Access control lists (acls) estendidas

Estendidas Access Control Lists (ACLs) permitem que você permitir ou negar tráfego de endereços IP específicos para um endereço IP de destino específico e porto. Ele também permite que você especifique diferentes tipos de tráfego, como ICMP, TCP, UDP, etc. Escusado será dizer, é muito granular e permite que você seja muito específico.

Se você pretende criar um firewall de filtragem de pacotes para proteger sua rede é uma ACL estendida que você vai precisar para criar.

O exemplo que irá ser utilizado, inclui um router que está ligado ao segmento 192.168.8.0/24 sobre uma interface interna (FastEthernet 0/0) Utilizando o endereço 192.168.8.1/24, e para o segmento 10.0.2.0/24 sobre uma interface externa (FastEthernet 0/1) Utilizando o endereço 10.0.2.1/24.

Neste caso, você iria gerenciar a rede 192.168.8.0/24 e algum grupo desconhecido e não confiável gerencia o resto da rede, como mostrado. Nesta rede, você deseja permitir que os usuários acessem apenas servidores web fora da rede. A fim de apoiar isso, você precisa criar duas ACLs, 101 e 102.

Você usa access-list 101 para gerir o tráfego de sair do escritório e access-list 102 para gerenciar o tráfego proveniente da rede não confiável para o escritório.

Criando ACL 101

Router1gt;habilitarPassword: # configure comandos de configuração terminalEnter ROUTER1, um por linha. Terminar com / Z.Router1 (config) access-list CNTL # 101 observação Esta ACL é controlar o roteador de saída traffic.Router1 (config) # access-list 101 permitir tcp 192.168.8.0 0.0.0.255 qualquer eq 80Router1 (config) # access-list 101 permitir tcp 192.168.8.0 0.0.0.255 qualquer eq 443Router1 (config) #fim

Criando ACL 102

Router1gt;habilitarPassword: # configure comandos de configuração terminalEnter ROUTER1, um por linha. Terminar com access-list CNTL / Z.Router1 (config) # 102 observação Esta ACL é controlar o router de entrada traffic.Router1 (config) # access-list 102 permitir tcp qualquer 192.168.8.0 0.0.0.255 establishedRouter1 (config) #fim

Se você examinar ACL 101, a repartição do formato do comando é a seguinte:

  • A ACL é o número 101

  • Ele permite que o tráfego

  • Ele permite que o tráfego TCP



  • A fonte que é permitido a partir de é definida por uma máscara 192.168.8.0 com carácter universal de 0.0.0.255

  • O host de destino é qualquer hospedeiro

  • O tráfego TCP que é permitido é na porta 80

  • A segunda linha é o mesmo, mas permite que o tráfego na porta TCP 443

Se você fazer o mesmo exame da segunda ACL, ACL 102, você deve acabar com o seguinte:

  • A ACL é o número 102

  • Ele permite que o tráfego

  • Ele permite que o tráfego TCP

  • A fonte que é permitida a partir é qualquer hospedeiro

  • O host de destino é definida por 192.168.8.0 com uma máscara curinga de 0.0.0.255

  • O tráfego TCP que é permitido qualquer tráfego em uma sessão estabelecida

O último item na ACL 102 é algo para olhar um pouco mais. Na ilustração a seguir, um computador cliente na rede 192.168.8.0/24 criou uma sessão TCP com um servidor remoto. Esta sessão TCP tinha um processo de handshaking que estabeleceu que as portas estavam indo para ser usado, que era um porto escolhido aleatoriamente no cliente e porta 80 no servidor.

A porta que é usada na ACE é dependente do endereço de destino, e, neste caso, a porta de destino é uma porta escolhidos aleatoriamente no cliente. Em vez de especificar que todos os portos possível é aberto, o que não seria seguro, a opção é dizer que qualquer sessão estabelecida no cliente é permitido. Portanto, se o cliente abre a conexão, essa ACL permitirá que o tráfego para voltar.


Publicações relacionadas
Configurando as interfaces para o exame de certificação ccent
Configurando serviços de rede para o exame de certificação ccent
Adicionando comentários a uma lista de controle de acesso (acl)
Backups de configuração cisco e arquivamento
Edição de configuração exclusivo cisco
Cisco networking: modo de configuração global
Criação de listas de controle de acesso padrão (acls)
Ip utilização de endereçamento helper
Manter o controle de ids roteador
Configuração de encaminhamento multicast
Firewalls de rede: ingresso e egresso de filtragem
Coleta de log de rede e monitoramento
Capacitação roteador de rede
Secure shell de gerenciamento de conta de usuário (ssh)
Configurando o tempo limite dispositivo cisco
Lista de controle de acesso padrão (acl) modificação
Usando listas de controle de acesso (acls) como uma ferramenta de detecção de vírus
Criando uma vlan para redes cisco
Como configurar uma rede cisco
Gerenciando o roteamento estático para redes cisco