Packet Tracer – Demonstração de lista de controle de acesso

Objetivos
Parte 1: Verificar a conectividade local e testar a lista de controle de acesso
Parte 2: Remover a lista de controle de acesso e repetir o teste

Histórico
Nesta atividade, você observará como uma lista de controle de acesso (ACL) pode ser usada para impedir
que um ping alcance hosts em redes remotas. Após remover a ACL da configuração, os pings terão êxito.

Tabela de Endereçamento
Dispositivo Interface Endereço IP / Prefixo

R1 G0/0 192.168.10.1/24

R1
G0/1 192.168.11.1/24

R1
S0/0/0 10.1.1.1/30
R2 S0/0/0 10.10.1.2/30

R2
S0/0/1 10.10.1.5/30
R3 G0/0 192.168.30.1/24

R3
G0/1 192.168.31.1/24

R3
S0/0/1 10.10.1.6/24
PC1 NIC 192.168.10.10/24
PC2 NIC 192.168.10.11/24
PC3 NIC 192.168.11.10/24
PC4 NIC 192.168.30.12/24
Servidor DNS NIC 192.168.31.12/24

Instruções

Parte 1: Verificar a conectividade local e teste a lista de controle de acesso

Etapa 1: Execute o ping nos dispositivos na rede local para verificar a conectividade.
a. Do prompt de comando de PC1, execute ping para PC2.
b. Do prompt de comando de PC1, execute ping para PC3.
Pergunta:

Os pings tiveram êxito?

Digite suas respostas aqui.

 2013 - aaaa Cisco e/ou suas afiliadas. Todos os direitos reservados. Página Pública da Cisco 13
www.netacad.com
Packet Tracer – Demonstração de lista de controle de acesso

Etapa 2: Execute o ping nos dispositivos em redes remotas para testar a funcionalidade da
ACL.
a. Do prompt de comando de PC1, execute ping para PC4.
b. Do prompt de comando de PC1, execute ping para Servidor DNS.
Pergunta:

Por que o ping falhou? (Dica: use o modo de simulação ou visualize as configurações do roteador para
investigar.)
Digite suas respostas aqui.

Parte 2: Remova a ACL e repita o teste

Etapa 1: Use comandos show para investigar a configuração de ACL.
a. Navegue até R1 CLI. Use os comandos show run e show access-lists para exibir as ACLs
configuradas atualmente. Para ver rapidamente as ACLs atuais, use show access-lists. Insira o
comando show access-lists, seguido por um espaço e um ponto de interrogação (?) para exibir as
opções disponíveis:
Abrir a janela de configuração

R1# show access-lists ?

<1-199> ACL number
WORD ACL name
<cr>
Se você souber o número ou o nome da ACL, poderá filtrar ainda mais a saída de show. No entanto, R1
tem somente uma ACL; portanto, o comando show access-lists será suficiente.
R1#show access-lists
Standard IP access list 11
10 deny 192.168.10.0 0.0.0.255
20 permit any
A primeira linha da ACL bloqueia todos os pacotes originados na rede 192.168.10.0/24, que inclui ecos
do Internet Control Message Protocol (ICMP) (solicitações de ping). A segunda linha da ACL permite
todo o tráfego ip restante de qualquer origem para atravessar o roteador.
b. Para uma ACL afetar a operação do roteador, ela deve ser aplicada a uma interface em uma direção
específica. Neste cenário, a ACL é usada para filtrar o tráfego em uma interface. Portanto, todo o tráfego
saindo da interface de R1 especificada será inspecionado contra ACL 11.
Embora você possa visualizar as informações de IP com o comando show ip interface, pode ser mais
eficiente em algumas situações, simplesmente usar o comando show run. Para obter uma lista completa
de interfaces às quais a ACL que pode ser aplicada e a lista de todas as ACLs configuradas, use o
seguinte comando:
R1# show run | include interface|access
interface GigabitEthernet0/0
interface GigabitEthernet0/1
interface Serial0/0/0
ip access-group 11 out
interface Serial0/0/1
interface Vlan1
access-list 11 deny 192.168.10.0 0.0.0.255
access-list 11 permit any

 2013 - aaaa Cisco e/ou suas afiliadas. Todos os direitos reservados. Página Pública da Cisco 23
www.netacad.com
Packet Tracer – Demonstração de lista de controle de acesso

O segundo símbolo de pipe '|” cria uma condição OR que corresponde a 'interface' OU 'acesso'. É
importante que nenhum espaço esteja incluído na condição OR. Use um ou ambos os comandos para
encontrar informações sobre a ACL.
Pergunta:

Para qual interface e em que direção a ACL é aplicada?

Digite suas respostas aqui.

Etapa 2: Remova a lista de acesso 11 da configuração.

Você pode remover as ACLs da configuração executando o comando no access-list [number of the ACL]. O
comando no access-list quando usado sem argumentos exclui todas as ACLs configuradas no roteador. O
comando no access-list [number of the ACL] remove apenas uma ACL específica. Remover uma ACL de
um roteador não remove a ACL da interface. O comando que aplica a ACL à interface deve ser removido
separadamente.
a. Na interface Serial0 / 0/0, remova a lista de acesso 11, que foi aplicada anteriormente à interface como
um filtro de saída:
R1(config)# interface s0/0/0
R1(config-if)# no ip access-group 11 out
b. No modo de configuração global, remova a ACL inserindo o seguinte comando:
R1(config)# no access-list 11
c. Verifique se PC1 agora pode executar ping do Servidor DNS e PC4.
Fechar janela de configuração
Fim do documento

 2013 - aaaa Cisco e/ou suas afiliadas. Todos os direitos reservados. Página Pública da Cisco 33
www.netacad.com