Aula 14 - NAT DINAMICO E ACL
42 Pages • 3,712 Words • PDF • 1.5 MB
Uploaded at 2021-09-24 10:58
This document was submitted by our user and they confirm that they have the consent to share it. Assuming that you are writer or own the copyright of this document, report to us by using this DMCA report button.
NAT – NETWORK ADDRESS TRANSLATION NAT DINÂMICO
Profº Marcelo Cardinal
NETWORK ADDRESS TRANSLATION Operação do NAT dinâmico Quando o NAT estático fornecer um mapeamento permanente entre um endereço local interno e um endereço global interno, o NAT dinâmico permitirá o mapeamento automático de endereços locais internos para endereços globais de entrada. Esses endereços globais internos geralmente são os endereços IPv4 públicos. O NAT dinâmico usa um grupo ou pool de endereços IPv4 público para conversão. O NAT dinâmico, assim como o NAT estático, requer a configuração de interfaces internas e externas que participam do NAT. No entanto, onde o NAT estático cria um mapa permanente para um único endereço, o NAT dinâmico usa um pool de endereços. Observação: converter endereços IPv4 públicos e privados é de longe o uso mais comum do NAT. No entanto, as conversões de NAT podem ocorrer entre todos os pares de endereços.
NETWORK ADDRESS TRANSLATION A topologia do exemplo mostrado na figura tem uma rede interna usando endereços do espaço de endereço privado RFC 1918. Duas redes locais, 192.168.10.0/24 e 192.168.11.0/24, são conectadas ao roteador R1. O roteador de borda R2 é configurado para NAT dinâmico com um pool de endereços IPv4 públicos 209.165.200.226 a 209.165.200.240.
O pool de endereços IPv4 públicos (pool de endereços globais internos) está disponível para qualquer dispositivo na rede interna, na ordem de chegada. Com o NAT dinâmico, um único endereço interno é convertido em um único endereço externo. Com esse tipo de conversão, deve haver endereços suficientes no pool para acomodar todos os dispositivos internos que precisam de acesso à rede externa ao mesmo tempo. Se todos os endereços no pool tiverem sido usados, um dispositivo deverá esperar um endereço disponível antes que possa acessar a rede externa.
NETWORK ADDRESS TRANSLATION
ACL – ACCESS LIST EXPLICAÇÃO E EXEMPLIFICAÇÃO
Profº Marcelo Cardinal
ACCESS LIST O que é uma ACL? Uma ACL é uma série de comandos de IOS que controlam se um roteador encaminha ou elimina pacotes com base nas informações encontradas no cabeçalho do pacote. As ACLs estão entre os recursos do software IOS CISCO usados com mais frequência. Quando configuradas, as ACLs executam as seguintes tarefas: •
Limitam o tráfego e aumentam o desempenho da rede. Por exemplo, se a política corporativa não permite tráfego de vídeo na rede, as ACLs que bloqueiam tráfego de vídeo podem ser configuradas e aplicadas. Isso reduziria significativamente a carga da rede e aumentaria o desempenho da rede.
•
Fornecer controle de fluxo de tráfego. As ACLs podem restringir o fornecimento de atualizações de roteamento para garantir que as atualizações sejam de uma fonte conhecida.
•
Fornecer um nível básico de segurança para acesso à rede. As ACLs podem permitir que um host acesse uma parte da rede e impedir que outro host acesse a mesma área. Por exemplo, o acesso à rede de Recursos Humanos poderá ser restrito a usuários autorizados.
•
Filtram tráfego com base no tipo de tráfego. Por exemplo, uma ACL pode permitir tráfego de correio eletrônico, mas bloquear todo o tráfego de Telnet.
•
Selecionam hosts para permitir ou negar acesso aos serviços de rede. As ACLs podem permitir ou negar a um usuário o acesso a tipos de arquivo, como FTP ou HTTP.
ACCESS LIST Por padrão, um roteador não tem ACLs configuradas; portanto, por padrão um roteador não filtra o tráfego. O tráfego que entra no roteador é instalado somente com base nas informações na tabela de roteamento. Entretanto, quando uma ACL for aplicada a uma interface, o roteador executará a tarefa adicional de avaliar todos os pacotes de rede que passam pela interface para determinar se o pacote pode ser enviado. Além da permissão ou negação de tráfego, as ACLs podem ser usadas selecionando tipos de tráfego que serão analisados, enviados ou processados de outras formas. Por exemplo, as ACLs podem ser usadas para classificar o tráfego para ativar o processamento de prioridade. Esse recurso é semelhante a ter um ingresso VIP em um show ou em evento esportivo. O ingresso VIP fornece aos convidados selecionados os privilégios não oferecidos aos portadores de bilhetes de admissão geral, como a entrada prioritária ou possibilidade de entrar em uma área restrita. A figura mostra uma amostra de topologia com ACLs aplicadas.
ACCESS LIST
ACCESS LIST Filtragem de pacotes Uma ACL é uma lista sequencial de instruções de permissão ou de negação, conhecidas como entradas de controle de acesso (ACEs). As ACEs também são chamadas de instruções da ACL. Quando o tráfego da rede passa através de uma interface configurada com uma ACL, o roteador compara as informações no pacote com cada ACE, em ordem sequencial, para determinar se o pacote corresponde a uma das ACEs. Esse processo é chamado de filtragem de pacote. A filtragem de pacotes controla o acesso a uma rede analisando os pacotes de entrada e saída e encaminhando ou rejeitando-os com base nos critérios fornecidos. A filtragem de pacotes pode ocorrer na camada 3 ou camada 4, como mostrado na figura. As ACLs padrão filtram somente na camada 3. As ACLs estendidas filtram nas camadas 3 e 4.
Nota: as ACLs estendidas não estão no escopo deste curso. O endereço IPv4 de origem é um critério de filtragem definido em cada ACE de uma ACL IPv4 padrão. Um roteador configurado com uma ACL IPv4 padrão extrai o endereço IPv4 de origem do cabeçalho do pacote. O roteador começa na parte superior da ACL e compara o endereço com cada ACE sequencialmente. Quando houver correspondência, o roteador realizará a instrução, permitindo ou negando o pacote. Depois que uma correspondência for feita, as ACEs restantes na ACL, se houver, não serão analisadas. Se o endereço IPv4 de origem não corresponder a nenhuma ACE na ACL, o pacote será descartado. A última instrução de uma ACL é sempre um deny implícito. Esta instrução é automaticamente inserida no final de cada ACL, embora não esteja fisicamente presente. O deny implícito bloqueia todo o tráfego. Devido a este deny implícito, uma ACL que não tenha pelo menos uma instrução de permissão bloqueará todo o tráfego.
ACCESS LIST
ACCESS LIST Operação ACL As listas de acesso expressam o conjunto de regras que permitem maior controle dos pacotes que chegam às interfaces de entrada, pacotes que são retransmitidos através do roteador e pacotes que saem das interfaces do roteador. As ACLs não atuam em pacotes que se originam do roteador. Os ACLs podem ser configurados para serem aplicados ao tráfego de entrada e de saída, como mostrado na figura. •
ACLs de entrada - os pacotes de entrada são processados antes de serem roteados para a interface de saída. Uma ACL de entrada é eficiente porque salva a sobrecarga de pesquisas de roteamento se o pacote é descartado. Se o pacote for permitido pela ACL, ele será processado para roteamento. As ACLs de entrada são mais usadas para filtrar pacotes quando a rede conectada a uma interface de entrada é a única origem dos pacotes que precisa ser examinada.
•
ACLs de saída - os pacotes de entrada são encaminhados para a interface de saída e processados em seguida por meio da ACL de saída. As ACLs de saída são mais usadas quando o mesmo filtro é aplicado aos pacotes que vêm de várias interfaces de entrada antes de saírem da mesma interface de saída.
DESAFIO
DEMONSTRAÇÃO DE UMA ACL
ACCESS LIST EXERCÍCIO NO CLASSROOM AULA 14
ACCESS LIST Apresentação da máscara curinga na ACL Máscaras curinga As ACEs IPv4 incluem o uso de máscaras curinga. Uma máscara curinga é uma sequência de 32 dígitos binários usados pelo roteador para determinar que bits do endereço serão examinados para uma correspondência. Como ocorre com as máscaras máscara curinga identificam do endereço IPv4. Porém, em usados para fins diferentes
de sub-rede, os números 1 e 0 na como lidar com os bits correspondentes uma máscara curinga, esses bits são e seguem regras diferentes.
As máscaras de sub-rede usam os binários 1 e 0 para identificar a rede, sub-rede e a parte de host de um endereço IPv4. As máscaras curinga utilizam os binários 1 e 0 para filtrar endereços IPv4 individuais ou grupos de endereços IPv4 para permitir ou negar acesso a recursos.
As máscaras curinga e as máscaras de sub-rede diferem na maneira de corresponder ao binário 1s e 0s. As máscaras curinga utilizam as seguintes regras para corresponder ao binário 1s e 0s: Máscara curinga 0 - verifica o valor de bit correspondente no endereço. Máscara curinga 1 - ignora o valor de bit correspondente no endereço.
ACCESS LIST A imagem abaixo mostra como diferentes máscaras curingas filtram os endereços IPv4. No exemplo, lembre-se de que o binário 0 significa um bit que deve coincidir, e o binário 1 significa um bit que pode ser ignorado. As máscaras curinga são normalmente chamadas de máscaras inversas. A razão é que, diferentemente de uma máscara de subrede em que binário 1 é igual a uma correspondência e o binário 0 não é uma correspondência, em uma máscara curinga ocorre o contrário isso.
ACCESS LIST Utilização de uma máscara curinga A tabela na figura 2 mostra os resultados de aplicar uma máscara curinga 0.0.255.255 a um endereço IPv4 de 32 bits. Lembre-se de que um 0 binário exibe um valor que será associado. Observação: ao contrário máscaras curinga. Em vez para indicar o quanto de IPv6 deve ser combinado. escopo deste curso.
de de um Os
IPv4, a ACL IPv6 não usa isso, o prefix-length é usado endereço origem ou destino ACLs IPv6 estão além do
ACCESS LIST Exemplos de palavra-chave de máscara curinga O exemplo abaixo mostra como usar a palavra-chave any para substituir o endereço IPv4 0.0.0.0 por uma máscara curinga de 255.255.255.255.
O Exemplo abaixo mostra como usar a palavra-chave host para substituir a máscara curinga ao identificar um único host.
Observação: a sintaxe para configurar ACLs IPv4 padrão é abordada mais adiante.
DESAFIO
DETERMINAR A MÁSCARA CURINGA CORRETA
ACCESS LIST DETERMINAR A PERMISSÃO OU A NEGAÇÃO INFORMAR A PERMISSÃO OU NEGAÇÃO RESULTANTE DA COMPARAÇÃO DE CADA INSTRUÇÃO ACL APLICADA AO ENDEREÇO FORNECIDO.
ACCESS LIST
ACL – ACCESS LIST CRIAÇÃO E CONFIGURAÇÃO
Profº Marcelo Cardinal
ACCESS LIST Orientações gerais para criar ACLs A gravação de ACLs pode ser uma tarefa complexa. Para cada interface pode haver várias políticas necessárias para gerenciar o tipo de tráfego permitido para entrar e sair dessa interface. O roteador na figura tem duas interfaces configuradas para IPv4 e IPv6. Se nós precisarmos de ACLs para os dois protocolos, em ambas as interfaces e em ambas as direções, isso exigiria oito ACLs separadas. Cada interface teria quatro ACLs; duas ACLs para IPv4 e duas ACLs para o IPv6. Para cada protocolo, uma ACL é para tráfego de entrada e uma para o tráfego de saída. Observação: as ACLs não precisam ser configuradas em ambas as direções. O número de ACLs e a direção aplicada à interface dependerão dos requisitos que estão sendo implementados. Aqui estão algumas diretrizes para o uso de ACLs: •
Use as ACLs em roteadores com firewall posicionados entre a rede interna e uma rede externa como a Internet.
•
Use as ACLs em um roteador posicionado entre duas partes da rede para controlar o tráfego que chega ou sai de uma determinada parte da rede interna.
•
Configure ACLs em roteadores de borda, isto é, roteadores situados nas bordas de suas redes. Isso fornece um buffer muito básico de rede externa, ou entre uma área menos controlada da sua própria rede e uma área mais delicada de sua rede.
•
Configure ACLs para cada protocolo de rede configurado nas interfaces do roteador de borda.
ACCESS LIST Regras para aplicar ACLs •
Você pode configurar uma ACL por protocolo, por direção, por interface:
•
Uma ACL por protocolo - Para controlar o fluxo de tráfego em uma interface, deve-se definir uma ACL para cada protocolo ativado na interface.
•
Uma ACL por direção - As ACLs controlam o tráfego em uma direção de cada vez em uma interface. Duas ACLs separadas devem ser criadas para controlar o tráfego de entrada e de saída.
•
Uma ACL por interface - As ACLs controlam o tráfego de uma interface, por exemplo, GigabitEthernet 0/0.
ACCESS LIST Práticas recomendadas de ACL Usar ACLs exige atenção aos detalhes e muito cuidado. Os erros podem ser caros em termos de inatividade, esforços de identificação e solução de problemas, e serviços de rede. Antes de configurar uma ACL, é necessário planejamento básico. A figura apresenta diretrizes que formam a base de uma lista das práticas recomendadas da ACL.
ACCESS LIST Onde posicionar as ACLs A colocação correta de uma ACL pode fazer com que com mais eficiência. Uma ACL pode ser posicionada tráfego desnecessário. Por exemplo, o tráfego que um destino remoto não deve ser encaminhado usando rede na rota para esse destino.
a rede opere para reduzir o será negado em recursos de
Cada ACL deve ser posicionada onde há maior impacto sobre o aumento da eficiência. Como mostra a figura, as regras são: • ACLs estendidas - Localize as ACLs estendidas o mais perto possível da origem de tráfego a ser filtrado. Dessa forma, o tráfego não desejado é negado perto da rede de origem sem atravessar a infraestrutura de rede. • ACLs padrão - Como as ACLs padrão não especificam endereços de destino, coloque-as o mais perto possível do destino. Colocar uma ACL padrão na origem do tráfego impedirá, com eficiência, que o tráfego acesse todas as outras redes através da interface onde é aplicada a ACL.
ACCESS LIST
ACCESS LIST O posicionamento das ACLs e portanto o tipo de ACL usado também podem depender de: •
A extensão de controle do administrador da rede - a colocação ACL pode depender se o administrador de rede tem controle sobre as redes de origem e de destino.
•
Largura de banda de redes envolvidas - a filtragem de tráfego não desejado na origem impede a transmissão de tráfego antes que ele consuma largura de banda no caminho para um destino. Isso é especialmente importante em redes de largura de banda baixa.
•
Facilidade de instalação - se um administrador de rede quiser negar o tráfego proveniente de redes, uma opção é usar uma única ACL padrão no roteador o mais próximo do destino. A desvantagem é que o tráfego dessas redes usará a largura de banda desnecessariamente. Uma ACL estendida pode ser usada em cada roteador onde o tráfego é originado. Isso poupará a largura de banda filtrando o tráfego na origem, mas exigirá a criação de ACLs estendidas em vários roteadores.
ACCESS LIST Posicionamentos de ACL padrão A topologia na figura é usada para demonstrar como uma ACL padrão pode ser colocada. O administrador deseja impedir que o tráfego originado na rede 192.168.10.0/24 acesse a rede 192.168.30.0/24. Seguindo as diretrizes básicas de posicionamento da ACL padrão, colocando-a próximo ao destino, a figura mostra duas interfaces possíveis em R3 para aplicar a ACL padrão: • Interface de S0/0/1 do R3 - A aplicação de uma ACL padrão para evitar a entrada do tráfego de 192.168.10.0/24 na interface S0/0/1 impedirá que esse tráfego alcance a rede 192.168.30.0/24 e todas as outras redes alcançáveis por R3. Isso inclui a rede 192.168.31.0/24. Como a intenção da ACL é filtrar o tráfego destinado apenas para 192.168.30.0/24, uma ACL padrão não deve ser aplicada a esta interface. • Interface de R3 Gi0/0 - A aplicação da ACL padrão ao tráfego que sai da interface Gi0/0 filtra pacotes de 192.168.10.0/24 para 192.168.30.0/24. Isso não afetará outras redes acessíveis por R3. Os pacotes de 192.168.10.0/24 ainda poderão acessar 192.168.31.0/24.
ACCESS LIST
ACCESS LIST Sintaxe numerada da ACL IPv4 padrão Para usar ACLs padrão numeradas em um roteador Cisco, você deve primeiro criar a ACL padrão e depois ativá-la em uma interface.
O comando de configuração global access-list define uma ACL padrão com um número entre 1 e 99. O software IOS Cisco versão 12.0.1 estendeu esses números, permitindo que 1300 a 1999 fossem usados para ACL padrão. Dessa forma, é possível ter um máximo de 798 ACLs padrão possíveis. Esses números adicionais são chamados de ACLs de IPv4 expandido. A sintaxe completa do comando para criar uma ACL padrão é a seguinte: • Router(config)# access-list access-listnumber { deny | permit | remark } fonte [ sourcewildcard ][ log ]
ACCESS LIST A imagem fornece uma explicação detalhada da sintaxe da ACL padrão. ACEs podem negar ou permitir um host individual ou intervalo de endereços de host. Para criar uma instrução de host na ACL numerada 10 que permita um host específico com o endereço IPv4 192.168.10.10, você deve inserir: •
R1(config)# access-list 10 deny host 192,168.10.10
ACCESS LIST Como mostrado na imagem, para criar uma instrução que permita um intervalo de endereços IPv4 em uma ACL numerada 10 e todos os endereços IPv4 na rede 192.168.10.0/24, você deve inserir:
• R1(config)# access-list 10 permit 192.168.10.0 0.0.0.255 Para remover a ACL, o comando global de configuração no accesslist é utilizado. A emissão do comando show access-list confirma que a lista de acesso 10 foi removida.
ACCESS LIST Normalmente, quando um administrador criar uma ACL, a finalidade de cada instrução é conhecida e compreendida. Entretanto, para garantir que o administrador e outros recordem a finalidade de uma instrução, é necessário incluir anotações. A palavrachave remark é usada para a documentação e facilita muito a compreensão da lista de acesso. Cada observação é limitada a 100 caracteres. A ACL na imagem, embora bastante simples, é utilizada como um exemplo. Durante a revisão da ACL na configuração usando o comando show running-config, as observações também são exibidas.
ACCESS LIST Aplicar ACLs IPv4 às interfaces padrão Após a configuração de uma ACL IPv4 padrão, ela é vinculada a uma interface usando o comando ip access-group no modo configuração de interface: •
Router(config-if)# ip access-group { access-list-number | access-list-name } { in | out }
Para remover uma ACL de uma interface, insira o comando no ip access-group na interface e insira no comando global no access-list para remover a ACL inteira. A imagem lista as etapas e a sintaxe para configurar e aplicar uma ACL padrão numerada em um roteador.
ACCESS LIST A imagem mostra um exemplo de uma ACL projetada para permitir uma única rede. Essa ACL permite que apenas o tráfego da rede 192.168.10.0 de origem seja enviado para fora da interface S0/0/0. O tráfego proveniente de redes diferentes de 192.168.10.0 será bloqueado. A primeira linha identifica a ACL como a lista de acesso 1. Ela permite o tráfego que corresponde aos parâmetros selecionados. Nesse caso, o IPv4 IP e a máscara curinga que identificam a rede de origem são 192.168.10.0 0.0.0.255. Lembre-se de que existe uma instrução implícita deny all que equivale a adicionar a linha access-list 1 deny 0.0.0.0 255.255.255.255 ou access-list deny any ao final da ACL. O comando de configuração da interface ip accessgroup 1 out vincula e conecta a ACL 1 à interface serial 0/0/0 como um filtro de saída. Portanto, a ACL 1 só permite que os hosts da rede 192.168.10.0/24 saiam do roteador R1. Ela nega qualquer outra rede que inclua a rede 192.168.11.0
ACCESS LIST
ACCESS LIST Exemplos numerados da ACL IPv4 padrão A imagem mostra um exemplo de uma ACL que permite uma exceção específica da sub-rede de um host específico nessa sub-rede.
O primeiro comando exclui a versão anterior da ACL 1. A próxima instrução da ACL nega o host de PC1 localizado em 192.168.10.10. Todos os outros hosts na rede 192.168.10.0/24 são permitidos. Novamente, a instrução implícita deny associa todas as outras redes. A ACL for reaplicada para conectar S0/0/0 em uma direção de saída.
ACCESS LIST A imagem mostra um exemplo de ACL que nega um host específico. Essa ACL substitui o exemplo anterior. Este exemplo ainda bloqueia o tráfego do host do PC1, mas permite todos os demais tráfegos. Os dois primeiros comandos são os mesmos que os do exemplo anterior. O primeiro comando exclui a versão anterior da ACL 1 e a próxima instrução da ACL nega o host do PC1 localizado em 192.168.10.10. A terceira linha é nova e permite todos os outros hosts. Isso significa que todos os hosts da rede 192.168.10.0/24 estarão habilitados, com exceção do PC1, que foi negado na instrução anterior. Essa ACL é aplicada à interface Gi0/0 na direção de entrada. Como o filtro afeta apenas a LAN 192.168.10.0/24 em Gi0/0, é mais eficiente aplicar a ACL à interface de entrada. A ACL pode ser aplicada à direção de saída de S0/0/0, mas por outro lado o R1 teria que examinar os pacotes de todas as redes que incluem 192.168.11.0/24.
ACCESS LIST Sintaxe nomeada da ACL IPv4 padrão Nomear uma ACL facilita entender sua função. Quando você identifica a ACL com um nome em vez de com um número, o modo de configuração e a sintaxe de comando são ligeiramente diferentes.
A imagem mostra as etapas necessárias para criar uma ACL padrão. •
Passo 1. Começando com o modo de configuração global, use o comando ip accesslist para criar uma ACL nomeada. Os nomes das ACLs são alfanuméricos, diferenciam maiúsculas de minúsculas e devem ser exclusivos. O comando ip access-list standard Nome é usado para criar uma ACL padrão nomeada. Após inserir o comando, o roteador estará no modo de configuração de ACL (nacl) nomeada padrão conforme indicado pelo segundo prompt na imagem.
Observação: as ACLs numeradas usam o comando de configuração global access-list, enquanto as ACLs IPv4 usam o comando ip access-list. •
Passo 2. No modo de configuração de ACL nomeada, use as instruções permit ou deny para especificar uma ou mais condições que determinem se um pacote é encaminhado ou descartado. Você pode usar remark para adicionar um comentário à ACL.
•
Passo 3. Aplique a ACL a uma interface usando o ip access-group Nome . Especifique se a ACL deve ser aplicada aos pacotes conforme entram na interface (in) ou conforme eles saem da interface (out).
ACCESS LIST A imagem mostra os comandos usados para configurar uma ACL padrão nomeada no roteador R1, interface Gi0/0, que nega o acesso do host 192.168.11.10 à rede 192.168.10.0. A ACL é chamada de NO_ACCESS.
DESAFIO PARA ENTREGA PACKET TRACER
CONFIGURANDO ACL PADRÃO NUMERADA E PADRÃO NOMEADA
NETWORK ADDRESS TRANSLATION EXERCÍCIO NO CLASSROOM
AULA 14 - ENTREGÁVEL PACKET TRACER
Profº Marcelo Cardinal
NETWORK ADDRESS TRANSLATION Operação do NAT dinâmico Quando o NAT estático fornecer um mapeamento permanente entre um endereço local interno e um endereço global interno, o NAT dinâmico permitirá o mapeamento automático de endereços locais internos para endereços globais de entrada. Esses endereços globais internos geralmente são os endereços IPv4 públicos. O NAT dinâmico usa um grupo ou pool de endereços IPv4 público para conversão. O NAT dinâmico, assim como o NAT estático, requer a configuração de interfaces internas e externas que participam do NAT. No entanto, onde o NAT estático cria um mapa permanente para um único endereço, o NAT dinâmico usa um pool de endereços. Observação: converter endereços IPv4 públicos e privados é de longe o uso mais comum do NAT. No entanto, as conversões de NAT podem ocorrer entre todos os pares de endereços.
NETWORK ADDRESS TRANSLATION A topologia do exemplo mostrado na figura tem uma rede interna usando endereços do espaço de endereço privado RFC 1918. Duas redes locais, 192.168.10.0/24 e 192.168.11.0/24, são conectadas ao roteador R1. O roteador de borda R2 é configurado para NAT dinâmico com um pool de endereços IPv4 públicos 209.165.200.226 a 209.165.200.240.
O pool de endereços IPv4 públicos (pool de endereços globais internos) está disponível para qualquer dispositivo na rede interna, na ordem de chegada. Com o NAT dinâmico, um único endereço interno é convertido em um único endereço externo. Com esse tipo de conversão, deve haver endereços suficientes no pool para acomodar todos os dispositivos internos que precisam de acesso à rede externa ao mesmo tempo. Se todos os endereços no pool tiverem sido usados, um dispositivo deverá esperar um endereço disponível antes que possa acessar a rede externa.
NETWORK ADDRESS TRANSLATION
ACL – ACCESS LIST EXPLICAÇÃO E EXEMPLIFICAÇÃO
Profº Marcelo Cardinal
ACCESS LIST O que é uma ACL? Uma ACL é uma série de comandos de IOS que controlam se um roteador encaminha ou elimina pacotes com base nas informações encontradas no cabeçalho do pacote. As ACLs estão entre os recursos do software IOS CISCO usados com mais frequência. Quando configuradas, as ACLs executam as seguintes tarefas: •
Limitam o tráfego e aumentam o desempenho da rede. Por exemplo, se a política corporativa não permite tráfego de vídeo na rede, as ACLs que bloqueiam tráfego de vídeo podem ser configuradas e aplicadas. Isso reduziria significativamente a carga da rede e aumentaria o desempenho da rede.
•
Fornecer controle de fluxo de tráfego. As ACLs podem restringir o fornecimento de atualizações de roteamento para garantir que as atualizações sejam de uma fonte conhecida.
•
Fornecer um nível básico de segurança para acesso à rede. As ACLs podem permitir que um host acesse uma parte da rede e impedir que outro host acesse a mesma área. Por exemplo, o acesso à rede de Recursos Humanos poderá ser restrito a usuários autorizados.
•
Filtram tráfego com base no tipo de tráfego. Por exemplo, uma ACL pode permitir tráfego de correio eletrônico, mas bloquear todo o tráfego de Telnet.
•
Selecionam hosts para permitir ou negar acesso aos serviços de rede. As ACLs podem permitir ou negar a um usuário o acesso a tipos de arquivo, como FTP ou HTTP.
ACCESS LIST Por padrão, um roteador não tem ACLs configuradas; portanto, por padrão um roteador não filtra o tráfego. O tráfego que entra no roteador é instalado somente com base nas informações na tabela de roteamento. Entretanto, quando uma ACL for aplicada a uma interface, o roteador executará a tarefa adicional de avaliar todos os pacotes de rede que passam pela interface para determinar se o pacote pode ser enviado. Além da permissão ou negação de tráfego, as ACLs podem ser usadas selecionando tipos de tráfego que serão analisados, enviados ou processados de outras formas. Por exemplo, as ACLs podem ser usadas para classificar o tráfego para ativar o processamento de prioridade. Esse recurso é semelhante a ter um ingresso VIP em um show ou em evento esportivo. O ingresso VIP fornece aos convidados selecionados os privilégios não oferecidos aos portadores de bilhetes de admissão geral, como a entrada prioritária ou possibilidade de entrar em uma área restrita. A figura mostra uma amostra de topologia com ACLs aplicadas.
ACCESS LIST
ACCESS LIST Filtragem de pacotes Uma ACL é uma lista sequencial de instruções de permissão ou de negação, conhecidas como entradas de controle de acesso (ACEs). As ACEs também são chamadas de instruções da ACL. Quando o tráfego da rede passa através de uma interface configurada com uma ACL, o roteador compara as informações no pacote com cada ACE, em ordem sequencial, para determinar se o pacote corresponde a uma das ACEs. Esse processo é chamado de filtragem de pacote. A filtragem de pacotes controla o acesso a uma rede analisando os pacotes de entrada e saída e encaminhando ou rejeitando-os com base nos critérios fornecidos. A filtragem de pacotes pode ocorrer na camada 3 ou camada 4, como mostrado na figura. As ACLs padrão filtram somente na camada 3. As ACLs estendidas filtram nas camadas 3 e 4.
Nota: as ACLs estendidas não estão no escopo deste curso. O endereço IPv4 de origem é um critério de filtragem definido em cada ACE de uma ACL IPv4 padrão. Um roteador configurado com uma ACL IPv4 padrão extrai o endereço IPv4 de origem do cabeçalho do pacote. O roteador começa na parte superior da ACL e compara o endereço com cada ACE sequencialmente. Quando houver correspondência, o roteador realizará a instrução, permitindo ou negando o pacote. Depois que uma correspondência for feita, as ACEs restantes na ACL, se houver, não serão analisadas. Se o endereço IPv4 de origem não corresponder a nenhuma ACE na ACL, o pacote será descartado. A última instrução de uma ACL é sempre um deny implícito. Esta instrução é automaticamente inserida no final de cada ACL, embora não esteja fisicamente presente. O deny implícito bloqueia todo o tráfego. Devido a este deny implícito, uma ACL que não tenha pelo menos uma instrução de permissão bloqueará todo o tráfego.
ACCESS LIST
ACCESS LIST Operação ACL As listas de acesso expressam o conjunto de regras que permitem maior controle dos pacotes que chegam às interfaces de entrada, pacotes que são retransmitidos através do roteador e pacotes que saem das interfaces do roteador. As ACLs não atuam em pacotes que se originam do roteador. Os ACLs podem ser configurados para serem aplicados ao tráfego de entrada e de saída, como mostrado na figura. •
ACLs de entrada - os pacotes de entrada são processados antes de serem roteados para a interface de saída. Uma ACL de entrada é eficiente porque salva a sobrecarga de pesquisas de roteamento se o pacote é descartado. Se o pacote for permitido pela ACL, ele será processado para roteamento. As ACLs de entrada são mais usadas para filtrar pacotes quando a rede conectada a uma interface de entrada é a única origem dos pacotes que precisa ser examinada.
•
ACLs de saída - os pacotes de entrada são encaminhados para a interface de saída e processados em seguida por meio da ACL de saída. As ACLs de saída são mais usadas quando o mesmo filtro é aplicado aos pacotes que vêm de várias interfaces de entrada antes de saírem da mesma interface de saída.
DESAFIO
DEMONSTRAÇÃO DE UMA ACL
ACCESS LIST EXERCÍCIO NO CLASSROOM AULA 14
ACCESS LIST Apresentação da máscara curinga na ACL Máscaras curinga As ACEs IPv4 incluem o uso de máscaras curinga. Uma máscara curinga é uma sequência de 32 dígitos binários usados pelo roteador para determinar que bits do endereço serão examinados para uma correspondência. Como ocorre com as máscaras máscara curinga identificam do endereço IPv4. Porém, em usados para fins diferentes
de sub-rede, os números 1 e 0 na como lidar com os bits correspondentes uma máscara curinga, esses bits são e seguem regras diferentes.
As máscaras de sub-rede usam os binários 1 e 0 para identificar a rede, sub-rede e a parte de host de um endereço IPv4. As máscaras curinga utilizam os binários 1 e 0 para filtrar endereços IPv4 individuais ou grupos de endereços IPv4 para permitir ou negar acesso a recursos.
As máscaras curinga e as máscaras de sub-rede diferem na maneira de corresponder ao binário 1s e 0s. As máscaras curinga utilizam as seguintes regras para corresponder ao binário 1s e 0s: Máscara curinga 0 - verifica o valor de bit correspondente no endereço. Máscara curinga 1 - ignora o valor de bit correspondente no endereço.
ACCESS LIST A imagem abaixo mostra como diferentes máscaras curingas filtram os endereços IPv4. No exemplo, lembre-se de que o binário 0 significa um bit que deve coincidir, e o binário 1 significa um bit que pode ser ignorado. As máscaras curinga são normalmente chamadas de máscaras inversas. A razão é que, diferentemente de uma máscara de subrede em que binário 1 é igual a uma correspondência e o binário 0 não é uma correspondência, em uma máscara curinga ocorre o contrário isso.
ACCESS LIST Utilização de uma máscara curinga A tabela na figura 2 mostra os resultados de aplicar uma máscara curinga 0.0.255.255 a um endereço IPv4 de 32 bits. Lembre-se de que um 0 binário exibe um valor que será associado. Observação: ao contrário máscaras curinga. Em vez para indicar o quanto de IPv6 deve ser combinado. escopo deste curso.
de de um Os
IPv4, a ACL IPv6 não usa isso, o prefix-length é usado endereço origem ou destino ACLs IPv6 estão além do
ACCESS LIST Exemplos de palavra-chave de máscara curinga O exemplo abaixo mostra como usar a palavra-chave any para substituir o endereço IPv4 0.0.0.0 por uma máscara curinga de 255.255.255.255.
O Exemplo abaixo mostra como usar a palavra-chave host para substituir a máscara curinga ao identificar um único host.
Observação: a sintaxe para configurar ACLs IPv4 padrão é abordada mais adiante.
DESAFIO
DETERMINAR A MÁSCARA CURINGA CORRETA
ACCESS LIST DETERMINAR A PERMISSÃO OU A NEGAÇÃO INFORMAR A PERMISSÃO OU NEGAÇÃO RESULTANTE DA COMPARAÇÃO DE CADA INSTRUÇÃO ACL APLICADA AO ENDEREÇO FORNECIDO.
ACCESS LIST
ACL – ACCESS LIST CRIAÇÃO E CONFIGURAÇÃO
Profº Marcelo Cardinal
ACCESS LIST Orientações gerais para criar ACLs A gravação de ACLs pode ser uma tarefa complexa. Para cada interface pode haver várias políticas necessárias para gerenciar o tipo de tráfego permitido para entrar e sair dessa interface. O roteador na figura tem duas interfaces configuradas para IPv4 e IPv6. Se nós precisarmos de ACLs para os dois protocolos, em ambas as interfaces e em ambas as direções, isso exigiria oito ACLs separadas. Cada interface teria quatro ACLs; duas ACLs para IPv4 e duas ACLs para o IPv6. Para cada protocolo, uma ACL é para tráfego de entrada e uma para o tráfego de saída. Observação: as ACLs não precisam ser configuradas em ambas as direções. O número de ACLs e a direção aplicada à interface dependerão dos requisitos que estão sendo implementados. Aqui estão algumas diretrizes para o uso de ACLs: •
Use as ACLs em roteadores com firewall posicionados entre a rede interna e uma rede externa como a Internet.
•
Use as ACLs em um roteador posicionado entre duas partes da rede para controlar o tráfego que chega ou sai de uma determinada parte da rede interna.
•
Configure ACLs em roteadores de borda, isto é, roteadores situados nas bordas de suas redes. Isso fornece um buffer muito básico de rede externa, ou entre uma área menos controlada da sua própria rede e uma área mais delicada de sua rede.
•
Configure ACLs para cada protocolo de rede configurado nas interfaces do roteador de borda.
ACCESS LIST Regras para aplicar ACLs •
Você pode configurar uma ACL por protocolo, por direção, por interface:
•
Uma ACL por protocolo - Para controlar o fluxo de tráfego em uma interface, deve-se definir uma ACL para cada protocolo ativado na interface.
•
Uma ACL por direção - As ACLs controlam o tráfego em uma direção de cada vez em uma interface. Duas ACLs separadas devem ser criadas para controlar o tráfego de entrada e de saída.
•
Uma ACL por interface - As ACLs controlam o tráfego de uma interface, por exemplo, GigabitEthernet 0/0.
ACCESS LIST Práticas recomendadas de ACL Usar ACLs exige atenção aos detalhes e muito cuidado. Os erros podem ser caros em termos de inatividade, esforços de identificação e solução de problemas, e serviços de rede. Antes de configurar uma ACL, é necessário planejamento básico. A figura apresenta diretrizes que formam a base de uma lista das práticas recomendadas da ACL.
ACCESS LIST Onde posicionar as ACLs A colocação correta de uma ACL pode fazer com que com mais eficiência. Uma ACL pode ser posicionada tráfego desnecessário. Por exemplo, o tráfego que um destino remoto não deve ser encaminhado usando rede na rota para esse destino.
a rede opere para reduzir o será negado em recursos de
Cada ACL deve ser posicionada onde há maior impacto sobre o aumento da eficiência. Como mostra a figura, as regras são: • ACLs estendidas - Localize as ACLs estendidas o mais perto possível da origem de tráfego a ser filtrado. Dessa forma, o tráfego não desejado é negado perto da rede de origem sem atravessar a infraestrutura de rede. • ACLs padrão - Como as ACLs padrão não especificam endereços de destino, coloque-as o mais perto possível do destino. Colocar uma ACL padrão na origem do tráfego impedirá, com eficiência, que o tráfego acesse todas as outras redes através da interface onde é aplicada a ACL.
ACCESS LIST
ACCESS LIST O posicionamento das ACLs e portanto o tipo de ACL usado também podem depender de: •
A extensão de controle do administrador da rede - a colocação ACL pode depender se o administrador de rede tem controle sobre as redes de origem e de destino.
•
Largura de banda de redes envolvidas - a filtragem de tráfego não desejado na origem impede a transmissão de tráfego antes que ele consuma largura de banda no caminho para um destino. Isso é especialmente importante em redes de largura de banda baixa.
•
Facilidade de instalação - se um administrador de rede quiser negar o tráfego proveniente de redes, uma opção é usar uma única ACL padrão no roteador o mais próximo do destino. A desvantagem é que o tráfego dessas redes usará a largura de banda desnecessariamente. Uma ACL estendida pode ser usada em cada roteador onde o tráfego é originado. Isso poupará a largura de banda filtrando o tráfego na origem, mas exigirá a criação de ACLs estendidas em vários roteadores.
ACCESS LIST Posicionamentos de ACL padrão A topologia na figura é usada para demonstrar como uma ACL padrão pode ser colocada. O administrador deseja impedir que o tráfego originado na rede 192.168.10.0/24 acesse a rede 192.168.30.0/24. Seguindo as diretrizes básicas de posicionamento da ACL padrão, colocando-a próximo ao destino, a figura mostra duas interfaces possíveis em R3 para aplicar a ACL padrão: • Interface de S0/0/1 do R3 - A aplicação de uma ACL padrão para evitar a entrada do tráfego de 192.168.10.0/24 na interface S0/0/1 impedirá que esse tráfego alcance a rede 192.168.30.0/24 e todas as outras redes alcançáveis por R3. Isso inclui a rede 192.168.31.0/24. Como a intenção da ACL é filtrar o tráfego destinado apenas para 192.168.30.0/24, uma ACL padrão não deve ser aplicada a esta interface. • Interface de R3 Gi0/0 - A aplicação da ACL padrão ao tráfego que sai da interface Gi0/0 filtra pacotes de 192.168.10.0/24 para 192.168.30.0/24. Isso não afetará outras redes acessíveis por R3. Os pacotes de 192.168.10.0/24 ainda poderão acessar 192.168.31.0/24.
ACCESS LIST
ACCESS LIST Sintaxe numerada da ACL IPv4 padrão Para usar ACLs padrão numeradas em um roteador Cisco, você deve primeiro criar a ACL padrão e depois ativá-la em uma interface.
O comando de configuração global access-list define uma ACL padrão com um número entre 1 e 99. O software IOS Cisco versão 12.0.1 estendeu esses números, permitindo que 1300 a 1999 fossem usados para ACL padrão. Dessa forma, é possível ter um máximo de 798 ACLs padrão possíveis. Esses números adicionais são chamados de ACLs de IPv4 expandido. A sintaxe completa do comando para criar uma ACL padrão é a seguinte: • Router(config)# access-list access-listnumber { deny | permit | remark } fonte [ sourcewildcard ][ log ]
ACCESS LIST A imagem fornece uma explicação detalhada da sintaxe da ACL padrão. ACEs podem negar ou permitir um host individual ou intervalo de endereços de host. Para criar uma instrução de host na ACL numerada 10 que permita um host específico com o endereço IPv4 192.168.10.10, você deve inserir: •
R1(config)# access-list 10 deny host 192,168.10.10
ACCESS LIST Como mostrado na imagem, para criar uma instrução que permita um intervalo de endereços IPv4 em uma ACL numerada 10 e todos os endereços IPv4 na rede 192.168.10.0/24, você deve inserir:
• R1(config)# access-list 10 permit 192.168.10.0 0.0.0.255 Para remover a ACL, o comando global de configuração no accesslist é utilizado. A emissão do comando show access-list confirma que a lista de acesso 10 foi removida.
ACCESS LIST Normalmente, quando um administrador criar uma ACL, a finalidade de cada instrução é conhecida e compreendida. Entretanto, para garantir que o administrador e outros recordem a finalidade de uma instrução, é necessário incluir anotações. A palavrachave remark é usada para a documentação e facilita muito a compreensão da lista de acesso. Cada observação é limitada a 100 caracteres. A ACL na imagem, embora bastante simples, é utilizada como um exemplo. Durante a revisão da ACL na configuração usando o comando show running-config, as observações também são exibidas.
ACCESS LIST Aplicar ACLs IPv4 às interfaces padrão Após a configuração de uma ACL IPv4 padrão, ela é vinculada a uma interface usando o comando ip access-group no modo configuração de interface: •
Router(config-if)# ip access-group { access-list-number | access-list-name } { in | out }
Para remover uma ACL de uma interface, insira o comando no ip access-group na interface e insira no comando global no access-list para remover a ACL inteira. A imagem lista as etapas e a sintaxe para configurar e aplicar uma ACL padrão numerada em um roteador.
ACCESS LIST A imagem mostra um exemplo de uma ACL projetada para permitir uma única rede. Essa ACL permite que apenas o tráfego da rede 192.168.10.0 de origem seja enviado para fora da interface S0/0/0. O tráfego proveniente de redes diferentes de 192.168.10.0 será bloqueado. A primeira linha identifica a ACL como a lista de acesso 1. Ela permite o tráfego que corresponde aos parâmetros selecionados. Nesse caso, o IPv4 IP e a máscara curinga que identificam a rede de origem são 192.168.10.0 0.0.0.255. Lembre-se de que existe uma instrução implícita deny all que equivale a adicionar a linha access-list 1 deny 0.0.0.0 255.255.255.255 ou access-list deny any ao final da ACL. O comando de configuração da interface ip accessgroup 1 out vincula e conecta a ACL 1 à interface serial 0/0/0 como um filtro de saída. Portanto, a ACL 1 só permite que os hosts da rede 192.168.10.0/24 saiam do roteador R1. Ela nega qualquer outra rede que inclua a rede 192.168.11.0
ACCESS LIST
ACCESS LIST Exemplos numerados da ACL IPv4 padrão A imagem mostra um exemplo de uma ACL que permite uma exceção específica da sub-rede de um host específico nessa sub-rede.
O primeiro comando exclui a versão anterior da ACL 1. A próxima instrução da ACL nega o host de PC1 localizado em 192.168.10.10. Todos os outros hosts na rede 192.168.10.0/24 são permitidos. Novamente, a instrução implícita deny associa todas as outras redes. A ACL for reaplicada para conectar S0/0/0 em uma direção de saída.
ACCESS LIST A imagem mostra um exemplo de ACL que nega um host específico. Essa ACL substitui o exemplo anterior. Este exemplo ainda bloqueia o tráfego do host do PC1, mas permite todos os demais tráfegos. Os dois primeiros comandos são os mesmos que os do exemplo anterior. O primeiro comando exclui a versão anterior da ACL 1 e a próxima instrução da ACL nega o host do PC1 localizado em 192.168.10.10. A terceira linha é nova e permite todos os outros hosts. Isso significa que todos os hosts da rede 192.168.10.0/24 estarão habilitados, com exceção do PC1, que foi negado na instrução anterior. Essa ACL é aplicada à interface Gi0/0 na direção de entrada. Como o filtro afeta apenas a LAN 192.168.10.0/24 em Gi0/0, é mais eficiente aplicar a ACL à interface de entrada. A ACL pode ser aplicada à direção de saída de S0/0/0, mas por outro lado o R1 teria que examinar os pacotes de todas as redes que incluem 192.168.11.0/24.
ACCESS LIST Sintaxe nomeada da ACL IPv4 padrão Nomear uma ACL facilita entender sua função. Quando você identifica a ACL com um nome em vez de com um número, o modo de configuração e a sintaxe de comando são ligeiramente diferentes.
A imagem mostra as etapas necessárias para criar uma ACL padrão. •
Passo 1. Começando com o modo de configuração global, use o comando ip accesslist para criar uma ACL nomeada. Os nomes das ACLs são alfanuméricos, diferenciam maiúsculas de minúsculas e devem ser exclusivos. O comando ip access-list standard Nome é usado para criar uma ACL padrão nomeada. Após inserir o comando, o roteador estará no modo de configuração de ACL (nacl) nomeada padrão conforme indicado pelo segundo prompt na imagem.
Observação: as ACLs numeradas usam o comando de configuração global access-list, enquanto as ACLs IPv4 usam o comando ip access-list. •
Passo 2. No modo de configuração de ACL nomeada, use as instruções permit ou deny para especificar uma ou mais condições que determinem se um pacote é encaminhado ou descartado. Você pode usar remark para adicionar um comentário à ACL.
•
Passo 3. Aplique a ACL a uma interface usando o ip access-group Nome . Especifique se a ACL deve ser aplicada aos pacotes conforme entram na interface (in) ou conforme eles saem da interface (out).
ACCESS LIST A imagem mostra os comandos usados para configurar uma ACL padrão nomeada no roteador R1, interface Gi0/0, que nega o acesso do host 192.168.11.10 à rede 192.168.10.0. A ACL é chamada de NO_ACCESS.
DESAFIO PARA ENTREGA PACKET TRACER
CONFIGURANDO ACL PADRÃO NUMERADA E PADRÃO NOMEADA
NETWORK ADDRESS TRANSLATION EXERCÍCIO NO CLASSROOM
AULA 14 - ENTREGÁVEL PACKET TRACER
Related documents
Aula 14 - NAT DINAMICO E ACL
42 Pages • 3,712 Words • PDF • 1.5 MB
Aula 14 - Parte 02
64 Pages • 18,513 Words • PDF • 478.8 KB
14 - POR - Aula 03
74 Pages • 21,555 Words • PDF • 1.1 MB
Aula 14 - Cristiane Dupret
7 Pages • 1,722 Words • PDF • 762.4 KB
CSS - HTML Dinamico
3 Pages • 668 Words • PDF • 150.5 KB
AULA 14 – TRABALHO DE PARTO
4 Pages • 2,025 Words • PDF • 365 KB
sec nat 2 ciclo
9 Pages • 3,032 Words • PDF • 769.7 KB
curso-157103-aula-14-v1 - QUESTÕES COMENTADAS
129 Pages • 43,655 Words • PDF • 3.1 MB
CARTA ALUNO ACLS 14 E 15 NOV
1 Pages • 264 Words • PDF • 222 KB
nat - lei geral da acumulação capitalista
14 Pages • 5,689 Words • PDF • 1.1 MB
Protocolo MP ACL 200-7000 V 3.0
3 Pages • 807 Words • PDF • 724.2 KB
Oferty (14)
2 Pages • 865 Words • PDF • 922.6 KB