Escolar Documentos
Profissional Documentos
Cultura Documentos
Índice
Introdução
Pré-requisitos
Requisitos
Componentes Usados
Convenções
Conceitos de ACL
Máscaras
Sumarização sobre ACL
ACLs de Processo
Definir Portas e Tipos de Mensagem
Aplicar ACLs
Definir In, Out, Source e Destination
Editar ACLs
Solução de Problemas
Tipos de ACLs de IP
Diagrama de rede
ACLs Padrão
ACLs Estendidas
Lock and Key (ACLs Dinâmicas)
ACLs Nomeadas de IP
ACLs Reflexivas
ACLs Baseadas no Período Utilizando Intervalos de Tempo
Entradas de ACL IP Comentadas
Controle de Acesso Baseado em Contexto
Proxy de Autenticação
ACLs Turbo
ACLs Distribuídas Baseadas no Período
ACLs Recebidas
ACLs de Proteção de Infra-Estrutura
ACLs de Trânsito
Informações Relacionadas
Introdução
Este documento explica como as listas de controle de acesso (ACLs) do IP filtram o tráfego da rede. Também contém descrições breves dos tipos
ACL IP, disponibilidade de recurso e um exemplo de uso em uma rede.
Acesse a ferramenta Software Advisor (clientes registrados somente) para determinar o suporte de alguns recursos mais avançados da ACL de IP do
Cisco IOS®.
RFC 1700 contém números atribuídos de portas bem conhecidas. RFC 1918 contém alocação de endereço para Internet privada, endereços
IP que normalmente não deveriam ser vistos na Internet.
Observação: As ACLs também podem ser utilizadas para outros fins além de filtrar tráfego IP; por exemplo, para definir o tráfego para Network
Address Translate (NAT) ou criptografia ou para filtrar protocolos não-IP como AppleTalk ou IPX. Uma discussão sobre essas funções está fora
do escopo deste documento.
Pré-requisitos
Requisitos
Não existem pré-requisitos específicos para este documento. Os conceitos discutidos estão presentes em Cisco IOS® Software Releases 8.3 ou
posterior. Isso é observado em cada recurso de lista de acesso.
Componentes Usados
Este documento aborda vários tipos de ACLs. Alguns estão presentes desde o Cisco IOS Software Release 8.3 e outros foram introduzidos em
versões posteriores. Isso é observado na discussão de cada tipo.
As informações apresentadas neste documento foram criadas a partir dos dispositivos em um ambiente de laboratório específico. Todos os
dispositivos usados neste documento começaram com uma configuração vazia (padrão). Se a sua rede estiver ativa, certifique-se de entender o
impacto potencial de todos os comandos.
Convenções
Consulte Convenções de Dicas Técnicas da Cisco para obter mais informações sobre as convenções de documentos.
Conceitos de ACL
Esta seção descreve os conceitos de ACL.
Máscaras
As máscaras são usadas com os endereços IP nos ACLs de IP para especificar o que deve ser permitido e recusado. As máscaras para a
configuração de endereços IP em interfaces começam com 255 e apresentam os valores maiores à esquerda, por exemplo, endereço IP
209.165.202.129 com a máscara 255.255.255.224. As máscaras para ACLs de IP são o inverso, por exemplo, máscara 0.0.0.255. Às vezes, essas
máscaras são chamadas de máscaras inversas ou máscaras curinga. Quando o valor da máscara é dividido em binário (0s e 1s), os resultados
determinam quais bits do endereço devem ser considerados no processamento do tráfego. Zero (0) indica que os bits do endereço devem ser
considerados (correspondência exata) e um (1) significa "não leve em consideração". Esta tabela explica melhor o conceito.
Exemplo de máscara
máscara 0.0.0.255
Com base na máscara binária, você pode ver que os primeiros três conjuntos (octetos) devem corresponder exatamente ao endereço binário de
rede dado (00001010.00000001.00000001). O último conjunto de números "não é levado em consideração" (.11111111). Portanto, todo tráfego
que começa com correspondentes de 10.1.1. desde o último octeto significa "não leve em consideração". Dessa forma, com essa máscara, os
endereços de rede entre 10.1.1.1 e 10.1.1.255 (10.1.1.x) são processados.
Subtraia a máscara normal de 255.255.255.255 para determinar a máscara inversa ACL. Neste exemplo, a máscara inversa é determinada para o
endereço de rede 172.16.1.0 com uma máscara normal de 255.255.255.0.
Observação: Máscaras de sub-rede também podem ser representadas por uma notação de comprimento fixo. Por exemplo, 192.168.10.0/24
representa 192.168.10.0 255.255.255.0.
Essa lista descreve como sumarizar uma série de redes em uma rede única para otimização da ACL. Considere estas redes.
192.168.32.0/24
192.168.33.0/24
192.168.34.0/24
192.168.35.0/24
192.168.36.0/24
192.168.37.0/24
192.168.38.0/24
192.168.39.0/24
Os dois primeiros octetos e o último octeto são os mesmos para cada rede. Esta tabela é uma explicação de como sumarizá-los em uma única
rede.
O terceiro octeto para as redes anteriores podem ser escritos como vistos nesta tabela, de acordo com a posição do bit do octeto e o valor do
endereço para cada bit.
Decimal 128 64 32 16 8 4 2 1
32 0 0 1 0 0 0 0 0
33 0 0 1 0 0 0 0 1
34 0 0 1 0 0 0 1 0
35 0 0 1 0 0 0 1 1
36 0 0 1 0 0 1 0 0
37 0 0 1 0 0 1 0 1
38 0 0 1 0 0 1 1 0
39 0 0 1 0 0 1 1 1
M M M M M D D D
Como os cinco primeiros bits correspondem, as oito redes anteriores podem ser sumarizadas em uma rede (192.168.32.0/21 ou 192.168.32.0
255.255.248.0). Todas as oito combinações possíveis dos três bits de ordem inferior são relevantes para a série de redes em questão. Esse
comando define uma ACL que permite essa rede. Se você subtrair 255.255.248.0 (máscara normal) de 255.255.255.255, resulta em 0.0.7.255.
192.168.146.0/24
192.168.147.0/24
192.168.148.0/24
192.168.149.0/24
Os dois primeiros octetos e o último octeto são os mesmos para cada rede. Esta tabela é uma explicação de como sumarizá-los.
O terceiro octeto para as redes anteriores podem ser escritos como vistos nesta tabela, de acordo com a posição do bit do octeto e o valor do
endereço para cada bit.
Decimal 128 64 32 16 8 4 2 1
146 1 0 0 1 0 0 1 0
147 1 0 0 1 0 0 1 1
148 1 0 0 1 0 1 0 0
149 1 0 0 1 0 1 0 1
M M M M M ? ? ?
Diferente do exemplo anterior, você não pode sumarizar essas redes em uma rede única. É necessário um mínimo de duas redes. As redes
anteriores podem ser sumarizadas nestas duas redes:
Para redes 192.168.146.x e 192.168.147.x, todos os bits correspondem, exceto o último, que é um "não leve em consideração". Esse bit
pode ser gravado como 192.168.146.0/23 (ou 192.168.146.0 255.255.254.0).
Para redes 192.168.148.x e 192.168.149.x, todos os bits correspondem, exceto o último, que é um "não leve em consideração". Esse bit
pode ser gravado como 192.168.148.0/23 (ou 192.168.148.0 255.255.254.0).
ACLs de Processo
O tráfego que chega ao roteador é comparado às entradas de ACL baseadas na ordem em que as entradas ocorrem no roteador. São adicionadas
novas instruções no final da lista. O roteador continua a procurar até que tenha uma correspondência. Se nenhuma correspondência for
encontrada quando o roteador atingir o final da lista, o tráfego será negado. Por esse motivo, deixe as entradas freqüentes no início da lista. Há
uma negação implícita para tráfego que não é permitido. Uma ACL de entrada única com apenas uma entrada de negação tem o efeito de negar
todo o tráfego. Você deve ter pelo menos uma instrução de permissão em uma ACL ou todo o tráfego será bloqueado. Essas duas ACLs (101 e
102) apresentam o mesmo efeito.
Neste exemplo, a última entrada é suficiente. As três primeiras entradas não são necessárias porque o TCP inclui Telnet, e IP inclui TCP, User
Datagram Protocol (UDP) e Internet Control Message Protocol (ICMP).
Além de definir a origem e o destino de ACL, é possível definir as portas, os tipos de mensagem ICMP e outros parâmetros. Uma boa fonte de
informações para portas bem conhecidas é o RFC 1700 . Os tipos de mensagens ICMP estão explicados em RFC 792 .
O roteador pode exibir texto descritivo em algumas das portas bem conhecidas. Utilize um ? para obter ajuda.
Durante a configuração, o roteador também converte valores numéricos em valores mais amigáveis. Esse é um exemplo onde você digita o
número de tipo da mensagem ICMP e ele faz o roteador converter o número em um nome.
torna-se
access-list 102 permit icmp host 10.1.1.1 host 172.16.1.1 timestamp-reply
Aplicar ACLs
Você pode definir ACLs sem aplicá-las. Mas, as ACLs não têm efeito até que sejam aplicadas à interface do roteador. Convém aplicar a ACL na
interface o mais próximo possível da origem do tráfego. Conforme mostrado neste exemplo, quando você tenta bloquear tráfego da origem para o
destino, pode aplicar uma ACL de entrada para E0 no roteador A em vez de uma lista de saída para E1 no roteador C.
Out — O tráfego já passou pelo roteador e saiu da interface. A origem é o local onde ele estava, no outro lado do roteador, e o destino é o
local para onde ele vai.
In — O tráfego que chega na interface e, em seguida, passa pelo roteador. A origem é o local onde ele estava e o destino é o local para
onde ele vai, do outro lado do roteador.
A ACL de entrada (in) tem uma fonte em um segmento da interface para o qual é aplicado e um destino fora de todas as outras interfaces. A ACL
de saída (out) tem origem em um segmento de qualquer interface diferente da interface na qual está aplicada e um destino fora da interface à qual
é aplicada.
Editar ACLs
Ao editar uma ACL, você precisará ter muito cuidado. Por exemplo, quando você exclui uma linha específica de uma ACL numerada conforme
mostrado aqui, a ACL toda é excluída.
router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
router(config)#access-list 101 deny icmp any any
router(config)#access-list 101 permit ip any any
router(config)#^Z
router#show access-list
Extended IP access list 101
deny icmp any any
permit ip any any
router#
*Mar 9 00:43:12.784: %SYS-5-CONFIG_I: Configured from console by console
router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
router(config)#no access-list 101 deny icmp any any
router(config)#^Z
router#show access-list
router#
*Mar 9 00:43:29.832: %SYS-5-CONFIG_I: Configured from console by console
Copie a configuração do roteador para um servidor de TFTP ou um editor de texto, como o Bloco de Notas, para editar ACLs numeradas. Em
seguida, faça as alterações e copie a configuração de volta no roteador.
router#configure terminal
Enter configuration commands, one per line.
router(config)#ip access-list extended test
router(config-ext-nacl)#permit ip host 2.2.2.2 host 3.3.3.3
router(config-ext-nacl)#permit tcp host 1.1.1.1 host 5.5.5.5 eq www
router(config-ext-nacl)#permit icmp any any
router(config-ext-nacl)#permit udp host 6.6.6.6 10.10.10.0 0.0.0.255 eq domain
router(config-ext-nacl)#^Z
1d00h: %SYS-5-CONFIG_I: Configured from console by consoles-l
router#show access-list
Extended IP access list test
permit ip host 2.2.2.2 host 3.3.3.3
permit tcp host 1.1.1.1 host 5.5.5.5 eq www
permit icmp any any
permit udp host 6.6.6.6 10.10.10.0 0.0.0.255 eq domain
router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
router(config)#ip access-list extended test
router#show access-list
Extended IP access list test
permit ip host 2.2.2.2 host 3.3.3.3
permit tcp host 1.1.1.1 host 5.5.5.5 eq www
permit udp host 6.6.6.6 10.10.10.0 0.0.0.255 eq domain
permit gre host 4.4.4.4 host 8.8.8.8
Todas as exclusões são removidas da ACL e as inclusões são feitas no final da ACL.
Solução de Problemas
Vá para o modo de configuração e digite no na frente do comando access-group, conforme mostrado neste exemplo, para remover uma ACL de
uma interface.
interface <interface>
no ip access-group #in|out
Se muito tráfego for recusado, estude a lógica de sua lista ou tente definir e aplicar uma lista adicional mais ampla. O comando show ip access-
lists fornece uma contagem de pacotes que demonstra qual entrada de ACL é acessada.
A palavra-chave log no final das entradas individuais da ACL mostram o número da ACL e se o pacote foi permitido ou recusado, além de
informações específicas sobre a porta.
Observação: A palavra-chave log-input existe no Cisco IOS Software Release 11.2 ou posterior, e em determinados softwares com base no
Cisco IOS Software Release 11.1 criados especificamente para o mercado de provedor de serviço. Os softwares mais antigos não suportam essa
palavra-chave. O uso dessa palavra-chave inclui a interface de entrada e o endereço MAC de origem, quando aplicável.
Esse procedimento explica o processo de depuração. Antes de começar, certifique-se de que não haja ACLs aplicadas no momento, que exista
uma ACL, e que o switching rápido não esteja habilitado.
Observação: Tenha muito cuidado ao depurar um sistema com tráfego intenso. Você pode depurar o tráfego específico usando uma ACL. Mas,
certifique-se do processo e do fluxo de tráfego.
Neste exemplo, a captura de dados é definida para o endereço de destino de 10.2.6.6 ou o endereço de origem de 10.2.6.6.
2. Desative o switching rápido nas interfaces envolvidas. Você vê o primeiro pacote somente se o switching rápido não estiver desabilitado.
config interface
no ip route-cache
3. Utilize o comando terminal monitor no modo habilitado para exibir a saída do comando debug e as mensagens de erro do sistema do
terminal ou sessão atual.
4. Utilize o comando debug ip packet 101 ou debug ip packet 101 detail para começar o processo de depuração.
5. Execute o comando no debug all no modo habilitado e o comando interface configuration para parar o processo de depuração.
6. Reinicie o cache.
config interface
ip route-cache
Tipos de ACLs de IP
Esta seção do documento descreve os tipos de ACL.
Diagrama de rede
ACLs Padrão
ACLs padrão são o tipo mais antigo de ACL. Elas existem desde antes do Cisco IOS Software Release 8.3. As ACLs padrão controlam o tráfego
por meio da comparação do endereço de origem dos pacotes IP com os endereços configurados nas ACL.
Em todas as versões de software, o access-list-number pode ser qualquer número entre 1 e 99. No Cisco IOS Software Release 12.0.1, as ACLs
padrão começam a usar números adicionais (1300 a 1999). Esses números adicionais são chamados de ACLs de IP expandidas. O Cisco IOS
Software Release 11.2 incluiu a capacidade de usar nome de lista em ACLs padrão.
Uma configuração de curinga de origem/origem de 0.0.0.0/255.255.255.255 pode ser especificada como qualquer um. O caractere curinga
poderá ser omitido se for zero. Portanto, o host 10.1.1.2 0.0.0.0 corresponde ao host 10.1.1.2.
Depois de definida, a ACL deve ser aplicada à interface (entrada ou saída). Em versões anteriores do software, out era o padrão quando nenhuma
palavra-chave out ou in era especificada. A direção deverá ser especificada em versões posteriores do software.
interface <interface>
ip access-group number {in|out}
Este é um exemplo do uso de uma ACL padrão para bloquear todo o tráfego, exceto aquele de origem 10.1.1.x.
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip access-group 1 in
access-list 1 permit 10.1.1.0 0.0.0.255
ACLs Estendidas
As ACLs estendidas foram introduzidas no Cisco IOS Software Release 8.3. As ACLs estendidas controlam o tráfego por meio da comparação
dos endereços de origem e de destino dos pacotes IP com os endereços configurados na ACL.
Essa é o formato da sintaxe do comando de ACLs estendidas. As linhas estão distribuídas aqui considerando o espaço.
IP
access-list
access-list-number [dynamic
dynamic-name [timeout
minutes]]
{deny | permit} protocol source source-wildcard
destination destination-wildcard [precedence precedence]
[tos tos] [log | log-input] [time-range time-range-name]
ICMP
access-list
access-list-number [dynamic
dynamic-name [timeout
minutes]]
{deny | permit} icmp
source source-wildcard
destination destination-wildcard
[icmp-type | [[icmp-type icmp-code] | [icmp-message]]
[precedence precedence] [tos tos] [log | log-input]
[time-range time-range-name]
TCP
access-list
access-list-number [dynamic
dynamic-name [timeout
minutes]]
{deny | permit} tcp
source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]] [established]
[precedence precedence] [tos tos] [log | log-input]
[time-range time-range-name]
UDP
access-list
access-list-number [dynamic
dynamic-name [timeout minutes]]
{deny | permit} udp
source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]]
[precedence precedence] [tos tos] [log | log-input]
[time-range time-range-name]
Em todas as versões de software, o access-list-number pode ser um número entre 101 e 199. No Cisco IOS Software Release 12.0.1, as ACLs
estendidas começam a usar números adicionais (2000 a 2699). Esses números adicionais são referidos como ACLs de IP expandidas. O Cisco
IOS Software Release 11.2 incluiu a capacidade de usar nome de lista em ACLs estendidas.
O valor 0.0.0.0/255.255.255.255 pode ser especificado como qualquer. Depois de definidas as ACL, devem ser aplicadas à interface (entrada ou
saída). Em versões anteriores do software, out era o padrão quando nenhuma palavra-chave out ou in era especificada. A direção deverá ser
especificada em versões posteriores do software.
interface <interface>
ip access-group {number|name} {in|out}
Essa ACL estendida é utilizada para permitir tráfego na rede 10.1.1.x (interna) e para receber respostas de pings externos ao mesmo tempo em
que pings não solicitados são impedidos, sem que todos os outros tipos de tráfego sejam impedidos.
interface Ethernet0/1
ip address 172.16.1.2 255.255.255.0
ip access-group 101 in
access-list 101 deny icmp any 10.1.1.0 0.0.0.255 echo
access-list 101 permit ip any 10.1.1.0 0.0.0.255
Observação: Alguns aplicativos, como gerenciamento de redes, exigem pings para obter uma função de manutenção de atividade. Se esse for o
caso, convém limitar o bloqueio de pings de entrada ou ser mais granular em IPs permitidos/negados.
Lock and Key, também conhecido como ACLs dinâmicas, foi introduzido no Cisco IOS Software Release 11.1. Esse recurso é dependente de
Telnet, autenticação (local ou remota) e ACLs estendidas.
A configuração de lock and key tem início com a aplicação de uma ACL estendida para bloquear o tráfego no roteador. Usuários que desejam
atravessar o roteador são bloqueados pela ACL estendida até serem conectados pela Telnet com o roteador e autenticados. Em seguida, a conexão
Telnet cai e uma ACL dinâmica de entrada única é adicionada à ACL estendida existente. Isso permite tráfego por um determinado período de
tempo; expirações ociosas e absolutas são possíveis.
Esse é o formato da sintaxe do comando de configuração lock and key com autenticação local.
A ACL de entrada única nesse comando é dinamicamente adicionada à ACL existente após autenticação.
login local
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip access-group 101 in
Depois que o usuário em 10.1.1.2 fizer uma conexão de Telnet para 10.1.1.1, a ACL dinâmica será aplicada. Em seguida, a conexão será
descartada e o usuário poderá seguir para a rede 172.16.1.x.
ACLs Nomeadas de IP
ACLs nomeadas de IP foram introduzidas no Cisco IOS Software Release 11.2. Elas permitem que ACLs padrão e estendidas tenham nomes em
vez de números.
Este é um exemplo do uso de uma ACL nomeada para bloquear todo o tráfego, exceto a conexão Telnet do host 10.1.1.2 para o host 172.16.1.1.
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip access-group in_to_out in
ACLs Reflexivas
As ACLs reflexivas foram introduzidas no Cisco IOS Software Release 11.3. ACLs reflexivas permitem que os pacotes IP sejam filtrados de
acordo com as informações de sessão de camada superior. Geralmente são utilizadas para permitir o tráfego de saída e para limitar o tráfego de
entrada em resposta às sessões que são originadas dentro do roteador.
ACLs reflexivas podem ser definidas apenas com ACLs de IP de nomes estendidos. Não podem ser definidas com ACLs de IP nomeadas padrão
ou numeradas, ou com outras ACLs de protocolo. ACLs reflexivas podem ser usadas em conjunto com outras ACLs padrão e estáticas
estendidas.
interface
ip access-group {number|name} {in|out}
evaluate name
Este é um exemplo da permissão do tráfego externo e interno ICMP, enquanto somente o tráfego TCP iniciado internamente é permitido, outro
tráfego é negado.
interface Ethernet0/1
ip address 172.16.1.2 255.255.255.0
ip access-group inboundfilters in
ip access-group outboundfilters out
time-range time-range-name
Neste exemplo, uma conexão de Telnet é permitida de dentro para fora da rede na segunda-feira, na quarta-feira e na sexta-feira durante o horário
comercial:
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip access-group 101 in
time-range EVERYOTHERDAY
periodic Monday Wednesday Friday 8:00 to 17:00
Entradas de ACL IP comentadas foram introduzidas no Cisco IOS Software Release 12.0.2.T. Os comentários deixam as ACLs mais fáceis de
compreender e podem ser utilizados para ACLs de IP padrão ou estendidas.
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip access-group 101 in
O CBAC (Controle de acesso baseado em contexto) foi introduzido no Cisco IOS Software Release 12.0.5.T e requer o conjunto de recursos do
Cisco IOS Firewall. O CBAC inspeciona o tráfego que viaja através do firewall para descobrir e gerenciar informações de estado das sessões
TCP e UDP. Essa informação é utilizada para criar aberturas temporárias nas listas de acesso do firewall. Configure as listas de ip inspect na
direção do fluxo de iniciação do tráfego para permitir o tráfego de retorno e conexões de dados adicionais para sessões permissíveis, sessões
originárias da rede interna protegida, para fazer isso.
Este é um exemplo do uso de CBAC para inspecionar tráfego externo. A ACL 111 estendida normalmente bloqueia o tráfego de retorno que não
seja ICMP sem brechas de abertura de CBAC para tráfego de retorno.
Proxy de Autenticação
O proxy de autenticação foi introduzido no Cisco IOS Software Release 12.0.5.T. É necessário ter o conjunto de recursos do Cisco IOS Firewall.
O proxy de autenticação é usado para autenticar usuários de entrada ou saída ou ambos. Usuários que normalmente são bloqueados por uma ACL
podem utilizar uma navegador para passar pelo firewall e autenticar-se em um servidor TACACS+ ou RADIUS. O servidor transmite entradas
ACL adicionais até o roteador para permitir que os usuários façam a autenticação.
O proxy de autenticação é semelhante à lock and key (ACLs dinâmicas). Estas são as diferenças:
Lock and key é acionado por uma conexão de Telnet ao roteador. O proxy de autenticação é acionado pelo HTTP por meio do roteador.
O proxy de autenticação pode trabalhar com adição de listas dinâmicas múltiplas. Lock and key só pode adicionar uma.
O proxy de autenticação tem uma expiração absoluta mas não um intervalo ocioso. O recurso lock and key tem dois.
Consulte o Cookbook de Configuração do Cisco Secure Integrated Software para obter exemplos de proxy de autenticação.
ACLs Turbo
As ACLs Turbo foram introduzidas no Cisco IOS Software Release 12.1.5.T e são encontradas somente no 7200, 7500 e em outras plataformas
de ponta. O recurso turbo ACL foi projetado para processar ACLs de maneira mais eficiente para aprimorar o desempenho do roteador.
Utilize o comando access-list compiled para ACLs tubo. Este é um exemplo de uma ACL compilada:
Depois definir uma ACL padrão ou estendida, utilize o comando global configuration para compilar.
access-list compiled
Interface Ethernet0/1
ip address 172.16.1.2 255.255.255.0
ip access-group 101 in
A sintaxe de ACLs distribuídas baseadas no período é a mesma usada para ACLs baseada no período, com a adição dos comandos relativos ao
status das mensagens do IPC (Inter Processor Communication) entre o processador da rota e a placa de linha.
ACLs Recebidas
ACLs de recebimento são utilizadas para aumentar a segurança em roteadores Cisco 12000 por meio da proteção do Gigabit Route Processor
(GRP) do roteador contra tráfego desnecessário e potencialmente perigoso. As ACLs de recebimento foram incluídas como um waiver especial
ao avanço na manutenção do Cisco IOS Software Release 12.0.21S2 e integradas ao 12.0(22)S. Consulte GSR: Listas de Controle de Acesso
Recebidas para obter mais informações.
ACLs de infra-estrutura são utilizadas para minimizar o risco e a eficiência do ataque direto infra-estrutura por permissões explícitas de somente
tráfego autorizado ao equipamento de infra-estrutura, enquanto permite todos os outros tráfegos de trânsito. Consulte Protegendo Sua Base:
Listas de Controle de Proteção de Infra-Estrutura para obter mais informações.
ACLs de Trânsito
Listas de controle de acesso (ACLs) de trânsito são utilizadas para aumentar a segurança da rede, pois permitem explicitamente apenas o tráfego
necessário em sua rede ou redes. Consulte Listas de Controle de Acesso de Trânsito: Filtrando sua Borda para obter mais informações.
Informações Relacionadas
RFC 1700
RFC 1918
Página de Suporte das Listas de Acesso
Página de Suporte do Firewall do IOS
Firewall de IOS em Documentação IOS
Suporte Técnico e Documentação - Cisco Systems
http://www.cisco.com/cisco/web/support/BR/8/85/85488_confaccesslists.html