You are on page 1of 14

Configurando as Listas de Acesso IP

ndice
Introduo
Pr-requisitos
Requisitos
Componentes Usados
Convenes
Conceitos de ACL
Mscaras
Sumarizao sobre ACL
ACLs de Processo
Definir Portas e Tipos de Mensagem
Aplicar ACLs
Definir In, Out, Source e Destination
Editar ACLs
Soluo de Problemas
Tipos de ACLs de IP
Diagrama de rede
ACLs Padro
ACLs Estendidas
Lock and Key (ACLs Dinmicas)
ACLs Nomeadas de IP
ACLs Reflexivas
ACLs Baseadas no Perodo Utilizando Intervalos de Tempo
Entradas de ACL IP Comentadas
Controle de Acesso Baseado em Contexto
Proxy de Autenticao
ACLs Turbo
ACLs Distribudas Baseadas no Perodo
ACLs Recebidas
ACLs de Proteo de Infra-Estrutura
ACLs de Trnsito
Informaes Relacionadas
Introduo
Este documento explica como as listas de controle de acesso (ACLs) do IP filtram o trfego da rede. Tambm contm descries breves dos tipos
ACL IP, disponibilidade de recurso e um exemplo de uso em uma rede.
Acesse a ferramenta Software Advisor (clientes registrados somente) para determinar o suporte de alguns recursos mais avanados da ACL de IP do
Cisco IOS.
RFC 1700 contm nmeros atribudos de portas bem conhecidas. RFC 1918 contm alocao de endereo para Internet privada, endereos
IP que normalmente no deveriam ser vistos na Internet.
Observao: As ACLs tambm podem ser utilizadas para outros fins alm de filtrar trfego IP; por exemplo, para definir o trfego para Network
Address Translate (NAT) ou criptografia ou para filtrar protocolos no-IP como AppleTalk ou IPX. Uma discusso sobre essas funes est fora
do escopo deste documento.
Pr-requisitos
Requisitos
No existem pr-requisitos especficos para este documento. Os conceitos discutidos esto presentes em Cisco IOS

Software Releases 8.3 ou
posterior. Isso observado em cada recurso de lista de acesso.
Componentes Usados
Este documento aborda vrios tipos de ACLs. Alguns esto presentes desde o Cisco IOS Software Release 8.3 e outros foram introduzidos em
verses posteriores. Isso observado na discusso de cada tipo.
As informaes apresentadas neste documento foram criadas a partir dos dispositivos em um ambiente de laboratrio especfico. Todos os
dispositivos usados neste documento comearam com uma configurao vazia (padro). Se a sua rede estiver ativa, certifique-se de entender o
impacto potencial de todos os comandos.
Convenes
Consulte Convenes de Dicas Tcnicas da Cisco para obter mais informaes sobre as convenes de documentos.
Conceitos de ACL
Esta seo descreve os conceitos de ACL.
Mscaras
As mscaras so usadas com os endereos IP nos ACLs de IP para especificar o que deve ser permitido e recusado. As mscaras para a
configurao de endereos IP em interfaces comeam com 255 e apresentam os valores maiores esquerda, por exemplo, endereo IP
209.165.202.129 com a mscara 255.255.255.224. As mscaras para ACLs de IP so o inverso, por exemplo, mscara 0.0.0.255. s vezes, essas
mscaras so chamadas de mscaras inversas ou mscaras curinga. Quando o valor da mscara dividido em binrio (0s e 1s), os resultados
determinam quais bits do endereo devem ser considerados no processamento do trfego. Zero (0) indica que os bits do endereo devem ser
considerados (correspondncia exata) e um (1) significa "no leve em considerao". Esta tabela explica melhor o conceito.
Exemplo de mscara
endereo de rede (trfego que deve ser
processado)
10.1.1.0
mscara 0.0.0.255
endereo de rede (binrio) 00001010.00000001.00000001.00000000
mscara (binria) 00000000.00000000.00000000.11111111
Com base na mscara binria, voc pode ver que os primeiros trs conjuntos (octetos) devem corresponder exatamente ao endereo binrio de
rede dado (00001010.00000001.00000001). O ltimo conjunto de nmeros "no levado em considerao" (.11111111). Portanto, todo trfego
que comea com correspondentes de 10.1.1. desde o ltimo octeto significa "no leve em considerao". Dessa forma, com essa mscara, os
endereos de rede entre 10.1.1.1 e 10.1.1.255 (10.1.1.x) so processados.
Subtraia a mscara normal de 255.255.255.255 para determinar a mscara inversa ACL. Neste exemplo, a mscara inversa determinada para o
endereo de rede 172.16.1.0 com uma mscara normal de 255.255.255.0.
255.255.255.255 - 255.255.255.0 (mscara normal) = 0.0.0.255 (mscara inversa)
Observe estes equivalentes de ACL.
A origem/o caractere geral de origem de 0.0.0.0/255.255.255.255 significa qualquer um.
A origem/caractere-curinga de 10.1.1.2/0.0.0.0 o mesmo que "host 10.1.1.2".
Sumarizao sobre ACL
Observao: Mscaras de sub-rede tambm podem ser representadas por uma notao de comprimento fixo. Por exemplo, 192.168.10.0/24
representa 192.168.10.0 255.255.255.0.
Essa lista descreve como sumarizar uma srie de redes em uma rede nica para otimizao da ACL. Considere estas redes.
192.168.32.0/24
192.168.33.0/24
192.168.34.0/24
192.168.35.0/24
192.168.36.0/24
192.168.37.0/24
192.168.38.0/24
192.168.39.0/24
Os dois primeiros octetos e o ltimo octeto so os mesmos para cada rede. Esta tabela uma explicao de como sumariz-los em uma nica
rede.
O terceiro octeto para as redes anteriores podem ser escritos como vistos nesta tabela, de acordo com a posio do bit do octeto e o valor do
endereo para cada bit.
Decimal 128 64 32 16 8 4 2 1
32 0 0 1 0 0 0 0 0
33 0 0 1 0 0 0 0 1
34 0 0 1 0 0 0 1 0
35 0 0 1 0 0 0 1 1
36 0 0 1 0 0 1 0 0
37 0 0 1 0 0 1 0 1
38 0 0 1 0 0 1 1 0
39 0 0 1 0 0 1 1 1
M M M M M D D D
Como os cinco primeiros bits correspondem, as oito redes anteriores podem ser sumarizadas em uma rede (192.168.32.0/21 ou 192.168.32.0
255.255.248.0). Todas as oito combinaes possveis dos trs bits de ordem inferior so relevantes para a srie de redes em questo. Esse
comando define uma ACL que permite essa rede. Se voc subtrair 255.255.248.0 (mscara normal) de 255.255.255.255, resulta em 0.0.7.255.
access-list acl_permit permit ip 192.168.32.0 0.0.7.255
Considere esse conjunto de redes para obter mais explicao.
192.168.146.0/24
192.168.147.0/24
192.168.148.0/24
192.168.149.0/24
Os dois primeiros octetos e o ltimo octeto so os mesmos para cada rede. Esta tabela uma explicao de como sumariz-los.
O terceiro octeto para as redes anteriores podem ser escritos como vistos nesta tabela, de acordo com a posio do bit do octeto e o valor do
endereo para cada bit.
Decimal 128 64 32 16 8 4 2 1
146 1 0 0 1 0 0 1 0
147 1 0 0 1 0 0 1 1
148 1 0 0 1 0 1 0 0
149 1 0 0 1 0 1 0 1
M M M M M ? ? ?
Diferente do exemplo anterior, voc no pode sumarizar essas redes em uma rede nica. necessrio um mnimo de duas redes. As redes
anteriores podem ser sumarizadas nestas duas redes:
Para redes 192.168.146.x e 192.168.147.x, todos os bits correspondem, exceto o ltimo, que um "no leve em considerao". Esse bit
pode ser gravado como 192.168.146.0/23 (ou 192.168.146.0 255.255.254.0).
Para redes 192.168.148.x e 192.168.149.x, todos os bits correspondem, exceto o ltimo, que um "no leve em considerao". Esse bit
pode ser gravado como 192.168.148.0/23 (ou 192.168.148.0 255.255.254.0).
Essa sada define uma ACL sumarizada das redes acima.
access-list 10 permit ip 192.168.146.0 0.0.1.255
access-list 10 permit ip 192.168.148.0 0.0.1.255
ACLs de Processo
O trfego que chega ao roteador comparado s entradas de ACL baseadas na ordem em que as entradas ocorrem no roteador. So adicionadas
novas instrues no final da lista. O roteador continua a procurar at que tenha uma correspondncia. Se nenhuma correspondncia for
encontrada quando o roteador atingir o final da lista, o trfego ser negado. Por esse motivo, deixe as entradas freqentes no incio da lista. H
uma negao implcita para trfego que no permitido. Uma ACL de entrada nica com apenas uma entrada de negao tem o efeito de negar
todo o trfego. Voc deve ter pelo menos uma instruo de permisso em uma ACL ou todo o trfego ser bloqueado. Essas duas ACLs (101 e
102) apresentam o mesmo efeito.
access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 102 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 102 deny ip any any
Neste exemplo, a ltima entrada suficiente. As trs primeiras entradas no so necessrias porque o TCP inclui Telnet, e IP inclui TCP, User
Datagram Protocol (UDP) e Internet Control Message Protocol (ICMP).
access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet
access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1
access-list 101 permit udp host 10.1.1.2 host 172.16.1.1
access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
Definir Portas e Tipos de Mensagem
Alm de definir a origem e o destino de ACL, possvel definir as portas, os tipos de mensagem ICMP e outros parmetros. Uma boa fonte de
informaes para portas bem conhecidas o RFC 1700 . Os tipos de mensagens ICMP esto explicados em RFC 792 .
O roteador pode exibir texto descritivo em algumas das portas bem conhecidas. Utilize um ? para obter ajuda.
access-list 102 permit tcp host 10.1.1.1 host 172.16.1.1 eq ?
bgp Border Gateway Protocol (179)
chargen Character generator (19)
cmd Remote commands (rcmd, 514)
Durante a configurao, o roteador tambm converte valores numricos em valores mais amigveis. Esse um exemplo onde voc digita o
nmero de tipo da mensagem ICMP e ele faz o roteador converter o nmero em um nome.
access-list 102 permit icmp host 10.1.1.1 host 172.16.1.1 14
torna-se
access-list 102 permit icmp host 10.1.1.1 host 172.16.1.1 timestamp-reply
Aplicar ACLs
Voc pode definir ACLs sem aplic-las. Mas, as ACLs no tm efeito at que sejam aplicadas interface do roteador. Convm aplicar a ACL na
interface o mais prximo possvel da origem do trfego. Conforme mostrado neste exemplo, quando voc tenta bloquear trfego da origem para o
destino, pode aplicar uma ACL de entrada para E0 no roteador A em vez de uma lista de sada para E1 no roteador C.
Definir In, Out, Source e Destination
O roteador utiliza os termos "in", "out", "source" e "destination" (entrada, sada, origem e destino) como referncias. O trfego do roteador pode
ser comparado ao trfego de uma rodovia. Se voc fosse um oficial de trnsito no Rio de Janeiro e quisesse parar um caminho que viajava de
So Paulo para o Esprito Santo, a origem do caminho seria So Paulo e o destino, Esprito Santo. O bloqueio da estrada poderia ficar na
fronteira entre o Rio de Janeiro e o Esprito Santo (out) ou na fronteira entre So Paulo e o Rio de Janeiro (in).
Ao consultar um roteador, esses termos apresentam os significados a seguir.
Out O trfego j passou pelo roteador e saiu da interface. A origem o local onde ele estava, no outro lado do roteador, e o destino o
local para onde ele vai.
In O trfego que chega na interface e, em seguida, passa pelo roteador. A origem o local onde ele estava e o destino o local para
onde ele vai, do outro lado do roteador.
A ACL de entrada (in) tem uma fonte em um segmento da interface para o qual aplicado e um destino fora de todas as outras interfaces. A ACL
de sada (out) tem origem em um segmento de qualquer interface diferente da interface na qual est aplicada e um destino fora da interface qual
aplicada.
Editar ACLs
Ao editar uma ACL, voc precisar ter muito cuidado. Por exemplo, quando voc exclui uma linha especfica de uma ACL numerada conforme
mostrado aqui, a ACL toda excluda.
router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
router(config)#access-list 101 deny icmp any any
router(config)#access-list 101 permit ip any any
router(config)#^Z
router#show access-list
Extended IP access list 101
deny icmp any any
permit ip any any
router#
*Mar 9 00:43:12.784: %SYS-5-CONFIG_I: Configured from console by console
router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
router(config)#no access-list 101 deny icmp any any
router(config)#^Z
router#show access-list
router#
*Mar 9 00:43:29.832: %SYS-5-CONFIG_I: Configured from console by console
Copie a configurao do roteador para um servidor de TFTP ou um editor de texto, como o Bloco de Notas, para editar ACLs numeradas. Em
seguida, faa as alteraes e copie a configurao de volta no roteador.
Tambm possvel fazer isto.
router#configure terminal
Enter configuration commands, one per line.
router(config)#ip access-list extended test
router(config-ext-nacl)#permit ip host 2.2.2.2 host 3.3.3.3
router(config-ext-nacl)#permit tcp host 1.1.1.1 host 5.5.5.5 eq www
router(config-ext-nacl)#permit icmp any any
router(config-ext-nacl)#permit udp host 6.6.6.6 10.10.10.0 0.0.0.255 eq domain
router(config-ext-nacl)#^Z
1d00h: %SYS-5-CONFIG_I: Configured from console by consoles-l
router#show access-list
Extended IP access list test
permit ip host 2.2.2.2 host 3.3.3.3
permit tcp host 1.1.1.1 host 5.5.5.5 eq www
permit icmp any any
permit udp host 6.6.6.6 10.10.10.0 0.0.0.255 eq domain
router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
router(config)#ip access-list extended test
!--- Entrada de ACL excluda
router(config-ext-nacl)#no permit icmp any any
!--- Entrada de ACL adicionada
router(config-ext-nacl)#permit gre host 4.4.4.4 host 8.8.8.8
router(config-ext-nacl)#^Z
1d00h: %SYS-5-CONFIG_I: Configured from console by consoles-l
router#show access-list
Extended IP access list test
permit ip host 2.2.2.2 host 3.3.3.3
permit tcp host 1.1.1.1 host 5.5.5.5 eq www
permit udp host 6.6.6.6 10.10.10.0 0.0.0.255 eq domain
permit gre host 4.4.4.4 host 8.8.8.8
Todas as excluses so removidas da ACL e as incluses so feitas no final da ACL.
Soluo de Problemas
Como eu removo uma ACL de uma interface?
V para o modo de configurao e digite no na frente do comando access-group, conforme mostrado neste exemplo, para remover uma ACL de
uma interface.
interface <interface>
no ip access-group #in|out
O que eu fao quando muito trfego recusado?
Se muito trfego for recusado, estude a lgica de sua lista ou tente definir e aplicar uma lista adicional mais ampla. O comando show ip access-
lists fornece uma contagem de pacotes que demonstra qual entrada de ACL acessada.
A palavra-chave log no final das entradas individuais da ACL mostram o nmero da ACL e se o pacote foi permitido ou recusado, alm de
informaes especficas sobre a porta.
Observao: A palavra-chave log-input existe no Cisco IOS Software Release 11.2 ou posterior, e em determinados softwares com base no
Cisco IOS Software Release 11.1 criados especificamente para o mercado de provedor de servio. Os softwares mais antigos no suportam essa
palavra-chave. O uso dessa palavra-chave inclui a interface de entrada e o endereo MAC de origem, quando aplicvel.
Como depurar o nvel do pacote que utiliza um roteador Cisco?
Esse procedimento explica o processo de depurao. Antes de comear, certifique-se de que no haja ACLs aplicadas no momento, que exista
uma ACL, e que o switching rpido no esteja habilitado.
Observao: Tenha muito cuidado ao depurar um sistema com trfego intenso. Voc pode depurar o trfego especfico usando uma ACL. Mas,
certifique-se do processo e do fluxo de trfego.
Utilize o comando access-list para capturar os dados desejados. 1.
Neste exemplo, a captura de dados definida para o endereo de destino de 10.2.6.6 ou o endereo de origem de 10.2.6.6.
access-list 101 permit ip any host 10.2.6.6
access-list 101 permit ip host 10.2.6.6 any
Desative o switching rpido nas interfaces envolvidas. Voc v o primeiro pacote somente se o switching rpido no estiver desabilitado. 2.
config interface
no ip route-cache
Utilize o comando terminal monitor no modo habilitado para exibir a sada do comando debug e as mensagens de erro do sistema do
terminal ou sesso atual.
3.
Utilize o comando debug ip packet 101 ou debug ip packet 101 detail para comear o processo de depurao. 4.
Execute o comando no debug all no modo habilitado e o comando interface configuration para parar o processo de depurao. 5.
Reinicie o cache. 6.
config interface
ip route-cache
Tipos de ACLs de IP
Esta seo do documento descreve os tipos de ACL.
Diagrama de rede
ACLs Padro
ACLs padro so o tipo mais antigo de ACL. Elas existem desde antes do Cisco IOS Software Release 8.3. As ACLs padro controlam o trfego
por meio da comparao do endereo de origem dos pacotes IP com os endereos configurados nas ACL.
Essa a forma da sintaxe do comando de uma ACL padro.
access-list access-list-number {permit|deny}
{host|source source-wildcard|any}
Em todas as verses de software, o access-list-number pode ser qualquer nmero entre 1 e 99. No Cisco IOS Software Release 12.0.1, as ACLs
padro comeam a usar nmeros adicionais (1300 a 1999). Esses nmeros adicionais so chamados de ACLs de IP expandidas. O Cisco IOS
Software Release 11.2 incluiu a capacidade de usar nome de lista em ACLs padro.
Uma configurao de curinga de origem/origem de 0.0.0.0/255.255.255.255 pode ser especificada como qualquer um. O caractere curinga
poder ser omitido se for zero. Portanto, o host 10.1.1.2 0.0.0.0 corresponde ao host 10.1.1.2.
Depois de definida, a ACL deve ser aplicada interface (entrada ou sada). Em verses anteriores do software, out era o padro quando nenhuma
palavra-chave out ou in era especificada. A direo dever ser especificada em verses posteriores do software.
interface <interface>
ip access-group number {in|out}
Este um exemplo do uso de uma ACL padro para bloquear todo o trfego, exceto aquele de origem 10.1.1.x.
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip access-group 1 in
access-list 1 permit 10.1.1.0 0.0.0.255
ACLs Estendidas
As ACLs estendidas foram introduzidas no Cisco IOS Software Release 8.3. As ACLs estendidas controlam o trfego por meio da comparao
dos endereos de origem e de destino dos pacotes IP com os endereos configurados na ACL.
Essa o formato da sintaxe do comando de ACLs estendidas. As linhas esto distribudas aqui considerando o espao.
IP
access-list
access-list-number [dynamic
dynamic-name [timeout
minutes]]
{deny | permit} protocol source source-wildcard
destination destination-wildcard [precedence precedence]
[tos tos] [log | log-input] [time-range time-range-name]
ICMP
access-list
access-list-number [dynamic
dynamic-name [timeout
minutes]]
{deny | permit} icmp
source source-wildcard
destination destination-wildcard
[icmp-type | [[icmp-type icmp-code] | [icmp-message]]
[precedence precedence] [tos tos] [log | log-input]
[time-range time-range-name]
TCP
access-list
access-list-number [dynamic
dynamic-name [timeout
minutes]]
{deny | permit} tcp
source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]] [established]
[precedence precedence] [tos tos] [log | log-input]
[time-range time-range-name]
UDP
access-list
access-list-number [dynamic
dynamic-name [timeout minutes]]
{deny | permit} udp
source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]]
[precedence precedence] [tos tos] [log | log-input]
[time-range time-range-name]
Em todas as verses de software, o access-list-number pode ser um nmero entre 101 e 199. No Cisco IOS Software Release 12.0.1, as ACLs
estendidas comeam a usar nmeros adicionais (2000 a 2699). Esses nmeros adicionais so referidos como ACLs de IP expandidas. O Cisco
IOS Software Release 11.2 incluiu a capacidade de usar nome de lista em ACLs estendidas.
O valor 0.0.0.0/255.255.255.255 pode ser especificado como qualquer. Depois de definidas as ACL, devem ser aplicadas interface (entrada ou
sada). Em verses anteriores do software, out era o padro quando nenhuma palavra-chave out ou in era especificada. A direo dever ser
especificada em verses posteriores do software.
interface <interface>
ip access-group {number|name} {in|out}
Essa ACL estendida utilizada para permitir trfego na rede 10.1.1.x (interna) e para receber respostas de pings externos ao mesmo tempo em
que pings no solicitados so impedidos, sem que todos os outros tipos de trfego sejam impedidos.
interface Ethernet0/1
ip address 172.16.1.2 255.255.255.0
ip access-group 101 in
access-list 101 deny icmp any 10.1.1.0 0.0.0.255 echo
access-list 101 permit ip any 10.1.1.0 0.0.0.255
Observao: Alguns aplicativos, como gerenciamento de redes, exigem pings para obter uma funo de manuteno de atividade. Se esse for o
caso, convm limitar o bloqueio de pings de entrada ou ser mais granular em IPs permitidos/negados.
Lock and Key (ACLs Dinmicas)
Lock and Key, tambm conhecido como ACLs dinmicas, foi introduzido no Cisco IOS Software Release 11.1. Esse recurso dependente de
Telnet, autenticao (local ou remota) e ACLs estendidas.
A configurao de lock and key tem incio com a aplicao de uma ACL estendida para bloquear o trfego no roteador. Usurios que desejam
atravessar o roteador so bloqueados pela ACL estendida at serem conectados pela Telnet com o roteador e autenticados. Em seguida, a conexo
Telnet cai e uma ACL dinmica de entrada nica adicionada ACL estendida existente. Isso permite trfego por um determinado perodo de
tempo; expiraes ociosas e absolutas so possveis.
Esse o formato da sintaxe do comando de configurao lock and key com autenticao local.
username username password password
interface <interface>
ip access-group {number|name} {in|out}
A ACL de entrada nica nesse comando dinamicamente adicionada ACL existente aps autenticao.
access-list access-list-number dynamic name{permit|deny} [protocol]
{source source-wildcard|any} {destination destination-wildcard|any}
[precedence precedence][tos tos][established] [log|log-input]
[operator destination-port|destination port]
line vty line_range
login local
Este um exemplo bsico de lock and key.
username test password 0 test
!--- Dez (minutos) a expirao ociosa.
username test autocommand access-enable host timeout 10
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip access-group 101 in
access-list 101 permit tcp any host 10.1.1.1 eq telnet
!--- 15 (minutos) a expirao absoluta.
access-list 101 dynamic testlist timeout 15 permit ip 10.1.1.0 0.0.0.255
172.16.1.0 0.0.0.255
line vty 0 4
login local
Depois que o usurio em 10.1.1.2 fizer uma conexo de Telnet para 10.1.1.1, a ACL dinmica ser aplicada. Em seguida, a conexo ser
descartada e o usurio poder seguir para a rede 172.16.1.x.
ACLs Nomeadas de IP
ACLs nomeadas de IP foram introduzidas no Cisco IOS Software Release 11.2. Elas permitem que ACLs padro e estendidas tenham nomes em
vez de nmeros.
Esse o formato da sintaxe do comando de ACLs nomeadas de IP.
ip access-list {extended|standard} name
Este um exemplo de TCP:
permit|deny tcp source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]] [established]
[precedence precedence] [tos tos] [log] [time-range time-range-name]
Este um exemplo do uso de uma ACL nomeada para bloquear todo o trfego, exceto a conexo Telnet do host 10.1.1.2 para o host 172.16.1.1.
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip access-group in_to_out in
ip access-list extended in_to_out
permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet
ACLs Reflexivas
As ACLs reflexivas foram introduzidas no Cisco IOS Software Release 11.3. ACLs reflexivas permitem que os pacotes IP sejam filtrados de
acordo com as informaes de sesso de camada superior. Geralmente so utilizadas para permitir o trfego de sada e para limitar o trfego de
entrada em resposta s sesses que so originadas dentro do roteador.
ACLs reflexivas podem ser definidas apenas com ACLs de IP de nomes estendidos. No podem ser definidas com ACLs de IP nomeadas padro
ou numeradas, ou com outras ACLs de protocolo. ACLs reflexivas podem ser usadas em conjunto com outras ACLs padro e estticas
estendidas.
Esta a sintaxe de vrios comandos de ACL reflexiva.
interface
ip access-group {number|name} {in|out}
ip access-list extended name
permit protocol any any reflect name [timeoutseconds]
ip access-list extended name
evaluate name
Este um exemplo da permisso do trfego externo e interno ICMP, enquanto somente o trfego TCP iniciado internamente permitido, outro
trfego negado.
ip reflexive-list timeout 120
interface Ethernet0/1
ip address 172.16.1.2 255.255.255.0
ip access-group inboundfilters in
ip access-group outboundfilters out
ip access-list extended inboundfilters
permit icmp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
evaluate tcptraffic
!--- Isso vincula a parte reflexiva da ACL outboundfilters,
!--- chamada tcptraffic, ACL inboundfilters.
ip access-list extended outboundfilters
permit icmp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 reflect tcptraffic
ACLs Baseadas no Perodo Utilizando Intervalos de Tempo
ACLs baseadas no perodo foram introduzidas no Cisco IOS Software Release 12.0.1.T. Embora sejam semelhantes aos ACLs estendidos com
relao funo, eles permitem controle de acesso com base no tempo. Um intervalo de tempo criado e define perodos especficos do dia e da
semana, para implementar ACLs baseadas no perodo. O intervalo de tempo identificado por um nome e, em seguida, referenciado por uma
funo. Portanto, as restries de tempo so impostas na prpria funo. O intervalo de tempo segue o relgio do sistema do roteador. O relgio
do roteador pode ser utilizado, mas o recurso funciona melhor com a sincronizao do NTP (Protocolo de Tempo de Rede).
Estes so os comandos de ACL baseados em tempo.
!--- Define um intervalo de tempo nomeado.
time-range time-range-name
!--- Define os horrios peridicos.
periodic days-of-the-week hh:mm to [days-of-the-week] hh:mm
!--- Ou, define os horrios absolutos.
absolute [start time date] [end time date]
!--- O intervalo de tempo utilizado na ACL atual.
ip access-list name|number <extended_definition>time-rangename_of_time-range
Neste exemplo, uma conexo de Telnet permitida de dentro para fora da rede na segunda-feira, na quarta-feira e na sexta-feira durante o horrio
comercial:
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip access-group 101 in
access-list 101 permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
eq telnet time-range EVERYOTHERDAY
time-range EVERYOTHERDAY
periodic Monday Wednesday Friday 8:00 to 17:00
Entradas de ACL IP Comentadas
Entradas de ACL IP comentadas foram introduzidas no Cisco IOS Software Release 12.0.2.T. Os comentrios deixam as ACLs mais fceis de
compreender e podem ser utilizados para ACLs de IP padro ou estendidas.
Esta a sintaxe do comando de ACL de IP com nome comentado.
ip access-list {standard|extended} name
remark remark
Esta a sintaxe do comando de ACL de IP numerada comentada.
access-list access-list-number remark remark
Este um exemplo de como comentar uma ACL numerada.
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip access-group 101 in
access-list 101 remark permit_telnet
access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet
Controle de Acesso Baseado em Contexto
O CBAC (Controle de acesso baseado em contexto) foi introduzido no Cisco IOS Software Release 12.0.5.T e requer o conjunto de recursos do
Cisco IOS Firewall. O CBAC inspeciona o trfego que viaja atravs do firewall para descobrir e gerenciar informaes de estado das sesses
TCP e UDP. Essa informao utilizada para criar aberturas temporrias nas listas de acesso do firewall. Configure as listas de ip inspect na
direo do fluxo de iniciao do trfego para permitir o trfego de retorno e conexes de dados adicionais para sesses permissveis, sesses
originrias da rede interna protegida, para fazer isso.
Esta a sintaxe para CBAC.
ip inspect name inspection-name protocol [timeoutseconds]
Este um exemplo do uso de CBAC para inspecionar trfego externo. A ACL 111 estendida normalmente bloqueia o trfego de retorno que no
seja ICMP sem brechas de abertura de CBAC para trfego de retorno.
ip inspect name myfw ftp timeout 3600
ip inspect name myfw http timeout 3600
ip inspect name myfw tcp timeout 3600
ip inspect name myfw udp timeout 3600
ip inspect name myfw tftp timeout 3600
interface Ethernet0/1
ip address 172.16.1.2 255.255.255.0
ip access-group 111 in
ip inspect myfw out
access-list 111 deny icmp any 10.1.1.0 0.0.0.255 echo
access-list 111 permit icmp any 10.1.1.0 0.0.0.255
Proxy de Autenticao
O proxy de autenticao foi introduzido no Cisco IOS Software Release 12.0.5.T. necessrio ter o conjunto de recursos do Cisco IOS Firewall.
O proxy de autenticao usado para autenticar usurios de entrada ou sada ou ambos. Usurios que normalmente so bloqueados por uma ACL
podem utilizar uma navegador para passar pelo firewall e autenticar-se em um servidor TACACS+ ou RADIUS. O servidor transmite entradas
ACL adicionais at o roteador para permitir que os usurios faam a autenticao.
O proxy de autenticao semelhante lock and key (ACLs dinmicas). Estas so as diferenas:
Lock and key acionado por uma conexo de Telnet ao roteador. O proxy de autenticao acionado pelo HTTP por meio do roteador.
O proxy de autenticao precisa utilizar um servidor externo.
O proxy de autenticao pode trabalhar com adio de listas dinmicas mltiplas. Lock and key s pode adicionar uma.
O proxy de autenticao tem uma expirao absoluta mas no um intervalo ocioso. O recurso lock and key tem dois.
Consulte o Cookbook de Configurao do Cisco Secure Integrated Software para obter exemplos de proxy de autenticao.
ACLs Turbo
As ACLs Turbo foram introduzidas no Cisco IOS Software Release 12.1.5.T e so encontradas somente no 7200, 7500 e em outras plataformas
de ponta. O recurso turbo ACL foi projetado para processar ACLs de maneira mais eficiente para aprimorar o desempenho do roteador.
Utilize o comando access-list compiled para ACLs tubo. Este um exemplo de uma ACL compilada:
access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet
access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq ftp
access-list 101 permit udp host 10.1.1.2 host 172.16.1.1 eq syslog
access-list 101 permit udp host 10.1.1.2 host 172.16.1.1 eq tftp
access-list 101 permit udp host 10.1.1.2 host 172.16.1.1 eq ntp
Depois definir uma ACL padro ou estendida, utilize o comando global configuration para compilar.
!--- Informe ao roteador para compilar
access-list compiled
Interface Ethernet0/1
ip address 172.16.1.2 255.255.255.0
!--- Aplica interface
ip access-group 101 in
O comando show access-list compiled mostra estatsticas sobre a ACL.
ACLs Distribudas Baseadas no Perodo
ACLs distribudas baseadas no perodo foram introduzidas no Cisco IOS Software Release 12.2.2.T para implementar ACLs baseadas no perodo
em roteadores da srie 7500 habilitados para VPN. Antes da incluso do recurso de ACL distribuda baseada no perodo, as ACLs baseadas no
perodo no eram suportadas em placas de linha para roteadores Cisco 7500 Series Routers. Se as ACLs baseadas no perodo fossem
configuradas, elas se comportavam como ACLs normais. Se uma interface em uma placa de linha fosse configurada com ACLs baseadas no
perodo, os pacotes comutados na interface no eram comutados de forma distribuda por meio da placa de linha, mas encaminhados para o
processador de rota para processamento.
A sintaxe de ACLs distribudas baseadas no perodo a mesma usada para ACLs baseada no perodo, com a adio dos comandos relativos ao
status das mensagens do IPC (Inter Processor Communication) entre o processador da rota e a placa de linha.
debug time-range ipc
show time-range ipc
clear time-range ipc
ACLs Recebidas
ACLs de recebimento so utilizadas para aumentar a segurana em roteadores Cisco 12000 por meio da proteo do Gigabit Route Processor
(GRP) do roteador contra trfego desnecessrio e potencialmente perigoso. As ACLs de recebimento foram includas como um waiver especial
ao avano na manuteno do Cisco IOS Software Release 12.0.21S2 e integradas ao 12.0(22)S. Consulte GSR: Listas de Controle de Acesso
Recebidas para obter mais informaes.
ACLs de Proteo de Infra-Estrutura
ACLs de infra-estrutura so utilizadas para minimizar o risco e a eficincia do ataque direto infra-estrutura por permisses explcitas de somente
trfego autorizado ao equipamento de infra-estrutura, enquanto permite todos os outros trfegos de trnsito. Consulte Protegendo Sua Base:
Listas de Controle de Proteo de Infra-Estrutura para obter mais informaes.
ACLs de Trnsito
Listas de controle de acesso (ACLs) de trnsito so utilizadas para aumentar a segurana da rede, pois permitem explicitamente apenas o trfego
necessrio em sua rede ou redes. Consulte Listas de Controle de Acesso de Trnsito: Filtrando sua Borda para obter mais informaes.
Informaes Relacionadas
RFC 1700
RFC 1918
Pgina de Suporte das Listas de Acesso
Pgina de Suporte do Firewall do IOS
Firewall de IOS em Documentao IOS
Suporte Tcnico e Documentao - Cisco Systems
1992-2014 Cisco Systems Inc. Todos os direitos reservados.
Data da Gerao do PDF: 4 Abril 2008
http://www.cisco.com/cisco/web/support/BR/8/85/85488_confaccesslists.html