LISTAS DE CONTROLE DE ACESSOS – ACL - CISCO
O objetivo desse artigo é descrever como as listas de acesso IP (ACLs) podem filtrar o tráfego em uma rede. Também contém uma breve descrição dos tipos de ACL IP, características e exemplos de uso.
As ACLS não são utilizadas somente com o propósito de filtrar tráfego IP, elas podem ser utilizadas também para definir tráfego que esta sujeito ao Network
Address Translation (NAT) e o tráfego que será criptografado em uma configuração de VPN, entre outras utilidades.
O processamento das ACLs ocorre da seguinte forma: o tráfego que entra no roteador é comparado com as entradas nas ACLs na ordem em que elas foram escritas. Por isso é muito importante tomar cuidado na hora de redigir as ACLs para que um tráfego que você precisa permitir não fique bloqueado atrás de uma entrada na ACL que negue um tráfego específico.
Novas linhas da ACL pode ser adicionada ao final da lista e o roteador ou switch de camada 3 irá analisar as linhas da lista até encontrar uma que combine com o tráfego específico. Se nenhuma combinação é encontrada na lista, o tráfego é negado. Existe um entrada negando tudo (deny implícito) ao final da lista de controle de acesso. Por essa razão a lista de controle de acesso precisa ter pelo menos uma linha permitindo o tráfego desejado, caso contrário todo o tráfego será negado.
Para exemplificar, analisamos os dois exemplos a seguir, eles têm o mesmo resultado: Exemplo 1: access -list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
Exemplo 2: access -list 102 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 access-list 102 deny ip any any
Além de definir a origem e o destino do tráfego, podemos definir portas de origem e destino, tipos de mensagens ICMP e outros parâmentros que ajudam ainda mais a restringir as entradas das listas de acesso que serão aplicadas nas interfaces dos roteadores.
Exemplo 3: access-list 102 permit icmp host 10.1.1.1 host 172.16.1.1 14 - permite todos