Escolar Documentos
Profissional Documentos
Cultura Documentos
Podem ser aplicadas para an�lise do tr�fego entrante (inbound traffic) e/ou
sainte (outbound traffic) em qualquer tipo de interface ou subinterface.
O Router analisar� todos os pacotes que cruzarem uma interface em que exista
uma ACL configurada na dire��o especificada e tomar� a a��o apropriada.
- Controlar quais rotas ou redes podem ou n�o ser anunciadas pelos protocolos
din�micos de roteamento (RIP, OSPF e EIGRP). Conhecidas como listas de
distribui��o.
Uma vez criada, a lista de acesso deve ser aplicada a uma interface para
analisar o tr�fego que entra ou sai por ela.
Quando um pacote entra ou tenta sair por uma interface que possua uma ACL
configurada, campos no cabe�alho desse pacote ser�o examinados e comparados com as
regras existentes na lista.
- Apenas uma lista de acesso pode ser aplicada por vers�o IP, interface ou
dire��o. Em uma mesma interface, logo pode-se ter uma ACL IPv4 no sentido "IN",
outra no sentido "OUT" e adicionalmente pode-se ter ACLs IPv6 "IN" e "OUT" tamb�m;
- Caso a lista n�o contenha ao menos uma regra "permit", seu efeito ser�
bloquear TODOS os pacotes analisados por ela. Por causa da diretriz padr�o que diz
que "tudo que n�o for explicitamente permitido deve ser negado" ("Deny all")
Outra forma seria especificando o endere�o do host como se fosse uma rede com
um �nico elemento, por�m utilizando "Wildcards"
Wildcard Masking
Enquanto os "1"s informam que qualquer varia��o de bits ("0" ou "1") ser�
considerada como uma correspond�ncia.
- Os valores 0 e 255 n�o devem ser alterados, e aqui h� uma troca entre eles
na respresenta��o, o que � 255 passa a ser 0, e o que � 0 passa a ser 255 ficando:
0.0.240.255
Essas listas permitem que se filtre a rede n�o apenas observando o endere�o
IP de origem mas tamb�m o endere�o IP de destino, o protocolo e par�metros
adicionais, como n�mero de porta l�gica TCP ou UDP de origem e destino.
Os intervalos num�ricos que definem listas padr�o s�o: 100 a 199 e 2000-2699
(intervalo estendido)
Deve-se ter em mente que sempre ao usar ACLs estendidas h� que se especificar
um protocolo para ser usado na filtragem, o mais abrangente dos protocolos sempre
ser� o IP.
A recomenda��o para este tipo de lista, � que sejam aplicadas o mais pr�ximo
poss�vel da origem do tr�fego.
ACLs IPv6
Apenas podem ser criadas no formato nomeado (n�o existe ACL IPv6
numerada);