Você está na página 1de 10

4 Macetes sobre Mscara Curinga que

Resolvem 99% dos Problemas de


ACL
MARCELO B DO NASCIMENTO 13 DE NOVEMBRO DE 2015NENHUM
COMENTRIO CISCO

TEMPO DE LEITURA: 9 MINUTOS

Voc j precisou resolver um exerccio ou criar uma ACL em seu


roteador e empacou na hora de descobrir que mscara curinga utilizar
na lista de controle de acesso?

Eu sei que ACL ou Access Control List no Cisco IOS um assunto


que assusta muitos alunos e profissionais da rea, porm vou ensinar
quatro macetes (daqueles estilo cursinho) que voc vai poder utilizar
tanto em provas de certificao como na sua vida prtica para calcular
mscara curinga.

Quando voc leu no ttulo que esses quatro macetes resolvem 99%
dos exerccios que envolvem ACL realmente isso mesmo, no tem
exagero nessa informao, minha prtica como tutor tem mostrado
que com esses 4 macetes possvel sim resolver maioria dos
problemas que envolvem listas de controle de acesso.

Nesse artigo voc vai aprender os seguintes assuntos sobre mscara


curinga em Cisco IOS:

Diferena entre Mscara de Sub-rede e Mscara Curinga


Mscara Curinga para Todos os Hosts
Mscara Curinga para Selecionar Apenas Um Hosts
Mscara Curinga por Classe de IP
Selecionando uma Sub-rede especfica
Resumo
Dicas e Concluses
Durante esse artigo voc vai aprender os macetes e exemplos prticos
de como utiliz-los, afinal teoria sem prtica fica chato

Tambm no final desse artigo vou indicar outros posts que temos
sobre ACL para ajudar nos seus estudos, por isso leia o artigo todo e
no deixe de conferir minhas indicaes l nas dicas e concluses.

Aperte o cinto e vamos comear!

Diferena entre Mscara de Sub-rede e Mscara


Curinga
Antes de iniciar os macetes voc precisa entender a relao ou
diferena entre as mscaras de rede ou sub-rede e as mscaras
curinga, pois apesar de parecidas elas tem significado diferente para o
Cisco IOS.

Primeiro que a mscara de rede utilizada nos comandos de


configurao de rotas (ip route) e interfaces (ip address).

No caso das listas de controle de acesso elas so utilizadas nas


prprias ACLs e tambm alguns protocolos de roteamento
(comando network).

Outro ponto fundamental que a mscara de rede tem a funo de


indicar a poro de rede e host de um endereo IP, pois os bit 1 na
mscara representam a rede e os bits zero a poro de host.

Por exemplo, no endereo 192.168.1.1/24 (255.255.255.0) temos que


a poro de rede 192.168.1 e a de host .1.

O roteador consegue tirar essa informao fazendo um AND lgico


entre a mscara e o endereo IP.

Na ACL utilizamos tambm um endereo IP ou rede ou sub-rede e a


mscara curinga, porm aqui essa mscara uma ferramenta de
seleo por comparao, voc vai entender isso a seguir.
A mscara curinga indica com os bits zero que deve haver uma
correlao entre o endereo a ser testado e o configurado para teste,
enquanto o bit 1 faz com que essa verificao seja ignorada.

Por exemplo, uma ACL com IP e mscara curinga 10.0.0.00.0.0.255


indica que para o teste ser considerado vlido os trs primeiros octetos
devem ser exatamente 10.0.0 e no ltimo octeto tanto faz (pode ser
de zero a 255).

Apesar da simplificao feita por octeto essa comparao na prtica


realizada bit a bit.

Por exemplo, no primeiro octeto temos 10 (em binrio 00001010) e na


mscara 0 (em binrio 00000000), portanto quando chegar um pacote
IP no roteador ele ser comparado bit a bit em cada um dos octetos
para ver se ele confere com o teste ou no.

Veja figura abaixo que representa o processo de match da ACL


(match = teste bateu ou foi validado).
Se bater (der match) o roteador faz o que est configurado na ACL
que permitir ou negar acesso ao pacote, caso no confira ou no
bata o roteador testa o pacote com a prxima linha da ACL at que
todas as condies configuradas se acabem.

Agora vamos aplicar esses conceitos nos quatro macetes para ajudar
a acelerar seu processo de escolha da mscara curinga em exerccios
ou desafios de trabalho que voc possa enfrentar.

Vamos l!
Mscara Curinga para Todos os Hosts
Para selecionar todos os hosts, ou seja, uma condio da ACL que d
match em quaisquer endereos que esto sendo testados pela lista,
voc simplesmente deve ignorar qualquer coisa que venha como
entrada no seu teste.

Para isso basta utilizar uma mscara com todos os bits setados em
1, pois assim o que vier no pacote de entrada para comparao a
mscara curinga vai validar.

Em formato de mscara essa condio fica com o endereo 0.0.0.0 e


a mscara 255.255.255.255.

Outra opo que a ACL permite utilizar o mnemnico any.

Por exemplo, voc precisa criar no final de uma ACL IP Padro uma
regra para liberar quaisquer pacotes, nesse caso voc pode utilizar
essas opes:

access-list 1 permit any


access-list 1 permit 0.0.0.0 255.255.255.255

Outro exemplo para liberar quaisquer endereos de origem ou


destino em uma ACL estendida, suponha que a regra diz que
quaisquer origens podem acessar o servio de HTTP em quaisquer
destinos da rede, veja como fica o comando abaixo nos dois formatos:

access-list 100 permit tcp any any eq 80


access-list 100 permit tcp 0.0.0.0 255.255.255.255 0.0.0.0
255.255.255.255 eq 80

Voc pode at combinar o any com a mscara escrita por extenso que
tem o mesmo efeito:

access-list 100 permit tcp any 0.0.0.0 255.255.255.255 eq 80


access-list 100 permit tcp 0.0.0.0 255.255.255.255 any eq 80
Para provas de certificao como CCENT, ICND-2 e CCNAX voc
precisa saber tanto o mnemnico como a forma extensa, pois so
conceitos que podem ser cobrados para saber se o candidato a
certificao sabe mesmo das coisas.

Na prtica utilizamos o any, pois mais simples de escrever e


lembrar.

Mscara Curinga para Selecionar Apenas Um Hosts


Para selecionar um host especfico s pensar ao contrrio do que
estudamos anteriormente.

Para selecionar apenas um host precisamos que cada bit seja


verificado, ou seja, que todos os bits no endereo a ser testado sejam
iguais aos que configuramos como IP na ACL.

Para isso s utilizar o prprio endereo e uma mscara curinga com


todos os bits iguais a zero, pois assim o roteador s vai validar (dar
match) se tudo bater.

Por exemplo, queremos que apenas comunicaes com o host de


origem 192.168.1.1 sejam permitidas em uma ACL IP padro, veja
como fica o comando abaixo:

access-lis 1 permit 192.168.1.1 0.0.0.0

Assim como para a seleo de todos os hosts, para selecionar apenas


um host tambm tem um mnemnico para facilitar a criao das listas.

Para isso basta digitar host e o endereo IP do host especfico, veja


como fica o exemplo anterior com essa opo:

access-lis 1 permit host 192.168.1.1

Agora que j estudamos como selecionar quaisquer hosts e um host


especfico vamos ver como criar mscaras por classe de IP (A, B e C).
Mscara Curinga por Classe de IP
O macete para descobrir a mscara por classe muito simples, basta
inverter o 255 por zero e o zero por 255 e badabum j est resolvido,
simples assim

Ento vamos relembrar as mscaras de rede por classe:

Classe A: 255.0.0.0 ou /8
Classe B: 255.255.0.0 ou /16
Classe C: 255.255.255.0 ou /24

Agora s inverter que vamos ter a mscara curinga de cada classe:

Classe A: 255.0.0.0 > vira > 0.0.0.255


Classe B: 255.255.0.0 > vira > 0.0.255.255
Classe C: 255.255.255.0 > vira > 0.0.0.255

Por exemplo, voc deve bloquear endereos da classe C


192.168.1.0/24 em uma ACL IP padro, veja como fica o statement
(condio):

access-list 10 deny 192.168.1.0 0.0.0.255

O mesmo conceito pode ser aplicado no caso de sub-redes, o que


vamos estudar a seguir!

Selecionando uma Sub-rede Especfica


Podemos fazer a mesma inverso para descobrir qual a mscara
curinga de uma sub-rede ou prefixo CIDR especfico.

Basta voc inverter onde zero por um e onde um por zero na


mscara de sub-rede ou prefixo CIDR que sai a mscara curinga,
simples assim.
Porm tenho um macete muito mais simples!

Para descobrir a mscara curinga de uma sub-rede basta voc


diminuir o broadcast (255.255.255.255) da mscara de sub-rede em
questo.

Tambm preciso utilizar como endereo de teste na ACL o endereo


de rede daquela sub-rede ou bloco CIDR, nunca esquea disso!

Por exemplo, para selecionar a sub-rede 192.168.1.0/28


(255.255.255.240) temos que fazer seguinte conta:
255.255.255.255 255.255.255.240 = 0.0.0.15.

Portando a ACL teria 192.168.1.0 0.0.0.15 como endereo e


mscara respectivamente.

Resumo
Abaixo segue um resumo dos 4 macetes que estudamos no artigo.
Dicas e Concluses
Esses macetes e muitos outros ensino para nossos alunos do
curso CCNA CCENT, voc pode conhecer nosso curso fazendo um
testdrive gratuito.

Basta se cadastrar em nosso site clicando aqui e depois v no menu


Cursos, encontre o CCNA CCENT e ative o Testdrive.
Se voc tiver dificuldades em ativar tem uma menu chamado Comece
Aqui com vdeos que ensinam a fazer tudo em nossa plataforma,
bem fcil.

Conforme prometi no comeo do artigo seguem alguns posts sobre


ACL para ajudar em seus estudos:

1. 4 Sacadas para Voc Dominar ACL em Certificaes Cisco


2. Exemplo de ACL IP Padro
3. Exemplo de ACL IP Estendida
4. Exemplo de ACL Temporizada (Time Based)

Espero que o artigo tenha sido til e aguardo seus comentrios,


dvidas ou sugestes no final dessa pgina na rea de comentrios!

s descer um pouco que voc encontra a rea de comentrios est


l embaixo

Claro que voc tambm pode usar os botes de compartilhamento se


achar que o artigo vai ser til para seus amigos.

Que a fora esteja com voc e at uma prxima!