Topologia Tabela de Endereçamento R1 Dispositivo Interface Endereço IP Máscara de Sub-Rede Gateway Padrão G0/0 172.22.34.65 255.255.255.224 N/A G0/1 172.22.34.97 255.255.255.240 N/A G0/2 172.22.34.1 255.255.255.192 N/A Server NIC 172.22.34.62 255.255.255.192 172.22.34.1 PC1 NIC 172.22.34.66 255.255.255.224 172.22.34.65 PC2 NIC 172.22.34.98 255.255.255.240 172.22.34.97 Objetivos Parte 1: Configurar, aplicar e verificar uma ACL estendida numerada Parte 2: Configurar, aplicar e verificar uma ACL estendida nomeada Histórico/cenário Dois funcionários precisam acessar os serviços fornecidos pelo servidor. O PC1 precisa somente de acesso ao FTP, enquanto o PC2 precisa somente do acesso à Web. Ambos os computadores podem fazer ping no servidor, mas não entre si. 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados Este documento contém informações públicas da Cisco. Página 1 de 5
Parte 1: Configurar, aplicar e verificar uma ACL estendida numerada Etapa 1: Configure uma ACL para habilitar FTP e ICMP. a. No modo de configuração global em R1, insira o comando a seguir para determinar o primeiro número válido para uma lista de acesso estendido. R1(config)# access-list? <1-99> IP standard access list <100-199> IP extended access list b. Adicione 100 ao comando, seguido por um ponto de interrogação. R1(config)# access-list 100? deny Specify packets to reject permit Specify packets to forward remark Access list entry comment c. Para permitir o tráfego de FTP, insira permit, seguido por um ponto de interrogação. R1(config)# access-list 100 permit? ahp Authentication Header Protocol eigrp Cisco's EIGRP routing protocol esp Encapsulation Security Payload gre Cisco's GRE tunneling icmp Internet Control Message Protocol ip Any Internet Protocol ospf OSPF routing protocol tcp Transmission Control Protocol udp User Datagram Protocol d. Essa ACL permite o FTP e o ICMP. O ICMP é listado acima, mas o FTP não é, porque o FTP usa o TCP. Então, digite TCP. Insira tcp para refinar ainda mais a ajuda da ACL. R1(config)# access-list 100 permit tcp? A.B.C.D Source address any Any source host host A single source host e. Observe que poderíamos filtrar apenas por PC1 usando a palavra-chave host ou podemos permitir qualquer host usando a palavra-chave any. Nesse caso, é permitido qualquer dispositivo que tenha um endereço que pertença à rede 172.22.34.64/27. Digite o endereço de rede, seguido de um ponto de interrogação. R1(config)# access-list 100 permit tcp 172.22.34.64? A.B.C.D Source wildcard bits f. Calcule a máscara curinga que determina o oposto binário de uma máscara de sub-rede. 11111111.11111111.11111111.11100000 = 255.255.255.224 00000000.00000000.00000000.00011111 = 0.0.0.31 g. Digite a máscara curinga, seguida de um ponto de interrogação. R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31? A.B.C.D Destination address 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados Este documento contém informações públicas da Cisco. Página 2 de 5
any eq gt host lt neq range Any destination host Match only packets on a given port number Match only packets with a greater port number A single destination host Match only packets with a lower port number Match only packets not on a given port number Match only packets in the range of port numbers h. Configure o endereço destino. Neste cenário, estamos filtrando o tráfego para um único destino, o servidor. Digite a palavra-chave host seguida do endereço IP do servidor. 172.22.34.62? dscp Match packets with given dscp value eq Match only packets on a given port number established established gt Match only packets with a greater port number lt Match only packets with a lower port number neq Match only packets not on a given port number precedence Match packets with given precedence value range Match only packets in the range of port numbers <cr> i. Observe que uma das opções é <cr> (retorno de carro). Em outras palavras, você pode pressionar Enter e a instrução permitirá todo o tráfego TCP. No entanto, somente permitimos tráfego de FTP; portanto, insira a palavra-chave eq, seguida por um ponto de interrogação para exibir as opções disponíveis. Em seguida, insira ftp e pressione Enter. 172.22.34.62 eq? <0-65535> Port number ftp File Transfer Protocol (21) pop3 Post Office Protocol v3 (110) smtp Simple Mail Transport Protocol (25) telnet Telnet (23) www World Wide Web (HTTP, 80) 172.22.34.62 eq ftp j. Crie uma segunda instrução de lista de acesso para permitir tráfego ICMP (ping etc.) de PC1 para Servidor. Observe que o número da lista de acesso permanece o mesmo e um tipo específico de tráfego ICMP não precisa ser determinado. R1(config)# access-list 100 permit icmp 172.22.34.64 0.0.0.31 host 172.22.34.62 k. Todo o tráfego restante é negado, por padrão. 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados Este documento contém informações públicas da Cisco. Página 3 de 5
Etapa 2: Aplicar a ACL à interface correta para filtrar o tráfego. Da perspectiva de R1, a ACL 100 é aplicada ao tráfego que entra na interface Gigabit Ethernet 0/0. Entre no modo configuração de interface e aplique a ACL. R1(config)# interface gigabitethernet 0/0 R1(config-if)# ip access-group 100 in Etapa 3: Verifique a implementação da ACL. a. Faça ping de PC1 para o Servidor. Se os pings não tiverem êxito, verifique os endereços IP antes de continuar. b. Faça FTP de PC1 para o Servidor. O nome de usuário e a senha são cisco. PC> ftp 172.22.34.62 c. Saia do serviço de FTP do Servidor. ftp> quit d. Faça ping de PC1 para PC2. O host destino deve estar inacessível, pois o tráfego não foi permitido explicitamente. Parte 2: Configure, aplique e verifique uma ACL estendida nomeada Etapa 1: Configure uma ACL para permitir acesso HTTP e ICMP. a. As ACLs nomeadas começam com a palavra-chave ip. No modo de configuraçãoglobal de R1, insira o seguinte comando, seguido por um ponto de interrogação. R1(config)# ip access-list? extended Extended Access List standard Standard Access List b. Você pode configurar as ACls padrão e estendidas nomeadas. Esta lista de acesso filtrará os endereços IP origem e destino; portanto, deve ser estendida. Insira HTTP_ONLY como o nome. (Para a pontuação do Packet Tracer, o nome distingue letras maiúsculas e minúsculas.) R1(config)# ip access-list extended HTTP_ONLY c. O prompt é alterado. Você está agora no modo de configuração de ACL estendida nomeada. Todos os dispositivos na LAN de PC2 precisam de acesso TCP. Digite o endereço de rede, seguido de um ponto de interrogação. R1(config-ext-nacl)# permit tcp 172.22.34.96? A.B.C.D Source wildcard bits d. Outra maneira de calcular uma máscara curinga é subtrair a máscara de sub-rede de 255.255.255.255. 255.255.255.255-255.255.255.240 ----------------- = 0. 0. 0. 15 R1(config-ext-nacl)# permit tcp 172.22.34.96 0.0.0.15? e. Termine a instrução especificando o endereço de servidor como você fez na Parte 1 e filtrando o tráfego www. R1(config-ext-nacl)# permit tcp 172.22.34.96 0.0.0.15 host 172.22.34.62 eq www 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados Este documento contém informações públicas da Cisco. Página 4 de 5
f. Crie uma segunda instrução de lista de acesso para permitir tráfego ICMP (ping etc.) de PC2 para Servidor. Observação: o prompt permanece o mesmo e um tipo específico de tráfego ICMP não precisa ser determinado. R1(config-ext-nacl)# permit icmp 172.22.34.96 0.0.0.15 host 172.22.34.62 g. Todo o tráfego restante é negado, por padrão. Saia do modo de configuração de ACL estendida nomeada. Etapa 2: Aplicar a ACL à interface correta para filtrar o tráfego. Da perspectiva de R1, a lista de acesso HTTP_ONLY é aplicada ao tráfego que entra na interface Gigabit Ethernet 0/1. Entre no modo configuração de interface e aplique a ACL. R1(config)# interface gigabitethernet 0/1 R1(config-if)# ip access-group HTTP_ONLY in Etapa 3: Verifique a implementação da ACL. a. Faça ping de PC2 para o Servidor. Se os pings não tiverem êxito, verifique os endereços IP antes de continuar. b. Faça FTP de PC2 para o Servidor. A conexão deve falhar. c. Abra o navegador Web em PC2 e insira o endereço IP do Servidor como URL. A conexão deve ser bem-sucedida. 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados Este documento contém informações públicas da Cisco. Página 5 de 5