29/10/23, 22:48 Packet Tracer - Configurar ACLs estendidas - cenário 1

Packet Tracer - Configurar ACLs estendidas - cenário 1

Tabela de endereçamento

Máscara de Sub-
Dispositivo Interface Endereço IP Rede Gateway padrão

R1 G0/0 172.22.34.65 255.255.255.224 N/D

R1
G0/1 172.22.34.97 255.255.255.240 N/D

R1
G0/2 172.22.34.1 255.255.255.192 N/D

Servidor Placa de rede 172.22.34.62 255.255.255.192 172.22.34.1

PC1 NIC 172.22.34.66 255.255.255.224 172.22.34.65
PC2 NIC 172.22.34.98 255.255.255.240 172.22.34.97
Linha em branco - sem informações adicionais

Objetivos
Parte 1: Configurar, aplicar e verificar uma ACL estendida numerada
Parte 2: Configurar, aplicar e verificar uma ACL estendida nomeada

Histórico/Cenário
Dois funcionários precisam acessar os serviços fornecidos pelo servidor. O PC1 precisa somente de
acesso ao FTP, enquanto o PC2 precisa somente do acesso à Web. Ambos os computadores precisam
poder executar ping no servidor, mas não um ao outro.

Instruções

Parte 1: Configurar, Aplicar e Verificaruma ACL Numerada Estendida

Etapa 1: Configurar uma ACL para permitir FTP e ICMP a partir da LAN PC1.
a. No modo de configuração global em R1, insira o comando a seguir para determinar o primeiro número
válido para uma lista de acesso estendida.
Abrir a janela de configuração

R1(config)# access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
b. Adicione 100 ao comando, seguido por um ponto de interrogação.
R1(config)# access-list 100 ?
deny Especifica pacotes para descartar.
permit Especifica pacotes para encaminhar.
remark Comentarios da entrada da ACL.
c. Para permitir o tráfego de FTP, insira permit, seguido por um ponto de interrogação.
R1(config)# access-list 100 permit ?
ahp Authentication Header Protocol
eigrp EIGRP protocolo de roteamento da Cisco
esp Encapsulation Security Payload

https://sgp-ui-components.s3.amazonaws.com/s/ff9e491c-49be-4734-803e-a79e6e83dab1/resources/46e8766b-7bfa-40f6-992c-700eb395db74/v1/pt-… 1/5
29/10/23, 22:48 Packet Tracer - Configurar ACLs estendidas - cenário 1

gre Cisco's GRE tunneling

icmp Internet Control Message Protocol
ip Any Internet Protocol
ospf OSPF routing protocol
tcp Transmission Control Protocol
udp User Datagram Protocol
d. Quando configurado e aplicado, essa ACL deve permitir FTP e ICMP. O ICMP está listado acima, mas
o FTP não. Isso ocorre porque o FTP é um protocolo de camada de aplicativo que usa TCP na camada
de transporte. Digite TCP para refinar ainda mais a ajuda da ACL.
R1(config)# access-list 100 permit tcp ?
A.B.C.D Endereço de origem
any Qualquer host de origem
host Unico host de origem
e. O endereço de origem pode representar um único dispositivo, como PC1, usando a palavra-chave
host e, em seguida, o endereço IP de PC1. Usando a palavra-chave anypermite qualquer host em
qualquer rede. A filtragem também pode ser feita por um endereço de rede. Nesse caso, é qualquer
host que possua um endereço pertencente à rede 172.22.34.64/27. Digite este endereço de rede,
seguido de um ponto de interrogação.
R1(config)# access-list 100 permit tcp 172.22.34.64 ?
A.B.C.D Bits do wildcard de origem
f. Calcule a máscara curinga determinando o oposto binário da máscara de sub-rede / 27.
11111111.11111111.11111111.11100000 = 255.255.255.224
00000000.00000000.00000000.00011111 = 0.0.0.31
g. Digite a máscara curinga, seguida por um ponto de interrogação.
R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 ?
A.B.C.D Endereço de destino
any Qualquer host de destino
eq Equivalente a uma porta específica
gt Porta "maiores que"
host Destino único
lt Portas "menores que"
neq porta "diferente de"
range Portas "nesse intervalo"
h. Configure o endereço de destino. Nesse cenário, estamos filtrando o tráfego para um único destino,
que é o servidor. Digite a palavra-chave host seguida do endereço IP do servidor.
R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host
172.22.34.62 ?
dscp Faz match nos pacotes com o valor de dscp
eq Equivalente a uma porta específica
established se a conexão já estiver estabelecida
gt Porta "maiores que"
lt Portas "menores que"
neq porta "diferente de"
precedence Faça match com o valor de precedência
range Portas "nesse intervalo"
<cr>

https://sgp-ui-components.s3.amazonaws.com/s/ff9e491c-49be-4734-803e-a79e6e83dab1/resources/46e8766b-7bfa-40f6-992c-700eb395db74/v1/pt-… 2/5
29/10/23, 22:48 Packet Tracer - Configurar ACLs estendidas - cenário 1

i. Observe que uma das opções é <cr> (código de fim de linha). Em outras palavras, você pode
pressionar Enter e a instrução permitirá todo o tráfego TCP. No entanto, somente permitimos tráfego
de FTP; portanto, insira a palavra-chave eq, seguida por um ponto de interrogação para exibir as
opções disponíveis. Em seguida, insira ftp e pressione Enter.
R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host
172.22.34.62 eq ?
<0-65535> Port number
FTP Protocolo de Transferência de Arquivos (File Transfer Protocol)
pop3 Post Office Protocol v3 (110)
smtp Simple Mail Transport Protocol (25)
telnet Telnet (23)
www World Wide Web (HTTP, 80)
R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host
172.22.34.62 eq ftp
j. Crie uma segunda declaração da lista de acesso para permitir o tráfego ICMP (ping, etc.) do PC1 para
o servidor. Observe que o número da lista de acesso permanece o mesmo e um tipo específico de
tráfego ICMP não precisa ser determinado.
R1(config)# access-list 100 permit icmp 172.22.34.64 0.0.0.31 host
172.22.34.62
k. Todo o outro tráfego é negado, por padrão.
l. Execute o comando show access-list e verifique se a lista de acesso 100 contém as instruções
corretas. Observe que a instrução negar qualquer qualquer não aparece no final da lista de acesso. A
execução padrão de uma lista de acesso é que, se um pacote não corresponder a uma instrução na
lista de acesso, ele não é permitido através da interface.
R1#show access-lists
Extended IP access list 100
10 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 eq ftp
20 permit icmp 172.22.34.64 0.0.0.31 host 172.22.34.62

Etapa 2: aplique a ACL na interface correta para filtrar o tráfego.

Da perspectiva de R1, a ACL é aplicada ao tráfego que entra na interface Gigabit Ethernet 0/0. Entre no
modo configuração de interface e aplique a ACL.
Observação: Em uma rede operacional real, não é umaboa prática aplicar uma lista de acesso não testada
a uma interface ativa.
R1(config)# interface gigabitEthernet 0/0
R1(config-if)# ip access-group 100 in

Etapa 3: verifique a implementação da ACL.

a. Faça ping de PC1 para o Servidor. Se os pings não tiverem êxito, verifique os endereços IP antes de
continuar.
b. Faça ping de PC1 para o Servidor. O nome de usuário e a senha são cisco.
PC> ftp 172.22.34.62
c. Saia do serviço FTP.
ftp> quit
fechar janela de configuração

d. Faça ping de PC1 para o Servidor. O host de destino deve estar inacessível, porque a ACL não
permitiu explicitamente o tráfego.

https://sgp-ui-components.s3.amazonaws.com/s/ff9e491c-49be-4734-803e-a79e6e83dab1/resources/46e8766b-7bfa-40f6-992c-700eb395db74/v1/pt-… 3/5
29/10/23, 22:48 Packet Tracer - Configurar ACLs estendidas - cenário 1

Parte 2: Configurar, Aplicar e Verificaruma ACL Nomeada Estendida

Etapa 1 : Configurar uma ACL para permitir acesso HTTP e ICMP a partir da LAN PC2 .
a. As ACLs nomeadas começam com a palavra-chave ip. No modo de configuração global de R1, insira o
seguinte comando, seguido por um ponto de interrogação.
Abrir a janela de configuração

R1(config)# ip access-list ?
extended Extended Access List
standard Standard Access List
b. Você pode configurar ACLs padrão e estendidas nomeadas. Esta lista de acesso filtrará os endereços
IP origem e destino; portanto, deve ser estendida. Insira HTTP_ONLY como o nome. (Para pontuação
de rastreador de pacotes, o nome diferencia maiúsculas e minúsculas e as instruções de lista de
acesso devem ser a ordem correta.)
R1(config)# ip access-list extended HTTP_ONLY
c. O prompt muda. Você está agora no modo de configuração de ACL estendida nomeada. Todos os
dispositivos na LAN de PC2 precisam de acesso TCP. Digite o endereço de rede, seguido de um ponto
de interrogação.
R1(config-ext-nacl)# permit tcp 172.22.34.96 ?
A.B.C.D Bits do wildcard de origem
d. Outra maneira de calcular uma máscara curinga é subtrair a máscara de sub-rede de
255.255.255.255.
255.255.255.255
- 255.255.255.240
-----------------
= 0.0. 0. 15
R1(config-ext-nacl)# permit tcp 172.22.34.96 0.0.0.15
e. Termine a instrução especificando o endereço de servidor como você fez na Parte 1 e filtrando o
tráfego www.
R1(config-ext-nacl)# permit tcp 172.22.34.96 0.0.0.15 host 172.22.34.62 eq www
f. Crie uma segunda declaração da lista de acesso para permitir o tráfego ICMP (ping, etc.) do PC2 para
o servidor. Observação: o prompt permanece o mesmo e um tipo específico de tráfego ICMP não
precisa ser determinado.
R1(config-ext-nacl)# permit icmp 172.22.34.96 0.0.0.15 host 172.22.34.62
g. Todo o outro tráfego é negado, por padrão. Saia do modo de configuração chamado ACL estendido.
h. Execute o comando show access-list e verifique se a lista de acesso HTTP_ONLY contém as
instruções corretas.
R1# show access-lists
Extended IP access list 100
10 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 eq ftp
20 permit icmp 172.22.34.64 0.0.0.31 host 172.22.34.62
Extended IP access list HTTP_ONLY
10 permit tcp 172.22.34.96 0.0.0.15 host 172.22.34.62 eq www
20 permit icmp 172.22.34.96 0.0.0.15 host 172.22.34.62

Etapa 2: aplique a ACL na interface correta para filtrar o tráfego.

Da perspectiva de R1, a lista de acesso HTTP_ONLY é aplicada ao tráfego que entra na interface Gigabit
Ethernet 0/1. Entre no modo configuração de interface e aplique a ACL.

https://sgp-ui-components.s3.amazonaws.com/s/ff9e491c-49be-4734-803e-a79e6e83dab1/resources/46e8766b-7bfa-40f6-992c-700eb395db74/v1/pt-… 4/5
29/10/23, 22:48 Packet Tracer - Configurar ACLs estendidas - cenário 1

Observação: Em uma rede operacional real, não é umaboa prática aplicar uma lista de acesso não testada
a uma interface ativa. Deve ser evitado, se possível.
R1(config)# interface gigabitEthernet 0/1
R1(config-if)# ip access-group HTTP_ONLY in

Etapa 3: verifique a implementação da ACL.

a. Faça ping de PC2 para oServidor. Se o ping não tiver êxito, verifique os endereços IP antes de
continuar.
b. No PC2, abra um navegador da Web e digite o endereço IP do servidor. A página da Web do Servidor
deve ser exibida.
c. Faça ping de PC2 para oServidor. A conexão deve falhar. Caso contrário, solucione problemas das
instruções de lista de acesso e das configurações de grupo de acesso nas interfaces.
Close configuration window

Veja os resultados
Fim do documento

© 2017 - 2022 Cisco and/or its affiliates. All rights reserved. Cisco Public

https://sgp-ui-components.s3.amazonaws.com/s/ff9e491c-49be-4734-803e-a79e6e83dab1/resources/46e8766b-7bfa-40f6-992c-700eb395db74/v1/pt-… 5/5