Access control lists (acls) estendidas
Estendidas Access Control Lists (ACLs) permitem que você permitir ou negar tráfego de endereços IP específicos para um endereço IP de destino específico e porto. Ele também permite que você especifique diferentes tipos de tráfego, como ICMP, TCP, UDP, etc. Escusado será dizer, é muito granular e permite que você seja muito específico.
Se você pretende criar um firewall de filtragem de pacotes para proteger sua rede é uma ACL estendida que você vai precisar para criar.
O exemplo que irá ser utilizado, inclui um router que está ligado ao segmento 192.168.8.0/24 sobre uma interface interna (FastEthernet 0/0) Utilizando o endereço 192.168.8.1/24, e para o segmento 10.0.2.0/24 sobre uma interface externa (FastEthernet 0/1) Utilizando o endereço 10.0.2.1/24.
Neste caso, você iria gerenciar a rede 192.168.8.0/24 e algum grupo desconhecido e não confiável gerencia o resto da rede, como mostrado. Nesta rede, você deseja permitir que os usuários acessem apenas servidores web fora da rede. A fim de apoiar isso, você precisa criar duas ACLs, 101 e 102.
Você usa access-list 101 para gerir o tráfego de sair do escritório e access-list 102 para gerenciar o tráfego proveniente da rede não confiável para o escritório.
Criando ACL 101
Router1gt;habilitarPassword: # configure comandos de configuração terminalEnter ROUTER1, um por linha. Terminar com / Z.Router1 (config) access-list CNTL # 101 observação Esta ACL é controlar o roteador de saída traffic.Router1 (config) # access-list 101 permitir tcp 192.168.8.0 0.0.0.255 qualquer eq 80Router1 (config) # access-list 101 permitir tcp 192.168.8.0 0.0.0.255 qualquer eq 443Router1 (config) #fim
Criando ACL 102
Router1gt;habilitarPassword: # configure comandos de configuração terminalEnter ROUTER1, um por linha. Terminar com access-list CNTL / Z.Router1 (config) # 102 observação Esta ACL é controlar o router de entrada traffic.Router1 (config) # access-list 102 permitir tcp qualquer 192.168.8.0 0.0.0.255 establishedRouter1 (config) #fim
Se você examinar ACL 101, a repartição do formato do comando é a seguinte:
A ACL é o número 101
Ele permite que o tráfego
Ele permite que o tráfego TCP
A fonte que é permitido a partir de é definida por uma máscara 192.168.8.0 com carácter universal de 0.0.0.255
O host de destino é qualquer hospedeiro
O tráfego TCP que é permitido é na porta 80
A segunda linha é o mesmo, mas permite que o tráfego na porta TCP 443
Se você fazer o mesmo exame da segunda ACL, ACL 102, você deve acabar com o seguinte:
A ACL é o número 102
Ele permite que o tráfego
Ele permite que o tráfego TCP
A fonte que é permitida a partir é qualquer hospedeiro
O host de destino é definida por 192.168.8.0 com uma máscara curinga de 0.0.0.255
O tráfego TCP que é permitido qualquer tráfego em uma sessão estabelecida
O último item na ACL 102 é algo para olhar um pouco mais. Na ilustração a seguir, um computador cliente na rede 192.168.8.0/24 criou uma sessão TCP com um servidor remoto. Esta sessão TCP tinha um processo de handshaking que estabeleceu que as portas estavam indo para ser usado, que era um porto escolhido aleatoriamente no cliente e porta 80 no servidor.
A porta que é usada na ACE é dependente do endereço de destino, e, neste caso, a porta de destino é uma porta escolhidos aleatoriamente no cliente. Em vez de especificar que todos os portos possível é aberto, o que não seria seguro, a opção é dizer que qualquer sessão estabelecida no cliente é permitido. Portanto, se o cliente abre a conexão, essa ACL permitirá que o tráfego para voltar.