uma ACL Extendida é criada com o comando access-list e depois aplicada à interface usando o comando access-group. Standard ACL syntax and description are shown below
Ciscoasa(config)# access-list access-list-number {deny | permit} protocol source-address
|
Syntax Description |
|
|
access-list-number |
Identifies an access list by number as a standard or extended list. também permite a criação e separação de listas de acesso múltiplo. |
|
deny |
Nega o acesso se que as condições sejam correspondidas. |
|
autorização |
Permite o acesso caso as condições sejam correspondidas. |
|
Protocolo |
o Nome ou o Número de um Protocolo de Internet, tais IP, TCP, UDP, EIGRP, OSPF, etc |
|
fonte |
Especifica o endereço IP/rede para coincidir com o endereço de IP de origem do Pacote. Use a palavra-chave como uma abreviatura para uma fonte e fonte-wildcard de 0.0.0.0 255.255.255.255. |
|
fonte-curinga |
(Opcional) Curinga bits para ser aplicada a fonte |
|
destino |
Especifica o endereço IP/rede para corresponder ao endereço IP de destino do Pacote. Use a palavra-chave como uma abreviatura para um destino e destino-wildcard de 0.0.0.0 255.255.255.255. |
|
destino-curinga |
(Opcional) Curinga bits para ser aplicada para o destino |
|
iniciar sessão |
Faz com que uma informativos mensagem de log sobre o pacote que corresponde a entrada a ser enviada para o console. |
|
Registo de entrada |
(Opcional) Inclui a interface de entrada e endereço MAC de origem ou VC no log de saída. |
In Cisco IOS the Extended ACLs can have numbers in range of 100-199 and 2000-2699. ACLs estendidos devem ser aplicados perto da fonte dos pacotes para que um pacote seja negado perto da fonte para salvar recursos de roteador e largura de banda, em vez de ser encaminhado perto do destino e, eventualmente, ser negado. Usaremos a rede representada na figura abaixo para explicar este conceito.
nossa tarefa é configurar a rede de modo que o host 20.1.1.2 não pode acessar 10.1.1.2, primeiro vamos criar uma lista de acesso, como mostrado abaixo.
Ciscoasa(config)# access-list 101 negar ip do host 20.1.1.2 host 10.1.1.2
Ciscoasa(config)# access-list 101 permitir ip a qualquer
e, em seguida, aplicar-se-á esta lista de acesso a uma interface que irá processar os pacotes de entrada e se há correspondência que irá largar os pacotes. Uma vez que os ACLs estendidos incluem informações suficientes para corresponder adequadamente ao pacote certo quando podem colocá-los em qualquer lugar da rede, mas o senso comum nos dita para colocá-los perto da fonte para a eficiência, uma vez que colocá-los longe da fonte irá consumir desnecessariamente recursos de rede.
exemplos de configuração
Este exemplo foca em aplicações de ACLs estendidos. Vamos usar a rede na figura acima para explicar vários exemplos de configuração de ACLs estendidos. Em primeiro lugar, vamos usar um ACL estendido para restringir o host 1 para acessar o servidor FTP com o endereço IP 20.1.1.10 ligado à LAN na interface R5 E0 / 0.
R1(config)# access-list 101 negar o tcp do host 10.1.1.2 host 20.1.1.10 eq FTP
R1(config)# access-list 101 permitir ip a qualquer
R1(config)# interface ethernet0/0
R1(config)# access-group 101
A configuração mostrada acima configura R1 para restringir pacotes de FTP provenientes de host 10.1.1.2 e destinado para o Servidor de FTP 20.1.1.10 e permitir que todas as outras comunicações.
Há também vários outros exemplos de ACLs estendidos devido à sua capacidade de combinar múltiplos campos de um pacote. Por exemplo, podemos configurar um ACL no R1 para negar completamente o host 10.1.1.2, isolando-o assim da rede interna completa.
R1(config)# access-list 110 negar host de ip 10.1.1.2 qualquer
R1(config)# access-list 110 permitir ip a qualquer
R1(config)# interface ethernet0/0
R1(config)# access-group 101
A configuração mostrada acima configura R1 restringir quaisquer pacotes provenientes de host 10.1.1.2 e permitir que todas as outras comunicações assim, isolar o anfitrião de interconexão de redes.
isto nos leva ao fim desta lição em que cobrimos ACLs estendidos, é muito importante que ambos tenhamos o conhecimento teórico e prático de ACLs estendidos para dominar o tópico.