Olá Caros,

  Conforme nosso último post, vamos continuar explicando sobre ACLs. Desta forma quando um pacote chega a uma interface do roteador, o processo do roteador é o mesmo, independentemente das ACLs serem utilizadas ou não. À medida que um quadro entra em uma interface, o roteador verifica se o destino do endereço da Camada 2 de destino corresponde ao seu ou se o quadro é de broadcast. 

  Se o endereço do quadro for aceito, as informações do quadro serão removidas e o roteador verificará se há uma ACL na interface de entrada. Se houver uma ACL, o pacote agora será testado em relação às instruções na lista.

  Se o pacote corresponder a uma instrução, ele será aceito ou rejeitado. Se for aceito na interface, o pacote será verificado em relação às entradas da tabela de roteamento para determinar a interface de destino e comutado para essa interface. Em seguida, o roteador verifica se a interface de destino tem uma ACL. Se houver uma ACL, o pacote será testado em relação às instruções na lista. Se corresponder a uma instrução, o pacote será aceito ou rejeitado. Se não houver nenhuma ACL ou o pacote for aceito, o pacote será encapsulado no novo protocolo da Camada 2 e encaminhado pela interface para o próximo dispositivo.

  Devemos lembrar que toda ACL criada sempre irá ter um ” deny ” implicito na sua última linha de instrução da ACL, portanto devemos sempre tomar cuidado no momento de aplicar uma ACL em ambientes de produção, pois podemos bloquear todo o tráfego se não lembrarmos do deny implícito.

  Nós temos dois tipos de ACLs Cisco:

Padrão = permitir ou negar tráfego de endereços IP de origem. O destino do pacote e as portas envolvidas não importam. O exemplo permite todo o tráfego da rede 192.168.30.0/24. Por conta do ” deny all ” implícito ao final, todo os demais tráfegos são bloqueados com essa ACL. As ACLs padrão são criadas no modo de configuração global.

access-list 10 permit 192.168.30.0 0.0.0.255

Estendida = filtram pacotes IP com base em vários atributos, por exemplo, tipo de protocolo, endereço IP de origem, endereço IP de destino, portas TCP e UDP de origem, portas TCP e UDP de destino e informações do tipo de protocolo opcionais para maior granularidade de controle. No exemplo a ACL 103 permite tráfego com origem em qualquer endereço na rede 192.168.30.0/24 para qualquer host de destino na porta 80 (HTTP). As ACLs estendidas são criadas no modo de configuração global. 

access-list 103 permit tcp 102.168.30.0 0.0.0.255 any eq 80

   Dentro dessa caracteristíca podemos ter as ACLs nomeadas e ACLs numeradas. Segue as características:

Numerada = Você atribui um número com base no protocolo que você deseja filtrar:

• (1 a 99) e (1300 a 1999): ACL IP padrão
• (100 a 199) e (2000 a 2699): ACL IP estendida

Nomeada = Você atribui um nome, fornecendo o nome da ACL

• Os nomes podem conter caracteres alfanuméricos.
• Sugere-se que o nome seja escrito em LETRAS MAIÚSCULAS.
• Os nomes não podem conter espaços ou pontuação, devendo começar por uma letra.
• Você pode adicionar ou excluir entradas dentro da ACL.

  Neste contexto podemos nos perguntar, onde devo colocar o ACL e qual tipo devo utilizar?

  Toda ACL deve ser colocada onde tenha o maior impacto em termos de eficiência, ou seja,  as regras básicas que devemos assumir é:

• Coloque as ACLs estendidas mais próximas da origem do tráfego negado. Dessa forma, o tráfego indesejável é filtrado sem atravessar a infraestrutura de rede.
• Como as ACLs padrão não especificam endereços de destino, coloque-as o mais próximo possível do destino.

  Na foto acima posso aplicar uma ACL estendida no router A para evitar que o tráfego de entrada no roteador seja trafego por toda a extensão da rede até sua chegada no destino, ou seja, evitando utilização de banda sabendo que esse tráfego vai ser bloqueado para alcançar seu destino. E podemos aplicar uma ACL padrão no router C, pois somente temos os endereços de origem para serem bloqueados.

  Espero que tenham gostado e no próximo capítulo vou explicar um pouco sobre a máscara coringa que utilizamos nas ACLs . 

Abs,
Rodrigo