21
10
2007
Tutorial básico - ACLs para o exame CCNA
Postado por: Marco Filippetti em Tutoriais, Exame CCNA -
Imprima este post
Content is restricted to site members. Site membership is free, register below. If you are an existing user, please login.
Popularity: 37% [?]
Leia também:
- Questão CCNA - Access-List
- Dynagen - Tutorial básico
- Tutorial sobre o exame CCNA, apresentado pela própria Cisco
- 2 - Perguntas Básicas, Respostas Básicas - TCP/IP
- 4 - Perguntas Básicas, Respostas Básicas - ROTEAMENTO
- Tutorial VLSM (Variable Lenght Subnet Masks)
- Segurança Básica do seu Router em 10 Passos
- Ritual de preparação para o exame CCNA
- IP subnet-zero no exame CCNA
- 1 - Perguntas Básicas, Respostas Básicas - INTERNETWORKING
- Lista de Controle de Acesso criadas facilmente - Parte 4
- 3 - Perguntas Básicas, Respostas Básicas - GERENCIAMENTO DE REDE
- Roteamento por políticas - Policy-based Routing
- Material para o NOVO exame CCNA
- Lista de Controle de Acesso criadas facilmente - Parte 1
21 de October de 2007 às 11:50 pm
Oi Marco, tinha uma série de dúvidas sobre ACLs! Cara, posso dizer que sanei todas! OBRIGADO!
22 de October de 2007 às 12:17 am
Ola Marco uma observação somente.
Vc citou:
“ACLs padrão inspecionam apenas o endereço de destino no cabeçalho IP”
Mas você tratou o primeiro diagrama usando o IP 192.168.0.100 que é endereço de origem de forma correta, visto que, ACLs padrão analizam o endereço de origem e não o de destino como você mencionou.
22 de October de 2007 às 5:20 am
Falha minha Cleber, vc está certo! Já corrigi o texto! Obrigado rapaz!!!
Abs!
Marco.
23 de October de 2007 às 7:47 am
Parabéns pelo tutorial muito esclarecedor.
Aproveitando o momento gostaria de expor uma dúvida, talvez seja de mais alguém. Quando ao uso do NAT, temos o estático, dinâmico, e o overload (PAT), minha dúvida de trata do mapeamento para o acesso de fora para dentro quando um host da internet precisa acessar um Servidor Web por exemplo dentro da minha rede. Como funciona esse processo????
Desde já obrigado pela iniciativa.
23 de October de 2007 às 4:06 pm
Marco Boa Tarde!
Recentemente tirei minha certificação CCNA. Durante todo meu estudo o topico referente a ACLs dizem que toda acl criada deve ser atribuida a uma interface e que de nada adianta criar um acl sem atribuir a uma interface. Porém trabalho no gerenciamento de rede de um grande banco com roteadores CISCO e nas configurações dos roteadores de la existem um padrão com diversas acl que não são atribuidas a nenhuma interface, ao questionar nosso suporte n2 fui informado que um acl não atribuida a nenhuma interface com o comando ip access-group automaticamente o router atribui a todas as interfaces oque estaria contra a teoria contida no material de estudo incluse o seu livro.
Você poderia verificar se essa configuração realmente e pertinente ou seria um bug da IOS ?
Desde ja agradeço a atenção na certeza de um retorno!
Att
Fernando
23 de October de 2007 às 5:44 pm
Olá Fernando,
Não sei quem lhe disse tamanha barbaridade, mas esta redondamente enganado
!!!
O que deve ocorrer, no seu caso, é que a ACL em questão não está sendo usada para controle de acesso, mas para controles mais complexos, como distribuição de rotas, QoS, ou algo assim. Verifique isso. E não existe tal coisa como “ACL, se não for aplicada à uma interface, automaticamente é aplicada à todas”. Se eu fosse o chefe de quem te disse isso, eu demitiria este analista sem dó.
A regra é: Não sabe? Não fale.
Abs e desculpe a franqueza, mas é que essa doeu demais para alguém que deveria ser o segundo nível do suporte. Imagino o nível do primeiro nível
Marco.
23 de October de 2007 às 9:02 pm
Uma dúvida, no 2º exemplo:
Router(config)# int e0
Router(config-if)# ip access-group 100 out
não era melhor se fosse assim:
Router(config)# int e0
Router(config-if)# ip access-group 100 in
————————————————–
bloqueando todo o tráfego que entrasse na interface e0, com isso nem sobrecarregaria a interface, pois já bloqueava os pacotes na entrada.
?????? estou fazendo essa pergunta, pois sempre fico confuso qndo devo aplicar IN ou OuT, sempre pensando diferente do que deve ser feito. no aguardo
23 de October de 2007 às 10:12 pm
Daniel,
Se você aplicasse a ACL na interface E0 neste sentido (IN), estaria permitindo todo o tráfego. O tráfego, neste caso, seria analisado apenas no sentido de retorno (do servidor para os hosts), e lembre-se que, no retorno, o IP de origem é o do servidor e o de destino, o dos hosts. Ou seja, não haveria nenhum “match” em nossa ACL e todo o tráfego seria permitido pela linha “permit ip any any”.
Este, aliás, é um excelente exemplo da importância do sentido na aplicação de ACLs. Entendeu?
Abs,
Marco
20 de November de 2007 às 2:18 pm
Boa tarde!
Primeiramente parabéns pela matéria.
Gostaria de saber como devo efetuar uma configuração de ACL para não permitir o acesso da RFC 1918.
Att,
Eliseide
20 de November de 2007 às 6:31 pm
Eliseide, a ACL poderia ser escrita assim:
access-list 100 deny ip 10.0.0.0 0.255.255.255 any
access-list 100 deny ip 172.16.0.0 0.15.255.255 any
access-list 100 deny ip 192.168.0.0 0.0.255.255 any
access-list 100 permit ip any any
O local (router e interface) e direção (in ou out) de aplicação desta ACL depende de sua rede. O comando para aplica-la seria:
ip access-group 100 [in/out]
Abs!
Marco.
22 de November de 2007 às 1:45 pm
Boa tarde pessoal.
Talves nao tenha prestado muita atenção em algum detalhe, mas no seu segundo exemplo, ao criar a ACL extendida, foram usadas 3 linhas:
Router(config)# access-list 100 deny tcp host 192.168.0.100 host 192.168.100.100 eq 110
Router(config)# access-list 100 deny tcp host 192.168.10.100 host 192.168.100.100 eq 80
Router(config)# access-list 100 permit ip any any
Mas as três linhas com o mesmo nº de ACL (100).
Isso nao iria “sobrepor” o conteudo anterior?
Ou ACL’s extendidas permitem “adicionar” mais informações posteriormente.
Obrigado.
22 de November de 2007 às 2:30 pm
Vagner, acho que não entendi sua pergunta. Poderia elabora-la melhor?
Abs!
Marco.
26 de November de 2007 às 10:31 am
Eu imaginava (erroneamente) que ao colocar uma outra ACL com o mesmo nº iria sobrepor o valor da primeira.
Assim, ao colocar essa acl…
Router(config)# access-list 100 deny tcp host 192.168.0.100 host 192.168.100.100 eq 110
E em seguida adicionar esta…
Router(config)# access-list 100 deny tcp host 192.168.10.100 host 192.168.100.100 eq 80
O roteador “entenderia” somente a segunda. Estava pensando que seria necessário colocar tudo apenas em uma linha.
Att,
Vagner.
2 de January de 2008 às 8:30 pm
Boa noite, parabéns pela materia, lendo ficou parecendo muito fácil…antes fosse
O Sr. leciona em alguma escola???
Muito obrigado!!!!
2 de June de 2008 às 10:45 am
Boa tarde, eu to a tirar o ccna e to a fazer um trabalho sobre as acl’s e queria saber uma coisa, no exemplo que voces dão em cima de bloquear a informação do A para o B eu tenho uma duvida, é saber se o B consegue fazer ping ao A.
6 de June de 2008 às 12:55 am
Zé, o ping não seria permitido não pois a ACL padrão não distingue o protocolo usado (TCP ou UDP), no exemplo acima tudo seria bloqueado do host A para o B.
Abraços, Rafael Venancio
6 de June de 2008 às 11:33 am
Muito Obrigado pela resposta!! Outra coisa é possível bloquear o ping do A pro B e permitir do B pro A? Eu azo que isso não é possível porque o ping usa o icmp, e o icmp funciona da seguinte maneira, o Y quer quer fazer ping para o X, entao o icmp manda mensagem para X para depois o X mandar para Y certo? Então se eu bloqueio o tráfego do A para o B logo o B não consegue fazer ping para o A certo? Eu queria saber se a “minha” teoria ta certa!
30 de June de 2008 às 5:01 pm
Adorei o forum, eu ja tinha ouvido falar de voce, por um amigo aqui que trabalhou na EDS., vou comprar o livro e tirar a certificaçao.
Abracos
Airton
28 de July de 2008 às 1:28 pm
Boa tarde Filippetti.
Em primeito lugar gostaria de parabenizar este trabalho (blog) que ajuda em muito a nós iniciantes em roteadores/switches.
Achei muito leal sua explicação sobre ACL para o EXAME CCNA, mas tenho uma dúvida com relação as ACLs que acabei lendo em um TESTKING e não entendi como criar uma acl que tenha esta descrição (Since we are using source and destination IP address information, an extended access list is required). Se não for pedir muito, você poderia tirar esta minha dúvida e se possível utlizando um modelelo de ACL(Padrão/Extendido))?
Agradeço desde já e fico no aguardo!
Abraço.
Joel Pedro.
3 de September de 2008 às 5:04 pm
Boa Tarde
Esse tutorial de acls esta muito bom, tirei minhas duvidas referente a aplicação das Acls nas interfaces.
Parabens Marco.
Abraço
Leonardo TNS
28 de July de 2009 às 3:38 pm
Olá Filipetti,
Excelente tutorial!
Simples e completo.
28 de July de 2009 às 4:34 pm
Fluke, naõ sei se você já viu, mas vale a pena conferir a VClass sobre ACL que o Marco disponibilizou a pouco tempo aqui no Blog.. Tanto este tuto quanto a VClass, estão excelentes!!!
Link: http://blog.ccna.com.br/2009/06/03/gravacao-da-vclass-de-acl-para-o-exame-ccna/
Abraços,
Felipe Ferrugem!
“Juntos somos ainda melhores!!!”
20 de August de 2009 às 2:35 pm
mandô bem no post Marco…
sobre o cálculo do wildcard…parece que essa é, de longe, a forma mais fácil e rápida:
“Onde for diferente de “0″ e “255″, faça o cálculo “255-x”, onde “x” é o valor diferente.”
se alguém souber de outra forma, tão fácil quanto…postaeee !!
abraços!