«

»

out 21 2007

Tutorial básico – ACLs para o exame CCNA

Afinal, o que significa a sigla ACL??? Access Control Lists ou, em bom Português: listas de controle de acesso. OK… mas acesso de quem???

Acesso de pacotes IP, basicamente. Mas como pacotes IP transportam qualquer tipo de informação em uma rede, as ACLs controlam o acesso de TUDO e de TODOS! Quando você tenta acessar um router via Telnet, por exemplo, este acesso nada mais é do que uma série de pacotes IP, certo? Routers (e switches que suportem ACLs) podem permitir ou negar que determinados pacotes o atravessem.

Existem apenas 2 parâmetros quando configuramos uma ACL: PERMIT ou DENY.

Estes parâmetros são seguidos das definições DO QUE se deve permitir (PERMIT) ou negar (DENY). Estas, basicamente, são as opções:

  • ANY (tudo)
  • HOST [IP do host]
  • [subrede + wildcard]
  • [protocolo]

Ou seja, podemos especificar desde 1 único host até um determinado protocolo, ou mesmo… TUDO!

Quando se trata de ACLs, os equipamentos Cisco trabalham com o conceito de negar tudo e permitir somente o que lhes for informado. Ou seja, TODA ACL criada em um roteador Cisco termina com um DENY ANY implícito, negando TUDO, à todos. Por este motivo, é preciso ter muito cuidado com a aplicação de uma ACL, pois se ela for mal planejada poderá isolar uma (ou várias) redes de uma só vez, inclusive impedindo o acesso ao router via Telnet, o que o impedirá de reverter a situação.

Uma lista de acesso criada em um equipamento, por si só, não tem efeito algum. Para funcionar, uma ACL precisa ser aplicada. Normalmente aplicamos ACLs à interfaces, mas ACLs podem ser usadas em muitos outros contextos. Por exemplo, para controlar o anúncio de rotas. Mas isso não é assunto para o CCNA.

Para o exame CCNA, apenas 2 tipos de ACL são cobrados: ACL Padrão (standard) e ACL estendida (extended). Existe também a variação, a ACL nomeada, que ao invés de números usa nomes para identifica-la.

ACLs padrão numeradas são identificadas pelo intervalo que vai de 1 à 99. Já as estendidas numeradas são identificadas pelo intervalo que vai de 100 à 199. As nomeadas são definidas pela sintaxe. A diferença básica entre os 2 tipos de ACL é o grau de inspeção do pacote IP, antes de permitir ou negar seu acesso.

ACLs padrão inspecionam apenas o endereço de origem no cabeçalho IP. Por este motivo, devem ser aplicadas sempre o mais próximo do destino possível. ACLs estendidas inspecionam o endereço IP de destino, o endereço IP de origem do pacote IP, além de inspecionar o cabeçalho de segmentos encapsulados no pacote IP. Lembrem-se que o pacote IP encapsula o segmento da camada superior (Transporte, no caso). Este segmentos podem ser UDP ou TCP. ACLs estendidas observam os cabeçalhos destes segmentos para identificar protocolos e aplicações de camadas superiores. Isso é possível pois a camada de Transporte estabelece uma comunicação lógica com a camada de Aplicação por meio das “portas lógicas”. O HTTP, por exemplo, utiliza a porta lógica 80 para esta comunicação. Portanto, sabendo-se o valor desta porta, pode-se manipular o acesso à determinadas aplicações por meio de ACLs, permitindo ou negando fluxos originados ou destinados à aplicações específicas.

Bom tendo-se em mente esta pequena introdução, vamos à configuração de ACLs.

A sintaxe do comando para ACLs numeradas padrão seria:

Router(config)# access-list [1-99] [permit/deny] [any/host {IP} (origem)] [endereço IP / subrede]

Para ACLs estendidas numeradas, teríamos:

Router(config)# access-list [100-199] [permit/deny] [protocolo] [any/host {IP} (origem)] [endereço IP / subrede] [any/host {IP} (destino)] [endereço IP / subrede] [parâmetros adicionais]

Para ACLs nomeadas, o processo não muda, apenas eliminamos o número e substituímos pelo nome escolhido e tipo de ACL:

Router(config)# ip access-list standard [nome da ACL]
Router(config-std-nacl)# [permit/deny] [any/host {IP} (origem)] [endereço IP / subrede]

Router(config)# ip access-list extended [nome da ACL]
Router(config-ext-nacl)# [permit/deny] [protocolo] [any/host {IP} (origem)] [endereço IP / subrede] [any/host {IP} (destino)] [endereço IP / subrede] [parâmetros adicionais]

Estes então seriam os comandos para se criar uma ACL. E quanto à aplicação de uma ACL?

A regra básica diz que somente UMA ACL pode ser aplicada em uma mesma interface e direção, em um determinado router (ou switch). Ou seja, em uma mesma interface você até pode ter mais de uma ACL, desde que em sentidos opostos. Os sentidos possíveis são ilustrados no diagrama abaixo.

(IN) entrante —–> ROUTER ——> sainte (OUT)

O sentido em que uma ACL é aplicada determina qual o sentido do fluxo que deve ser examinado pelo router. Por este motivo, antes de aplicar uma ACL é necessário ter bem claro qual o efeito desejado.

Alguns pontos que devemos saber ANTES de sair criando e aplicando ACLs:

  • A análise pelo roteador da ACL aplicada ocorre sempre de forma sequencial, de cima para baixo (top-down). Ou seja, as regras colocadas antes serão analisadas antes.
  • Uma vez que a regra testada resulte em positivo, nenhuma outra regra será analisada. Ou seja, se sua ACL tem 100 linhas, porém se o roteador ao comparar um pacote com as regras de sua ACL já der a primeira regra como positiva, nenhuma das outras 99 linhas será examinada e a ação definida (PERMIT ou DENY) será tomada. PORTANTO, lembre-se de sempre colocar as regras mais específicas ANTES, e as mais genéricas DEPOIS. Do contrário, as regras genéricas acabarão anulando as regras mais específicas.
  • Lembre-se que, SEMPRE ao final de uma ACL existe uma regra DENY ANY escondida. Ou seja, se você criar uma ACL contendo apenas DENYs, sua ACL terá o mesmo efeito de dar um SHUT DOWN na interface onde ela for aplicada.
  • Atenção para o sentido de aplicação da ACL!!!
  • Faça sempre que possível um teste de mesa ANTES de aplicar uma ACL, para ter certeza que a mesma possui a lógica imaginada, e que irá funcionar de acordo.
  • Nunca remova uma ACL que encontra-se aplicada à uma interface! Primeiro desaplique a ACL, DEPOIS remova-a. Acho que não preciso explicar o porquê disso, certo??? 😉

Em teoria, para o exame CCNA, é basicamente isso. Vamos ver 2 pequenos exemplos práticos, para ilustrar o que vimos aqui.

1) ACL standard

Suponha o diagrama acima.

O usuário A não deve ter acesso à rede onde se encontra o computador do usuário B, porém, deve seguir tendo acesso ao servidor de WEB e E-mail. Dados os requisitos, vamos montar a ACL. Como o objetivo aqui é apenas barrar o acesso de um host a um determinado recurso, podemos fazer isso com uma ACL padrão:

Router(config)# access-list 10 deny host 192.168.0.100

Simples, não? Mas… será que acabou? Olhe BEM a ACL criada… o que aconteceria se aplicássemos ela no router, em qualquer sentido e em qualquer interface??? Ela bloquearia TODO O TRÁFEGO, e não apenas o tráfego originado pelo IP 192.168.0.100…! Por que??? Lembra-se do DENY ANY implícito? Olha ele aqui, em vermelho:

Router(config)# access-list 10 deny host 192.168.0.100
Router(config)# access-list 10 deny any

Você não configurou isso, não é mesmo??? Você não pode vê-lo, mas ele está lá… simplesmente acredite 😉

Portanto, devemos incluir a seguinte linha (em verde) em nossa ACL:

Router(config)# access-list 10 deny host 192.168.0.100
Router(config)# access-list 10 permit any

Ou seja, pacotes IP que tenham em seu cabeçalho o endereço de origem 192.168.0.100 serão imediatamente negados. TODOS os outros, serão permitidos.

Agora… onde aplicar esta ACL? Ela, por si só, não faz nada!

Vamos analisar o diagrama. Devemos aplicar uma ACL standard sempre o mais próximo possível do destino. Isso seria a interface E2, no diagrama. Por que não na E0 ou na E1? Pegue a E1, por exemplo. Se aplicássemos a ACL nela bloquearíamos o tráfego com destino ao servidor também. E não é isso que queremos, certo? Eis o porquê.

Agora, em qual sentido devo aplicar? Sainte (OUT) ou entrante (IN)? A análise deve ser feita na interface E2, na direção de saída do router, OUT portanto.

Eis a config completa:

Criar a ACL:

Router(config)# access-list 10 deny host 192.168.0.100
Router(config)# access-list 10 permit any

Aplicar a ACL:

Router(config)# int e2
Router(config-if)# ip access-group 10 out

E se fosse standard nomeada, eis os comandos:

Criar a ACL:

Router(config)# ip access-list standard NOMEDAACL
Router(config-std-nacl)# deny host 192.168.0.100
Router(config-std-nacl)# permit any

Aplicar a ACL:

Router(config)# int e2
Router(config-if)# ip access-group NOMEDAACL out

2) ACL Extended

Suponha o mesmo diagrama que usamos anteriormente, replicado acima para facilitar a nossa vida 😉

O objetivo agora é permitir ao usuário A o acesso a somente o serviço WEB no servidor, e ao usuário B o acesso a somente o serviço de E-mail, no mesmo servidor. Para aumentar o desafio, temos que fazer isso usando apenas 1 ACL, e usando APENAS 3 LINHAS!

Bom, a coisa agora complicou um pouquinho, não é verdade? Teremos que usar IP de origem (hosts) e destino (servidor), além de especificar protocolos e aplicações. Temos de usar uma ACL estendida, portanto. Vamos começar montando nossa ACL.

Router(config)# access-list 100 deny tcp host 192.168.0.100 host 192.168.100.100 eq 110
Router(config)# access-list 100 deny tcp host 192.168.10.100 host 192.168.100.100 eq 80
Router(config)# access-list 100 permit ip any any

Vamos analisar o que fizemos aqui…

Primeiro negamos o acesso do host A (192.168.0.100) ao servidor (191.168.100.100), mas somente ao serviço de E-mail (POP3 = porta TCP 110). Como o serviço de E-mail (POP3) usa o TCP na camada de transporte, este foi o protocolo escolhido logo no início da ACL.

Na sequência, fizemos algo semelhante para o host B (192.168.10.100). Porém, negamos o acesso ao serviço WEB (HTTP = porta TCP 80).

Para finalizar, permitimos o acesso de todo o resto, por todos.

Desta forma, o host A não tem acesso ao serviço de E-mail, mas tem acesso ao serviço HTTP (o permit any any ao final da ACL garante este acesso), e o host B não tem acesso ao serviço WEB, mas tem acesso ao serviço de E-mail. Além disso, garantimos que ambos os hosts podem acessar quaisquer outros recursos existentes na rede, incluindo um ao outro.

A pergunta agora é… onde aplicar esta ACL? As melhores práticas regem que ACLs estendidas devem ser aplicadas o mais próximo da origem possível. Mas neste caso, temos 2 origens: O host A e o host B. Se aplicarmos esta ACL somente na interface E1, por exemplo, estaremos permitindo o acesso total ao servidor pelo host B. Ou seja, se desejarmos seguir as boas práticas, temos de aplicar a ACL nas interfaces E1 e E2, no sentido entrante (IN). Mas isso não faz muito sentido, não é mesmo??? A melhor solução aqui seria aplicar a ACL apenas 1 vez, na interface E0, no sentido sainte (OUT). Desta forma, matamos o problema com apenas 1 aplicação de ACL. Resumindo… apenas siga as melhores práticas para ACLs estendidas SE ELAS FIZEREM SENTIDO!!! Neste caso, elas não fazem.

Portanto, a solução do nosso pequeno problema ficaria assim:

Criação da ACL:

Router(config)# access-list 100 deny tcp host 192.168.0.100 host 192.168.100.100 eq 110
Router(config)# access-list 100 deny tcp host 192.168.10.100 host 192.168.100.100 eq 80
Router(config)# access-list 100 permit ip any any

Aplicação da ACL:

Router(config)# int e0
Router(config-if)# ip access-group 100 out

Para uma ACL estendida nomeada, ficaria:

Criação da ACL:

Router(config)# ip access-list extended NOMEDAACL
Router(config-ext-nacl)# deny tcp host 192.168.0.100 host 192.168.100.100 eq 110
Router(config-ext-nacl)# deny tcp host 192.168.10.100 host 192.168.100.100 eq 80
Router(config-ext-nacl)# permit ip any any

Aplicação da ACL:

Router(config)# int e0
Router(config-if)# ip access-group NOMEDAACL out

Algumas dicas adicionais:

  • ANY, quando se trata de ACLs, também pode ser escrito como 0.0.0.0 255.255.255.255
  • Quando for especificar uma rede, ao invés de um host, você precisa utilizar o wildcard, que seria uma espécie de máscara de rede invertida. Eis uma regrinha prática para identificar o valor correto do wildcard:

Suponha que você queira permitir o acesso de qualquer pacote que se origine na subrede 192.168.0.100 com máscara 255.255.255.240. Para encontrar o wildcard da máscara 255.255.255.240 basta fazer o seguinte:

  • Onde na máscara se lê “255”, escreva “0”
  • Onde na máscara se lê “0”, escreva “255”
  • Onde for diferente de “0” e “255”, faça o cálculo “255-x”, onde “x” é o valor diferente.

Em nosso exemplo, o wildcard para a máscara de rede 255.255.255.240 seria 0.0.0.15.

Também é necessário encontrar o endereço de subrede do IP 192.168.0.100 com máscara 255.255.255.240. As redes ocorrem de 16 em 16, portanto, a subrede deste IP seria 192.168.0.96.

Assim sendo, uma ACL que permita o acesso de IPs originados na subrede em questão ficaria:

Router(config)# access-list 10 permit 192.168.0.96 0.0.0.15

Se você não entendeu muito bem esta última parte, aconselho-o a revisar a parte de endereçamento IP 😉

Espero que este tutorial tenha ficado claro!

Um abs e BOA SEMANA para todos!

Marco Filippetti



Comente usando o Facebook!
0
0

28 comentários

1 menção

Pular para o formulário de comentário

  1. Alexandre Marais

    Oi Marco, tinha uma série de dúvidas sobre ACLs! Cara, posso dizer que sanei todas! OBRIGADO!

    0

    0
  2. Cleber F. Rodrigues

    Ola Marco uma observação somente.

    Vc citou:
    “ACLs padrão inspecionam apenas o endereço de destino no cabeçalho IP”

    Mas você tratou o primeiro diagrama usando o IP 192.168.0.100 que é endereço de origem de forma correta, visto que, ACLs padrão analizam o endereço de origem e não o de destino como você mencionou.

    0

    0
  3. Marco Filippetti

    Falha minha Cleber, vc está certo! Já corrigi o texto! Obrigado rapaz!!!

    Abs!

    Marco.

    0

    0
  4. Paulo da Silva Pinheiro

    Parabéns pelo tutorial muito esclarecedor.

    Aproveitando o momento gostaria de expor uma dúvida, talvez seja de mais alguém. Quando ao uso do NAT, temos o estático, dinâmico, e o overload (PAT), minha dúvida de trata do mapeamento para o acesso de fora para dentro quando um host da internet precisa acessar um Servidor Web por exemplo dentro da minha rede. Como funciona esse processo????

    Desde já obrigado pela iniciativa.

    0

    0
  5. Fernando

    Marco Boa Tarde!

    Recentemente tirei minha certificação CCNA. Durante todo meu estudo o topico referente a ACLs dizem que toda acl criada deve ser atribuida a uma interface e que de nada adianta criar um acl sem atribuir a uma interface. Porém trabalho no gerenciamento de rede de um grande banco com roteadores CISCO e nas configurações dos roteadores de la existem um padrão com diversas acl que não são atribuidas a nenhuma interface, ao questionar nosso suporte n2 fui informado que um acl não atribuida a nenhuma interface com o comando ip access-group automaticamente o router atribui a todas as interfaces oque estaria contra a teoria contida no material de estudo incluse o seu livro.
    Você poderia verificar se essa configuração realmente e pertinente ou seria um bug da IOS ?

    Desde ja agradeço a atenção na certeza de um retorno!

    Att
    Fernando

    0

    0
  6. Marco Filippetti

    Olá Fernando,

    Não sei quem lhe disse tamanha barbaridade, mas esta redondamente enganado 😉 !!!

    O que deve ocorrer, no seu caso, é que a ACL em questão não está sendo usada para controle de acesso, mas para controles mais complexos, como distribuição de rotas, QoS, ou algo assim. Verifique isso. E não existe tal coisa como “ACL, se não for aplicada à uma interface, automaticamente é aplicada à todas”. Se eu fosse o chefe de quem te disse isso, eu demitiria este analista sem dó.

    A regra é: Não sabe? Não fale.

    Abs e desculpe a franqueza, mas é que essa doeu demais para alguém que deveria ser o segundo nível do suporte. Imagino o nível do primeiro nível 😉

    Marco.

    0

    0
  7. Daniel Ribeiro

    Uma dúvida, no 2º exemplo:
    Router(config)# int e0
    Router(config-if)# ip access-group 100 out

    não era melhor se fosse assim:
    Router(config)# int e0
    Router(config-if)# ip access-group 100 in
    ————————————————–
    bloqueando todo o tráfego que entrasse na interface e0, com isso nem sobrecarregaria a interface, pois já bloqueava os pacotes na entrada.
    ?????? estou fazendo essa pergunta, pois sempre fico confuso qndo devo aplicar IN ou OuT, sempre pensando diferente do que deve ser feito. no aguardo 😉

    0

    0
  8. Marco Filippetti

    Daniel,

    Se você aplicasse a ACL na interface E0 neste sentido (IN), estaria permitindo todo o tráfego. O tráfego, neste caso, seria analisado apenas no sentido de retorno (do servidor para os hosts), e lembre-se que, no retorno, o IP de origem é o do servidor e o de destino, o dos hosts. Ou seja, não haveria nenhum “match” em nossa ACL e todo o tráfego seria permitido pela linha “permit ip any any”.

    Este, aliás, é um excelente exemplo da importância do sentido na aplicação de ACLs. Entendeu?

    Abs,

    Marco

    0

    0
  9. Eliseide

    Boa tarde!

    Primeiramente parabéns pela matéria.
    Gostaria de saber como devo efetuar uma configuração de ACL para não permitir o acesso da RFC 1918.

    Att,

    Eliseide

    0

    0
  10. Marco Filippetti

    Eliseide, a ACL poderia ser escrita assim:

    access-list 100 deny ip 10.0.0.0 0.255.255.255 any
    access-list 100 deny ip 172.16.0.0 0.15.255.255 any
    access-list 100 deny ip 192.168.0.0 0.0.255.255 any
    access-list 100 permit ip any any

    O local (router e interface) e direção (in ou out) de aplicação desta ACL depende de sua rede. O comando para aplica-la seria:

    ip access-group 100 [in/out]

    Abs!

    Marco.

    0

    0
  11. Vagner

    Boa tarde pessoal.

    Talves nao tenha prestado muita atenção em algum detalhe, mas no seu segundo exemplo, ao criar a ACL extendida, foram usadas 3 linhas:

    Router(config)# access-list 100 deny tcp host 192.168.0.100 host 192.168.100.100 eq 110
    Router(config)# access-list 100 deny tcp host 192.168.10.100 host 192.168.100.100 eq 80
    Router(config)# access-list 100 permit ip any any

    Mas as três linhas com o mesmo nº de ACL (100).
    Isso nao iria “sobrepor” o conteudo anterior?

    Ou ACL’s extendidas permitem “adicionar” mais informações posteriormente.

    Obrigado.

    0

    0
  12. Marco Filippetti

    Vagner, acho que não entendi sua pergunta. Poderia elabora-la melhor?

    Abs!

    Marco.

    0

    0
  13. Vagner

    Eu imaginava (erroneamente) que ao colocar uma outra ACL com o mesmo nº iria sobrepor o valor da primeira.

    Assim, ao colocar essa acl…
    Router(config)# access-list 100 deny tcp host 192.168.0.100 host 192.168.100.100 eq 110

    E em seguida adicionar esta…
    Router(config)# access-list 100 deny tcp host 192.168.10.100 host 192.168.100.100 eq 80

    O roteador “entenderia” somente a segunda. Estava pensando que seria necessário colocar tudo apenas em uma linha.

    Att,
    Vagner.

    0

    0
  14. Ronaldo

    Boa noite, parabéns pela materia, lendo ficou parecendo muito fácil…antes fosse
    O Sr. leciona em alguma escola???
    Muito obrigado!!!!

    0

    0
  15. Ze

    Boa tarde, eu to a tirar o ccna e to a fazer um trabalho sobre as acl’s e queria saber uma coisa, no exemplo que voces dão em cima de bloquear a informação do A para o B eu tenho uma duvida, é saber se o B consegue fazer ping ao A.

    0

    0
  16. Toguko

    Zé, o ping não seria permitido não pois a ACL padrão não distingue o protocolo usado (TCP ou UDP), no exemplo acima tudo seria bloqueado do host A para o B.

    Abraços, Rafael Venancio

    0

    0
  17. Ze

    Muito Obrigado pela resposta!! Outra coisa é possível bloquear o ping do A pro B e permitir do B pro A? Eu azo que isso não é possível porque o ping usa o icmp, e o icmp funciona da seguinte maneira, o Y quer quer fazer ping para o X, entao o icmp manda mensagem para X para depois o X mandar para Y certo? Então se eu bloqueio o tráfego do A para o B logo o B não consegue fazer ping para o A certo? Eu queria saber se a “minha” teoria ta certa!

    0

    0
  18. Airton Carvalho

    Adorei o forum, eu ja tinha ouvido falar de voce, por um amigo aqui que trabalhou na EDS., vou comprar o livro e tirar a certificaçao.
    Abracos

    Airton

    0

    0
  19. joepedsa.cisco

    Boa tarde Filippetti.

    Em primeito lugar gostaria de parabenizar este trabalho (blog) que ajuda em muito a nós iniciantes em roteadores/switches.
    Achei muito leal sua explicação sobre ACL para o EXAME CCNA, mas tenho uma dúvida com relação as ACLs que acabei lendo em um TESTKING e não entendi como criar uma acl que tenha esta descrição (Since we are using source and destination IP address information, an extended access list is required). Se não for pedir muito, você poderia tirar esta minha dúvida e se possível utlizando um modelelo de ACL(Padrão/Extendido))?
    Agradeço desde já e fico no aguardo!
    Abraço.
    Joel Pedro.

    0

    0
  20. leonardo_tns

    Boa Tarde

    Esse tutorial de acls esta muito bom, tirei minhas duvidas referente a aplicação das Acls nas interfaces.
    Parabens Marco.
    Abraço
    Leonardo TNS

    0

    0
  21. Fluke

    Olá Filipetti,

    Excelente tutorial!
    Simples e completo.

    0

    0
  22. ferrugem

    Fluke, naõ sei se você já viu, mas vale a pena conferir a VClass sobre ACL que o Marco disponibilizou a pouco tempo aqui no Blog.. Tanto este tuto quanto a VClass, estão excelentes!!! 😉

    Link: http://blog.ccna.com.br/2009/06/03/gravacao-da-vclass-de-acl-para-o-exame-ccna/

    Abraços,
    Felipe Ferrugem!

    “Juntos somos ainda melhores!!!”

    0

    0
  23. marcelo.com

    mandô bem no post Marco…
    sobre o cálculo do wildcard…parece que essa é, de longe, a forma mais fácil e rápida:

    “Onde for diferente de “0? e “255?, faça o cálculo “255-x”, onde “x” é o valor diferente.”

    se alguém souber de outra forma, tão fácil quanto…postaeee !!

    abraços!

    0

    0
  24. Edson

    Obrigado pelo post Marco, simples e claro.
    Foi muito útil durante os estudos 😉
    Valeu.

    0

    0
  25. Santito

    Parabéns pelo tutorial, simples e direto no assunto para acabar com qualquer dúvida.
    Um Abraço.

    0

    0
  26. hi_goor

    amigos, estou com dúvida, me ajudem por favor.. tenho essa rede

    https://lh4.googleusercontent.com/-5tcOEwFScSg/Ukn-i2l6XzI/AAAAAAAACUQ/3zlaiJnbjV0/w546-h388-no/Sem+t%25C3%25ADtulo.png

    e estou querendo colocar access list, mais o problema é que como os clientes entram pelo wireless eles podem ter qualquer ip, então queria configurar por porta o acl, mais como faço? quero que o servidor converse normal com qualquer dos 3 computadores do grupo de trabalho, mais não quero que qualquer computador do grupo “cliente” seja bloqueado quando tentar acessar o servidor ou tentar acessar um dos 3 computadores do grupo doméstico..
    mais quero também que ambos conversem com a internet.. ou seja, não posso usar a vlan, até porque se eu usasse o servidor não mandaria DHCP para os computadores dos clientes, então, como coloco acl ? o esquema todo está acima no link. ajudem-me por favor

    0

    0
  27. carlosgoncalves

    Boa tarde,

    Tenho um router cisco 887, e pretendo criar uma access lista onde:

    – Ip’s 10.0.0.240 até 10.0.0.254 tenham acesso ilimitado
    – Ip’s 10.0.0.0 até 10.0.0.220 tenham acesso limitado, não permitindo acesso a paginas como facebook, vimeo, youtube, etc.
    – Ip’s 10.0.0.221. até 10.0.0.239 tenham acesso limitado, não permitindo acesso a paginas como facebook, vimeo, youtube, etc, mas durante um período exemplo 12:30 até 14:00 tenham acesso total.

    Como poderei denilear uma access liste deste género?
    É possível faze-lo?

    0

    0
  28. cospeletra

    GOSTEI, É DE SE AGRADECER A TODOS VOCÊS QUE TÊM ESSE PRAZER DE COMPARTILHAR CONHECIMENTOS.

    0

    0

Deixe uma resposta