Olá Caros,
Conforme nosso último post, vamos continuar explicando sobre ACLs. Desta forma quando um pacote chega a uma interface do roteador, o processo do roteador é o mesmo, independentemente das ACLs serem utilizadas ou não. À medida que um quadro entra em uma interface, o roteador verifica se o destino do endereço da Camada 2 de destino corresponde ao seu ou se o quadro é de broadcast.
Se o endereço do quadro for aceito, as informações do quadro serão removidas e o roteador verificará se há uma ACL na interface de entrada. Se houver uma ACL, o pacote agora será testado em relação às instruções na lista.
Se o pacote corresponder a uma instrução, ele será aceito ou rejeitado. Se for aceito na interface, o pacote será verificado em relação às entradas da tabela de roteamento para determinar a interface de destino e comutado para essa interface. Em seguida, o roteador verifica se a interface de destino tem uma ACL. Se houver uma ACL, o pacote será testado em relação às instruções na lista. Se corresponder a uma instrução, o pacote será aceito ou rejeitado. Se não houver nenhuma ACL ou o pacote for aceito, o pacote será encapsulado no novo protocolo da Camada 2 e encaminhado pela interface para o próximo dispositivo.
Devemos lembrar que toda ACL criada sempre irá ter um ” deny ” implicito na sua última linha de instrução da ACL, portanto devemos sempre tomar cuidado no momento de aplicar uma ACL em ambientes de produção, pois podemos bloquear todo o tráfego se não lembrarmos do deny implícito.
Nós temos dois tipos de ACLs Cisco:
Padrão = permitir ou negar tráfego de endereços IP de origem. O destino do pacote e as portas envolvidas não importam. O exemplo permite todo o tráfego da rede 192.168.30.0/24. Por conta do ” deny all ” implícito ao final, todo os demais tráfegos são bloqueados com essa ACL. As ACLs padrão são criadas no modo de configuração global.
access-list 10 permit 192.168.30.0 0.0.0.255
Estendida = filtram pacotes IP com base em vários atributos, por exemplo, tipo de protocolo, endereço IP de origem, endereço IP de destino, portas TCP e UDP de origem, portas TCP e UDP de destino e informações do tipo de protocolo opcionais para maior granularidade de controle. No exemplo a ACL 103 permite tráfego com origem em qualquer endereço na rede 192.168.30.0/24 para qualquer host de destino na porta 80 (HTTP). As ACLs estendidas são criadas no modo de configuração global.
access-list 103 permit tcp 102.168.30.0 0.0.0.255 any eq 80
Dentro dessa caracteristíca podemos ter as ACLs nomeadas e ACLs numeradas. Segue as características:
Numerada = Você atribui um número com base no protocolo que você deseja filtrar:
- (1 a 99) e (1300 a 1999): ACL IP padrão
- (100 a 199) e (2000 a 2699): ACL IP estendida
Nomeada = Você atribui um nome, fornecendo o nome da ACL
- Os nomes podem conter caracteres alfanuméricos.
- Sugere-se que o nome seja escrito em LETRAS MAIÚSCULAS.
- Os nomes não podem conter espaços ou pontuação, devendo começar por uma letra.
- Você pode adicionar ou excluir entradas dentro da ACL.
Neste contexto podemos nos perguntar, onde devo colocar o ACL e qual tipo devo utilizar?
Toda ACL deve ser colocada onde tenha o maior impacto em termos de eficiência, ou seja, as regras básicas que devemos assumir é:
- Coloque as ACLs estendidas mais próximas da origem do tráfego negado. Dessa forma, o tráfego indesejável é filtrado sem atravessar a infraestrutura de rede.
- Como as ACLs padrão não especificam endereços de destino, coloque-as o mais próximo possível do destino.
Na foto acima posso aplicar uma ACL estendida no router A para evitar que o tráfego de entrada no roteador seja trafego por toda a extensão da rede até sua chegada no destino, ou seja, evitando utilização de banda sabendo que esse tráfego vai ser bloqueado para alcançar seu destino. E podemos aplicar uma ACL padrão no router C, pois somente temos os endereços de origem para serem bloqueados.
Espero que tenham gostado e no próximo capítulo vou explicar um pouco sobre a máscara coringa que utilizamos nas ACLs .
Abs,
Rodrigo
2 comentários
Rodrigo, excelente matéria,muito didática.Só uma dúvida:pretende fazer uma video aula sobre o assunto?Abs, e obrigado !
Olá Marcelo, sim pretendo fazer a vídeo aula explicando com mais detalhes e aplicações sobre a ACL. Estou organizando o tempo para fazer essa aula. Mas logo logo ela vai sair.
Obrigado.