Controle de tráfego com ACLs
Enviado: 25 Set 2024, 21:28
Uma lista de controle de acesso (ACL) é uma série de comandos que controlam se um dispositivo encaminha ou descarta pacotes com base nas informações encontradas no cabeçalho do pacote. Quando configuradas, as ACLs executam as seguintes tarefas:
A figura mostra uma topologia de amostra com ACLs aplicadas aos roteadores R1, R2 e R3.
Download: 6.2.4-packet-tracer---acl-demonstration.pka
Demonstração de ACL
Packet Tracer – Demonstração de lista de controle de acesso
Objetivos
Parte 1: Verificar a conectividade local e testar a lista de controle de acesso
Parte 2: Remover a lista de controle de acesso e repetir o teste
Contexto
Nesta atividade, você observará como uma lista de controle de acesso (ACL) pode ser usada para impedir que um ping alcance hosts em redes remotas. Após remover a ACL da configuração, os pings terão êxito.
Instruções
Parte 1: Verificar a conectividade local e testar a lista de controle de acesso
Etapa 1: Efetuar ping de dispositivos na rede local para verificar a conectividade.
Os pings tiveram êxito?
Por que o ping falhou? (Dica: use o modo de simulação ou visualize as configurações do roteador para investigar.)
Veja Configuração de R1
Parte 2: Remover ACL e repetir o teste
Etapa 1: Use os comandos show para investigar a configuração ACL.
a. Use os comandos show run e show access-listspara visualizar as ACLs atualmente configuradas. Para visualizar rapidamente as ACLs atuais, use show access-lists. Entre o comando show access-lists seguido por um espaço e um ponto de interrogação (?) para ver as opções disponíveis:
Se você souber o número ou nome da ACL, pode filtrar a saída do show ainda mais. Contudo, R1 tem apenas uma ACL; Portanto, o comando show access-lists será suficiente.
A primeira linha da ACL impede que quaisquer pacotes originados no 192.168.10.0/24 rede, que inclui ecos do protocolo de mensagens de controle da Internet (ICMP) (solicitações de ping). A segunda linha da ACL permite que todo o outro tráfego de ip de qualquer origem atravesse o roteador.
b. Para que uma ACL tenha impacto na operação do roteador, ela deve ser aplicada a uma interface em uma direção específica. Neste cenário, a ACL é usada para filtrar o tráfego em uma interface. Portanto, todo o tráfego saindo da interface de R1 especificada será inspecionado contra ACL 11.
Embora você possa ver as informações de IP com o comando show ip interface pode ser mais eficiente em algumas situações simplesmente usar o comando show run
Pergunta:
Usando um ou ambos os comandos, a que interface é aplicada a ACL?
Você pode remover ACLs da configuração emitindo o comando no access list [number of the ACL]. O comando no access-list exclui todas as ACLs configuradas no roteador. O comando no access-list [number of the ACL] remove apenas uma ACL específica.
a. Na interface Serial0 / 0/0, remova a lista de acesso 11, anteriormente aplicada à interface como um filtro de saída :
b. No modo de configuração global, remova a ACL digitando o seguinte comando:
c. Verifique que o PC1 agora pode realizar o ping para o DNS Server e o PC4.
- Eles limitam o tráfego da rede para aumentar o desempenho da rede. Por exemplo, se a política corporativa não permite tráfego de vídeo na rede, as ACLs que bloqueiam tráfego de vídeo podem ser configuradas e aplicadas. Isso reduziria significativamente a carga da rede e aumentaria o desempenho da rede.
- Eles fornecem controle de fluxo de tráfego. As ACLs podem restringir o fornecimento de atualizações de roteamento para garantir que as atualizações sejam de uma fonte conhecida.
- Elas fornecem um nível básico de segurança para acesso à rede. As ACLs podem permitir que um host acesse uma parte da rede e impedir que outro host acesse a mesma área. Por exemplo, o acesso à rede de Recursos Humanos poderá ser restrito a usuários autorizados.
Elas filtram o tráfego com base no tipo de tráfego. Por exemplo, uma ACL pode permitir tráfego de correio eletrônico, mas bloquear todo o tráfego de Telnet. - Elas examinam hosts para permitir ou negar acesso aos serviços de rede. As ACLs podem permitir ou negar a um usuário o acesso a tipos de arquivo, como FTP ou HTTP.
A figura mostra uma topologia de amostra com ACLs aplicadas aos roteadores R1, R2 e R3.
Download: 6.2.4-packet-tracer---acl-demonstration.pka
Demonstração de ACL
Packet Tracer – Demonstração de lista de controle de acesso
Objetivos
Parte 1: Verificar a conectividade local e testar a lista de controle de acesso
Parte 2: Remover a lista de controle de acesso e repetir o teste
Contexto
Nesta atividade, você observará como uma lista de controle de acesso (ACL) pode ser usada para impedir que um ping alcance hosts em redes remotas. Após remover a ACL da configuração, os pings terão êxito.
Instruções
Parte 1: Verificar a conectividade local e testar a lista de controle de acesso
Etapa 1: Efetuar ping de dispositivos na rede local para verificar a conectividade.
- Do prompt de comando de PC1, ping PC2.
- Do prompt de comando de PC1, ping PC3.
Os pings tiveram êxito?
Código: Selecionar todos
Sim. Porque as camadas 1 a 3 estão totalmente funcionais e, no momento, não há mensagens de ICMP de filtragem de política entre as duas redes locais.
- Do prompt de comando dePC1, ping PC4.
- Do prompt de comando de PC1, ping o DNS Server.
Por que o ping falhou? (Dica: use o modo de simulação ou visualize as configurações do roteador para investigar.)
Código: Selecionar todos
Os pings falham, pois R1 está configurado com uma ACL para negar a saída de qualquer ping da interface serial 0/0/0.
Código: Selecionar todos
show running-config
!
hostname R1
!
ip cef
no ipv6 cef
!
spanning-tree mode pvst
!
interface GigabitEthernet0/0
ip address 192.168.10.1 255.255.255.0
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address 192.168.11.1 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0/0
ip address 10.10.1.1 255.255.255.252
ip access-group 11 out
!
interface Serial0/0/1
no ip address
clock rate 2000000
shutdown
!
interface Vlan1
no ip address
shutdown
!
router ospf 1
log-adjacency-changes
network 192.168.10.0 0.0.0.255 area 10
network 192.168.11.0 0.0.0.255 area 11
network 10.10.1.0 0.0.0.3 area 0
!
ip classless
!
ip flow-export version 9
!
access-list 11 deny 192.168.10.0 0.0.0.255
access-list 11 permit any
!
end
Etapa 1: Use os comandos show para investigar a configuração ACL.
a. Use os comandos show run e show access-listspara visualizar as ACLs atualmente configuradas. Para visualizar rapidamente as ACLs atuais, use show access-lists. Entre o comando show access-lists seguido por um espaço e um ponto de interrogação (?) para ver as opções disponíveis:
Código: Selecionar todos
R1# show access-lists ?
<1-199> ACL number
WORD ACL name
<cr>
Código: Selecionar todos
R1# show access-lists
Standard IP access list 11
10 deny 192.168.10.0 0.0.0.255
20 permit any
b. Para que uma ACL tenha impacto na operação do roteador, ela deve ser aplicada a uma interface em uma direção específica. Neste cenário, a ACL é usada para filtrar o tráfego em uma interface. Portanto, todo o tráfego saindo da interface de R1 especificada será inspecionado contra ACL 11.
Embora você possa ver as informações de IP com o comando show ip interface pode ser mais eficiente em algumas situações simplesmente usar o comando show run
Pergunta:
Usando um ou ambos os comandos, a que interface é aplicada a ACL?
Código: Selecionar todos
Serial 0/0/0, tráfego de saída.
a. Na interface Serial0 / 0/0, remova a lista de acesso 11, anteriormente aplicada à interface como um filtro de saída :
Código: Selecionar todos
R1(config)# int se0/0/0
R1(config-if)#no ip access-group 11 out
Código: Selecionar todos
R1(config)# no access-list 11