Estendidas Access Control Lists (ACLs)

Estendidas Access Control Lists (ACLs) permitem que você permitir ou negar tráfego de endereços IP específicos para um endereço IP de destino específico e porto. Ele também permite que você especifique diferentes tipos de tráfego, tais como ICMP, TCP, UDP, etc. Escusado será dizer, é muito granular e permite que você seja muito específico.

Se você pretende criar um firewall de filtragem de pacotes para proteger sua rede é uma ACL estendida que você vai precisar para criar.

O exemplo que irá ser utilizado, inclui um router que está ligado ao segmento 192.168.8.0/24 sobre uma interface interna (FastEthernet 0/0) Utilizando o endereço 192.168.8.1/24, e para o segmento 10.0.2.0/24 sobre uma interface externa (FastEthernet 0/1) Usando o endereço 10.0.2.1/24.

Neste caso, você iria gerir a rede 192.168.8.0/24 e algum grupo desconhecido e não confiável gerencia o resto da rede, como mostrado. Nesta rede, você deseja permitir que os usuários acessem apenas servidores web fora da rede. Para apoiar isso, você precisa criar duas ACLs, 101 e 102.

Você usa access-list 101 para gerenciar o tráfego que sai do escritório e access-list 102 para gerenciar o tráfego proveniente da rede não confiável para o escritório.

Criando ACL 101

Router1>habilitarPassword: # configure comandos de configuração terminalEnter Router1, um por linha. Terminar com / Z.Router1 (config) access-list CNTL # 101 observação Esta ACL é controlar o roteador de saída traffic.Router1 (config) # access-list 101 permitir tcp 192.168.8.0 0.0.0.255 qualquer eq 80Router1 (config) # access-list 101 permitir tcp 192.168.8.0 0.0.0.255 qualquer eq 443Router1 (config) #fim

Criando ACL 102

Router1>habilitarPassword: # configure comandos de configuração terminalEnter Router1, um por linha. Terminar com access-list CNTL / Z.Router1 (config) # 102 observação Esta ACL é controlar o router de entrada traffic.Router1 (config) # access-list 102 permitir tcp qualquer 192.168.8.0 0.0.0.255 establishedRouter1 (config) #fim

Se você examinar ACL 101, a repartição do formato do comando é a seguinte:

• A ACL é o número 101

• Ele permite que o tráfego

• Ele permite que o tráfego TCP

• A fonte que é permitida a partir é definido por 192.168.8.0 com uma máscara curinga de 0.0.0.255

• O host de destino é qualquer anfitrião

• O tráfego TCP que é permitido é na porta 80

• A segunda linha é o mesmo, mas permite que o tráfego na porta TCP 443

Se você fazer o mesmo exame da segunda ACL, ACL 102, você deve acabar com o seguinte:

• A ACL é o número 102

• Ele permite que o tráfego

• Ele permite que o tráfego TCP

• A fonte que é permitida a partir é qualquer anfitrião

• O host de destino é definida por 192.168.8.0 com uma máscara curinga de 0.0.0.255

• O tráfego TCP que é permitido qualquer tráfego em uma sessão estabelecida

O último item na ACL 102 é algo para olhar um pouco mais. Na ilustração a seguir, um computador cliente na rede 192.168.8.0/24 criou uma sessão TCP com um servidor remoto. Esta sessão TCP teve um processo de handshaking que estabeleceu que as portas estavam indo para ser usado, que era um porto escolhidos aleatoriamente no cliente e porta 80 no servidor.

A porta que é utilizado na ACE é dependente do endereço de destino, e neste caso, a porta de destino é um porto escolhido aleatoriamente no cliente. Em vez de especificar que todas as portas possível é aberta, o que não seria seguro, a opção é para dizer que qualquer sessão estabelecida no cliente é permitido. Portanto, se o cliente abre a ligação, este ACL irá permitir que o tráfego para voltar.