domingo, 10 de fevereiro de 2013

20º Post - ACL Padrão

ACL padrão é o modo de filtragem mais antigo, e portanto mais simples. A acl padrão usa a seguinte numeração:





A sintaxe do comando é o seguinte:

access-list NÚMERO ( deny | permit ) SUB-REDE MÁSCARA-CURINGA


deny = filtra (nega)
permit = permite o encaminhamento do pacote de dados
sub-rede = número ip da sub-rede de origem
máscara-curinga = máscara-curinga


O único tópico diferente do que foi visto até o momento é a máscara-curinga, que é o oposto da máscara de sub-rede, podendo ser especificada desde uma sub-rede completa, até um único host, pois como a máscara de rede, também é definida como uma operação AND, ou seja, é multiplicado os valores binários da sub-rede com a máscara, e a operação AND é uma multiplicação com 0 x 0 = 0 e 0 x 1 = 0 e 1 x 1 =1.

Acl padrão verifica apenas o endereço IP de ORIGEM - por esse motivo a Cisco recomenda que seja colocada o mais próximo possível do destino. Vejamos no nosso exemplo:



Observe  que o Server1 foi colocado em uma sub-rede única. 

Vamos supor que eu queire restringir o acesso da sub-rede 10.0.10.0 255.255.255.0 ao SERVER1 através de uma acl:
  • Se for colocada na interface fa0/0 de router1, TODO o tráfego para qualquer destino fora dessa sub-rede será filtrado(negado);
  • Se for colocada na interface s0/0/0 de router1, TODO o tráfego para qualquer destino fora dessa sub-rede será filtrado(negado);
  • Se for colocada na interface s0/0/0 de router2, TODO o tráfego para qualquer destino em router2 será filtrado(negado);
  • Se for colocada na interface fa0/0 de router2, TODO o tráfego para o destino fora dessa sub-rede será filtrado(negado);
  • Se for colocada na interface fa0/0 de router2, TODO o tráfego para o destino server2 será filtrado(negado) - e satisfaremos o design de rede proposto.


E as ACL, quando são colocadas em alguma interface, é necessário impor em qual direção e acl irá filtrar o tráfego. Mas em qual direção? Simples, NA DIREÇÃO DO TRÁFEGO DO PACOTE, no nosso exemplo, será na saída da interface fa0/0 de router2.

Segue abaixo o running config de router1:

router1#show running-config


Building configuration...

Current configuration : 676 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname router1
!
interface FastEthernet0/0
 ip address 10.0.10.1 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 no ip address
 duplex auto
 speed auto
 shutdown
!
interface Serial0/0/0
 ip address 10.0.20.2 255.255.255.252
!
interface Serial0/0/1
 no ip address
 shutdown
!
interface Vlan1
 no ip address
 shutdown
!
ip classless
ip route 10.0.30.0 255.255.255.0 10.0.20.1
ip route 10.0.40.0 255.255.255.252 10.0.20.1
!
no cdp run
!
line con 0
line vty 0 4
 login
!
end
router1#


E o running-config de router2:

router2#show running-config

Building configuration...

Current configuration : 662 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname router2
!
interface FastEthernet0/0
 ip address 10.0.30.1 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 10.0.40.1 255.255.255.252
 duplex auto
 speed auto
!
interface Serial0/0/0
 ip address 10.0.20.1 255.255.255.252
 clock rate 128000
!
interface Serial0/0/1
 no ip address
 shutdown
!
interface Vlan1
 no ip address
 shutdown
!
ip classless
ip route 10.0.10.0 255.255.255.0 10.0.20.2
!
no cdp run
!

line con 0
line vty 0 4
 login
!
end

router2#


E o ping e tracert do PC1 para o server1:


PC>ping 10.0.40.2

Pinging 10.0.40.2 with 32 bytes of data:

Reply from 10.0.40.2: bytes=32 time=26ms TTL=126
Reply from 10.0.40.2: bytes=32 time=19ms TTL=126
Reply from 10.0.40.2: bytes=32 time=25ms TTL=126
Reply from 10.0.40.2: bytes=32 time=11ms TTL=126

Ping statistics for 10.0.40.2:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 11ms, Maximum = 26ms, Average = 20ms

PC>tracert 10.0.40.2

Tracing route to 10.0.40.2 over a maximum of 30 hops:

  1   44 ms     13 ms     28 ms     10.0.10.1
  2   32 ms     18 ms     6 ms      10.0.20.1
  3   25 ms     48 ms     38 ms     10.0.40.2

Trace complete.

PC>




E o ping e o tracert do PC2 para o server1:


PC>ping 10.0.40.2

Pinging 10.0.40.2 with 32 bytes of data:

Reply from 10.0.40.2: bytes=32 time=42ms TTL=126
Reply from 10.0.40.2: bytes=32 time=17ms TTL=126
Reply from 10.0.40.2: bytes=32 time=30ms TTL=126
Reply from 10.0.40.2: bytes=32 time=16ms TTL=126

Ping statistics for 10.0.40.2:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 16ms, Maximum = 42ms, Average = 26ms

PC>tracert 10.0.40.2

Tracing route to 10.0.40.2 over a maximum of 30 hops:

  1   9 ms      8 ms      8 ms      10.0.10.1
  2   15 ms     20 ms     18 ms     10.0.20.1
  3   9 ms      11 ms     22 ms     10.0.40.2

Trace complete.

PC>


Observe a comunicação fim-a-fim desde a sub-rede 10.0.10.0 255.255.255.0 até o server1 10.0.40.2 255.255.255.252.

Agora vamos configurar a acl no router2:


router2(config)#access-list 1 deny 10.0.10.0 0.0.0.255
router2(config)#access-list 1 permit any
router2(config)#

Repare que foi colocado o comando access-list 1 permit any. Mas por quê? Porque no final de cada ACL possui um comando implícito ACCESS-LIST "NÚMERO" DENY. E o desejado é apenas filtrar(negar) somente o tráfego da sub-rede 10.0.10.0 255.255.255.0.

A máscara-curinga pode ser substituída pela palavras:

  • ANY - qualquer um, ou seja representa a sub-rede toda;
  • HOST - filtra um único endereço específico
No comando anterior, a palavra ANY significa qualquer um.

Mas também falta atribuir a acl à interface, da seguinte forma:


router2(config)#

router2(config)#interface fa0/1
router2(config-if)#
router2(config-if)#ip access-group 1 out

O comando adicional para que a acl 1 filtre o tráfego é:


ip access-group "NÚMERO DA ACL" ( in | out )

in - entrada do tráfego
out - saída do tráfego

Agora segue o comando running-config de router2:


router2#show running-config
Building configuration...
Current configuration : 749 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname router2
!
interface FastEthernet0/0
 ip address 10.0.30.1 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 10.0.40.1 255.255.255.252
 ip access-group 1 out
 duplex auto
 speed auto
!
interface Serial0/0/0
 ip address 10.0.20.1 255.255.255.252
 clock rate 128000
!
interface Serial0/0/1
 no ip address
 shutdown
!
interface Vlan1
 no ip address
 shutdown
!
ip classless
ip route 10.0.10.0 255.255.255.0 10.0.20.2
!
!
access-list 1 deny 10.0.10.0 0.0.0.255
access-list 1 permit any
!
no cdp run
!
line con 0
line vty 0 4
 login
!
end
router2#


Vejamos agora o ping e o tracert do PC1 para o server1:


PC>ping 10.0.40.2

Pinging 10.0.40.2 with 32 bytes of data:

Reply from 10.0.20.1: Destination host unreachable.
Reply from 10.0.20.1: Destination host unreachable.
Reply from 10.0.20.1: Destination host unreachable.
Reply from 10.0.20.1: Destination host unreachable.

Ping statistics for 10.0.40.2:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

PC>

PC>tracert 10.0.40.2

Tracing route to 10.0.40.2 over a maximum of 30 hops:

  1   14 ms     10 ms     13 ms     10.0.10.1
  2   16 ms     19 ms     20 ms     10.0.20.1
  3   16 ms     20 ms     6 ms      10.0.20.1
  4   16 ms     17 ms     19 ms     10.0.20.1
  5   17 ms     16 ms     19 ms     10.0.20.1
  6   8 ms      16 ms     9 ms      10.0.20.1
  7   14 ms     19 ms     10 ms     10.0.20.1
  8   10 ms     18 ms     16 ms     10.0.20.1
  9   17 ms     15 ms     20 ms     10.0.20.1
  10   19 ms     17 ms     15 ms     10.0.20.1
  11   17 ms     15 ms     19 ms     10.0.20.1
  12   17 ms     10 ms     18 ms     10.0.20.1
  13   16 ms     17 ms     18 ms     10.0.20.1
  14   16 ms     19 ms     18 ms     10.0.20.1
  15   18 ms     19 ms     19 ms     10.0.20.1
  16   18 ms     18 ms     19 ms     10.0.20.1
  17   23 ms     17 ms     16 ms     10.0.20.1
  18   21 ms     17 ms     15 ms     10.0.20.1
  19   18 ms     21 ms     18 ms     10.0.20.1
  20   10 ms     15 ms     21 ms     10.0.20.1
  21   14 ms     11 ms     18 ms     10.0.20.1
  22   17 ms     12 ms     18 ms     10.0.20.1
  23   18 ms     18 ms     16 ms     10.0.20.1
  24   14 ms     17 ms     17 ms     10.0.20.1
  25   16 ms     19 ms     15 ms     10.0.20.1
  26   16 ms     17 ms     19 ms     10.0.20.1
  27   9 ms      18 ms     18 ms     10.0.20.1
  28   19 ms     17 ms     13 ms     10.0.20.1
  29   18 ms     16 ms     20 ms     10.0.20.1
  30   19 ms     17 ms     15 ms     10.0.20.1

O ping padrão manda 5 pacotes ao destino, mas o tracert manda 30 pacotes. Observer que o primeiro pacote do tracert vai até o gateway padrão router1, depois vai até o router2, mas todas as outras solicitações, que iriam até o server1, foram até o router2 e parou nele.

Observações importantes:
  • O tráfego que será filtrado(negado), é roteado pelo router1 e enviado para o router2, consumindo processamento e tempo do router1;
  • Passa pelo link serial, consumindo largura de banda e dinheiro devido ao link;
  • É roteado no router2, e somente quando é enviado pra fora de fa0/1 é que é filtrado(negado).
Por causa desses motivos, a acl padrão não é o modo desejável de filtrar esse tipo de tráfego.

Mas PC3 e PC4 conseguem receber as respostas de ping e tracert.

PC3:

PC>ipconfig

IP Address......................: 10.0.30.50
Subnet Mask.....................: 255.255.255.0
Default Gateway.................: 10.0.30.1

PC>
PC>ping 10.0.40.2

Pinging 10.0.40.2 with 32 bytes of data:

Reply from 10.0.40.2: bytes=32 time=21ms TTL=127
Reply from 10.0.40.2: bytes=32 time=20ms TTL=127
Reply from 10.0.40.2: bytes=32 time=18ms TTL=127
Reply from 10.0.40.2: bytes=32 time=18ms TTL=127

Ping statistics for 10.0.40.2:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 18ms, Maximum = 21ms, Average = 19ms

PC>tracert 10.0.40.2

Tracing route to 10.0.40.2 over a maximum of 30 hops: 

  1   18 ms     14 ms     11 ms     10.0.30.1
  2   19 ms     20 ms     19 ms     10.0.40.2

Trace complete.


PC4:

PC>ipconfig

IP Address......................: 10.0.30.189
Subnet Mask.....................: 255.255.255.0
Default Gateway.................: 10.0.30.1

PC>ping 10.0.40.2

Pinging 10.0.40.2 with 32 bytes of data:

Reply from 10.0.40.2: bytes=32 time=33ms TTL=127
Reply from 10.0.40.2: bytes=32 time=4ms TTL=127
Reply from 10.0.40.2: bytes=32 time=18ms TTL=127
Reply from 10.0.40.2: bytes=32 time=15ms TTL=127

Ping statistics for 10.0.40.2:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 4ms, Maximum = 33ms, Average = 17ms

PC>tracert 10.0.40.2

Tracing route to 10.0.40.2 over a maximum of 30 hops: 

  1   18 ms     11 ms     6 ms      10.0.30.1
  2   19 ms     15 ms     17 ms     10.0.40.2

Trace complete.

PC>


Essa é a explicação de ACL padrão, no próximo post será demonstrado ACL estendida.


Postado por às
Marcadores: ,

Nenhum comentário:

Postar um comentário

Milhões de comentários!!!

Assinar: Postar comentários (Atom)