controle de acesso ACEs (Access Control Entry), as ACEs podem ser criadas para filtrar o tráfego com
!base em certos critérios, como o endereço de origem, endereço de destino, protocolo e número de porta.
!Portas TCP/UDP comuns: 1 a 1023 (Portas Conhecidas), 1024 a 49151 (Portas Registradas) e 49152 a 65535
!(Portas Dinâmicas e/ou Privadas).
!ACLs de entrada (Inbound): os pacotes de entrada são processados antes de serem roteados para a
!interface de saída. As ACLs de entrada são mais usadas para filtrar pacotes quando a rede conectada a
!uma interface de entrada é a única origem dos pacotes que deve ser examinada.
!ACLs de saída (Outbound): os pacotes de entrada são encaminhados para a interface de saída e processados
!em seguida por meio da ACL de saída. As ACLs de saída são mais usadas quando o mesmo filtro é aplicado
!aos pacotes que vêm de várias interfaces de entrada antes de saírem da mesma interface de saída.
!ACL negar (deny) implícito: esta instrução é automaticamente inserida no final de cada ACL, embora não
!esteja fisicamente presente, o deny implícito bloqueia todo o tráfego, devido a este deny implícito, uma
!ACL que não tenha pelo menos uma instrução de permissão bloqueará todo o tráfego (de entrada ou saída).
!ACLs padrão (Standard): as ACLs padrão podem ser usadas para permitir ou negar tráfego somente dos
!endereços IPv4 de origem, o destino do pacote e as portas envolvidas não são avaliados, devido ao
!“deny any” implícito no final, todo o tráfego restante é bloqueado com esta ACL, as ACLs padrão são
!criadas no modo de configuração global (configure terminal).
!Opções das ACLs padrão: Permit (Permitir), Deny (Negar), Remark (Comentário), Source Address Network
!(Origem do Endereço da Rede - Network, Host=0.0.0.0 ou Any=255.255.255.255) e Wildcard Mask (Máscara
!Curinga)
!Sintaxe da ACL padrão: access-list [1-99] [permit/deny] [any/host {IP} (origem)] [endereço IP / subrede]
!Exemplo Network: access-list 10 permit 192.168.10.0 0.0.0.255
!Exemplo Host: access-list 10 permit 192.168.10.10 0.0.0.0
!Exemplo Host: access-list 10 permit host 192.168.10.10
!Exemplo Any: access-list 10 permit 0.0.0.0 255.255.255.255
!Exemplo Any: access-list 10 permit any
!Numeração da ACL Padrão: 1 a 99 e 1300 a 1999
!Uma regra geral para aplicar ACLs em um roteador pode ser lembrada com base nos "Três Ps". Você pode
!configurar uma ACL por Protocolo (IPv4, IPv6, TCP, UDP, ICMP, etc), por Direção (IN ou OUT) e por
!Interface de Rede Física ou Virtual (ou Linhas Virtuais)
!Uma ACL por Protocolo: para controlar o fluxo de tráfego em uma Interface, deve-se definir uma ACL
!para cada protocolo ativado na interface.
!Uma ACL por direção: as ACLs controlam o tráfego em uma direção de cada vez em uma Interfaces, duas
!ACLs separadas devem ser criadas para controlar o tráfego de entrada e de saída.
!Uma ACL por interface: as ACLs controlam o tráfego de uma interface, por exemplo, GigabitEthernet0/0.
!Posicionamento da ACL Padrão: como as ACLs padrão não especificam endereços de destino, coloque-as o
!"Mais perto possível do destino". Colocar uma ACL padrão na origem do tráfego impedirá, com eficiência,
!que o tráfego acesse todas as outras redes através da Interface onde é aplicada a ACL. Uma ACL padrão
!só pode filtrar o tráfego baseado em um endereço origem.
!OBSERVAÇÃO IMPORTANTE: sempre utilize um Editor de Texto para a criação ou alteração das ACLs, isso
!facilita a administração e modificação das regras aplicadas em um Router ou Switch Layer 3. Utilize
!também a opção: Remark (Comentário) das ACL para facilitar a documentação das regras. Para remover uma
!entrada de ACL utilize o comando: no, existe também o comando: ip access-list que facilita a edição de
!uma ACL criada, para isso você precisa saber o Número da Posição da ACL para editar, com o comando:
!show access-list
!PRIMEIRA ETAPA: Configuração da ACL Padrão no Router 1941-1 da Primeira Topologia
enable
configure terminal
!Criando a ACL Padrão de Permissão do Host 192.168.1.10 de acessar o VTY do Router 1941-1
!DICA: a criação e aplicação das ACLs são sequenciais, verificando a correspondências (Match)
!da regra de Cima para Baixo (top-down)
!OBSERVAÇÃO: a opção Remark só é mostrada no comando: show running-config, não aparecendo no
!comando: show access-list
access-list 1 remark Permitindo o Host 192.168.1.10 para acessar a VTY
access-list 1 permit host 192.168.1.10
access-list 1 remark Negando todos Hosts e Redes de acessar a VTY
access-list 1 deny any
!Configurando a Line VTY para permitir o acesso remoto do Host 192.168.1.10
line vty 0 4
!Configurando a Classe de Filtro de Acesso da ACL na Line VTY
!DICA: aplicando a ACL Padrão nas configurações da Line VTY
!OBSERVAÇÃO: as ACLs em VTY permite negar ou liberar o acesso de Entrada (in - incoming) ou
!Saída (out - outgoing) das conexões remotas.
access-class 1 in
end
write
!SEGUNDA ETAPA: Configuração da ACL Padrão no Router 1941-2 da Segunda Topologia
enable
configure terminal
access-list 3 remark Permitindo o Host 192.168.1.10 para acessar a VTY
access-list 3 permit host 192.168.1.10
access-list 3 remark Permitindo o Host 192.168.3.1 para acessar a VTY
access-list 3 permit host 192.168.3.1
access-list 3 remark Negando todos os Hosts e Redes de acessar a VTY
access-list 3 deny any
line vty 0 5
access-class 3 in
end
write
!TERCEIRA ETAPA: Configuração da ACL Padrão no Switch Layer 3 3560 da Segunda Topologia
enable
configure terminal
access-list 2 remark Permitindo a Rede 192.168.3.0 para acessar a VTY
access-list 2 permit 192.168.3.0 0.0.0.255
access-list 2 remark Negando todos Hosts e Redes de acessar a VTY
access-list 2 deny any
line vty 0 5
access-class 2 in
end
write
!QUARTA ETAPA: Configuração da ACL Padrão no Router 2911 da Terceira Topologia
enable
configure terminal
access-list 4 remark Permitindo a Rede 192.168.100.0 para acessar a VTY
access-list 4 permit 192.168.100.0 0.0.0.255
access-list 4 remark Permitindo o Host 192.168.1.10 para acessar a VTY
access-list 4 permit host 192.168.1.10
access-list 4 remark Permitindo o Host 192.168.3.1 para acessar a VTY
access-list 4 permit host 192.168.3.1
access-list 4 remark Negando todos os Hosts e Redes de acessar a VTY
access-list 4 deny any
access-list 5 remark Negando a Rede Sem-Fio Wi-Fi de acessar a Rede do Servidor
access-list 5 deny 192.168.50.0 0.0.0.255
access-list 5 remark Permitindo todas as Redes de acessar a Rede do Servidor
access-list 5 permit any
!Configurando a Line VTY para permitir o acesso e negar a saída da VTY
line vty 0 4
!Configurando a Classe de Filtro de Acesso da ACL de Entrada e Saída na Line VTY
access-class 4 in
exit
!Configurando a Sub-Interface da VLAN 100 para negar o acesso a Rede Sem-Fio Wi-Fi
interface gigabitEthernet 0/0.100
!Configurando o Grupo de Acesso da ACL Padrão na Interface
!DICA: essa opção controla o Fluxo de Acesso da ACL na Interface
!OBSERVAÇÃO: igual as Lines VTY temos as opções de Entrada (in - inbound) e Saída (out -
!outbound) dos pacotes na Interface
ip access-group 5 out
end
write
!Visualizando as configurações da memória RAM
show running-config | section access-list
show running-config | section line vty
!Visualizando informações das ACLs Padrão
show access-list
show ip interface gigabitEthernet 0/0.100