Prof. Csar S.

Machado

ACL - ACCESS CONTROL LIST

Cesar S. Machado Abril de 2002 1. Introduo ACL ou Access Control List um mecanismo lgico que permite o controle do fluxo de dados baseado em regras ordenadas presente em diversos dispositivos de filtragem que empregam protocolos roteveis (IP, IPX/SPX, etc), tais como micros rodando Unix ou Linux, controladores de acesso, autenticadores, switches e roteadores. As condies que possibilitam o controle so os endereos IP de origem e destino e ao tipo de protocolo de encapsulamento dos dados. Embora o princpio de funcionamento seja o mesmo para todos, cada sistema apresenta sua prpria sintaxe de comandos e detalhes especficos de configurao. Nesse texto, so abordadas as caractersticas e configurao de ACLs em roteadores Cisco. Uma ACL define como entram e saem os pacotes a partir das interfaces do roteador. A ACL aplicada interface do roteador de forma que qualquer trfego atravessando a interface testado com relao as condies que fazem parte da ACL, produzindo dois possveis resultados quanto ao roteamento do pacote: permit (permite o roteamento) o que equivale a 1 (verdadeiro) ou deny (nega o roteamento) o que equivale a 0 (falso). Essas condies podem ser o endereo de origem do trfego, o endereo de destino do trfego, o protocolo da camada superior ou outras informaes. O emprego de ACLs ocorre em roteadores posicionados entre duas redes, tal como a rede interna e a rede externa (Internet, por exemplo), fornecendo um ponto de isolamento para que o resto da estrutura interna da rede no seja afetada. Outras possibilidades para o emprego de ACLs so: (a) Limitar trfego e aumentar o desempenho da rede por meio de um enfileiramento onde as ACLs designam determinados pacotes para serem processados por um roteador antes de outro trfego, com base em um protocolo; (b) Restringir ou reduzir o contedo das atualizaes de roteamento, evitando que as informaes sobre redes especficas se propaguem pela rede; (c) Permitir que hosts acessem uma parte da rede e impedir que outros hosta acesse a mesma rea; (d) Definir uma autenticao de senha para que, somente usurios que fornecerem um logon e senha vlidos possam acessar parte da rede; (e) Definir que pacotes so permitidos para a uma conexo DDR (Dial-on-Demand Routing); (f) Assegurar QoS (qualidade de servio) por meio do controle e priorizao dos tipo de pacotes que sero alocados em certos tipos de filas e (g) Controlar o acesso telnet ou SNMP ao roteador.

cesarm@cdigital.com.br

Prof. Csar S. Machado

2. Instrues Uma ACL pode consistir em uma ou mais linhas de comandos cujas instrues operam em ordem seqencial e lgica. Se uma condio correspondente for verdadeira, o pacote ser permitido ou negado e as instrues de ACL restantes no sero verificadas. Se no houver correspondncia em nenhuma das instrues de ACL, uma instruo "deny any" implcita ser imposta. Isso significa que mesmo que "deny any" no seja visvel como a ltima linha de uma ACL, esta instruo estar l. A ordem das instrues da ACL importante pois quando o roteador est decidindo se deve encaminhar ou bloquear um pacote, o Cisco Internetwork Operating System (IOS) testa o pacote em relao a cada instruo de condio, na ordem em que as instrues foram criadas. Se for criada uma instruo de condio que permita todo o trfego, nenhuma instruo adicionada posteriormente ser verificada. Se instrues adicionais forem necessrias em uma ACL padro ou estendida, deve-se excluir e recriar a ACL com as novas instrues de condio. Por isso, comum editar a configurao de um roteador em um editor de texto, e depois usar o recusro copiar colar ou ainda um TFTP para transferir os comandos para o roteador. 3. Processo de Comunicao Quando um pacote entra em uma interface, o roteador verifica se o pacote rotevel ou se pode ser feito bridge. Em seguida verifica se a interface de entrada tem uma ACL. Em caso afirmativo, o pacote testado novamente em relao s condies da lista. Se o pacote for permitido, ele ser testado em relao s entradas da tabela de roteamento para determinar a i terface de destino. n Depois, o roteador verifica se a interface de destino tem uma ACL. Se essa no existir, o pacote pode ser enviado para a interface de destino diretamente. Por exemplo, se o pacote usar a interface E0, que no possui ACLs, ele usar E0 diretamente. 4. ACLs de Entrada e Sada Se o ltimo parmetro in, a ACL denominada inbound. Se o ltimo parmetro for out ou inexistente, a ACL denominada outbound. Na ACL inbound, o roteador aplica as regras apenas para o trfego recebido pela ACL. Na ACL outbound, o roteador aplica as regras apenas para o trfego transmitido pela ACL. Como o fluxo de dados atravs da uma interface bidirecional, uma ACL pode ser aplicada em uma direo especifica da interface: ?? inbound - verifica se o processamento do pacote deve continuar aps o seu recebimento em uma determinada interface; ?? outbound - verifica se o pacote deve ser enviado para uma interface de sada ou bloqueado. As ACLs de sada so geralmente mais eficientes do que as de entrada sendo portanto mais usadas. Um roteador com uma ACL de entrada deve verificar todos os pacotes para ver se ele corresponde condio da ACL antes de comutar o pacote com uma interface de sada.

cesarm@cdigital.com.br

Prof. Csar S. Machado

Os pacotes gerados pelo roteador como troca de tabelas de roteamento no so afetados pelas regras aplicadas a uma interface no sentido outbound. A nica forma de controlar os pacotes gerados pelo roteador como atualizao de tabela atravs de ACL de inbound. 5. Standart Access Control List Em dispositivos Cisco, a Standart Access List (lista padro) possibilita o controle de trfego exclusivamente com base nos endereos IP de origem e destino. Essas ACLs permitem ou negam o conjunto inteiro do Transmission Control Protocol (TCP) de forma que, para um controle de trfego e acesso mais especfico, devem ser empregadas as Extended ACLs. Em alguns protocolos as listas de acesso devem ser identificadas por nome, j em outros devem ser identificadas por nmero. Alguns protocolos permitem a identificao por n ome ou nmero. Na verso IOS 11.2 ou superiores a ACL tambm pode ser identificada por um nome. Para o protocolo IP, o mais empregado, as ACLs so: Standart ACL: de 1 a 99 Extended ACL: de 100 a 199 ou por nome se o IOS for 11.2 ou superior. A tabela apresentada a seguir identifica a distribuio de protocolos e nmeros de ACLs.

Protocolo IP Extended IP Ethernet type code Source-route bridging (protocol type) Transparent Bridging (protocol type) Extended Transparent Bridging DECnet e Extended DECnet XNS Extended XNS Apple Talk Ethernet Address Transparent Bridging (vendor code) Source-route bridging (vendor code) IPX Extended IPX IPX SAP Standart Vines Extended Vines Simple VInes

Faixa 1-99 100-199 200-299 1100-1199 300-399 400-499 500-599 600-699 700-799 800-899 900-999 1000-1099 1-100 101-200 201-300

cesarm@cdigital.com.br

Prof. Csar S. Machado

6. Sintaxe de Comandos A sintaxe de comandos descrita a seguir. acess-list [nmero da ACL] [permit/deny][ip origem][mscara curinga] opcionais: host [ip origem] e any Os bits setados da mscara curinga correspondem aos bits que no sero comparados com os bits correspondentes do ip de origem. Uma ACL de mesmo nmero comporta vrias linhas de comando. Todas as ACLs contm a seguinte configurao implcita, invisvel: access-list [nmero da ACL] deny any. Ou seja, todas as ACLs esto, por defaut, fechadas.Se no houverem ACLs configuradas no roteador, no haver qualquer filtragem de pacotes, o que equivale dizer que existe uma ACL com permit any geral. Deve-se selecionar cuidadosamente e colocar em ordem lgica os comandos referentes as ACLs. Os protocolos IP permitidos devem ser especificados e todos os outros protocolos devem ser recusados. As linhas que compem uma dada ACL no podem ser removidas individualmente. Caso isso seja feito, atravs do comando no, toda a ACL ser removida. 7. Extended Access Control List ACLs estendidas so as que tambm verificam os endereos de origem e destino para fazer a filtragem mas possibilitam um controle mais efetivo do trfego na medida que tambm podem filtrar protocolos, tal como o TCP, UDP, ICMP, IGRP e portas TCP/UDP. Pode-se usar uma ACL estendida, por exemplo, para permitir trfego da Web e negar o File Transfer Protocol (FTP) ou telnet de redes que no sejam da empresa. Alm de verificar os endereos de origem e destino dos pacotes, podem verificar protocolos especficos, nmeros de portas e outros parmetros. Os mesmos procedimentos descritos para as Standart ACLs aplicam-se as Extended ACLs A sintaxe de comandos a seguinte: acess-list [nmero da ACL] [permit/deny][protocolo][ip origem][mscara curinga da origem][ip destino][mscara curinga do destino][parmetros especficos do protocolo] O parmetro protocolo tanto pode ser o nmero do mesmo para o ip ou o seu nome. Os protocolos disponveis para a verso 12.0(2a) do IOS para controle pelas Extended ACLs so:

cesarm@cdigital.com.br

Prof. Csar S. Machado

Protocolo ip tcp udp icmp igrp eigrp ospf gre ipinip igmp nos ahp esp pcp

Descrio Internet protocol Trasnmission control protocol User datagram protocol Internet control message protocol Cisco igrp routing protocol Cisco eigrp routing protocol Ospf routing protocol Cisco gre tunneling Ip in tunneling Internet gatway message protocol KA9Q NOS-compatible ip over ip tunneling Authentication header protocol Encapsulation security payload Payload compression protocol

Apenas protocolos que rodam diretamente sobre IP so aceitos. Por exemplo, o Rip no aceito porque roda sobre UDP. Os operadores lgicos disponveis so: ?? ?? ?? ?? lt (less than) - menor que gt (greater than) - maior que eq (equal) - igual neq (not equal) - no igual

Exemplos Bloquear FTP para a interface Eth0: access-list 0.0.255.255 access-list 0.0.255.255 101 deny tcp 172.16.1.0 0.0.0.255 192.168.0.0 eq 21 101 deny tcp 172.16.1.0 0.0.0.255 192.168.0.0 eq 20

Bloquear tentativas de telnet para fora da rede 192.168.1.0 e permite os demais trfegos: access-list 101 deny tcp 192.168.1.0 0.0.0.255 any eq 23 access-list 101 permit ip any any 8. Time-Based ACL
cesarm@cdigital.com.br 5

Prof. Csar S. Machado

So ACLs empregadas para implementar a facilidade Dial-on-Demand Routing. Essas ACLs ajudam a controlar o acesso a linha comutada quando o volume de trfego justificar o acionamento de uma conexo dial-up. Possibilitam determinar qual trfego pode acessar a conexo dial-up e em quais horrios isso pode ser feito. Na prtica, consiste no emprego de alguns comandos alm dos j relacionados para as ACLs Standart e Extended. 9. Mscaras Curinga As ACLs usam as mscaras-curinga (wildcard) para identificar endereos nicos ou vrios endereos para permitir ou negar testes. O termo provm de uma analogia de um curinga que corresponde a qualquer outra carta em um jogo de pquer. Uma mscara-curinga so 32 bits divididos em quatro octetos, cada qual contendo 8 bits. Um bit de mscara-curinga 0 significa "verificar o valor do bit correspondente" e um bit de mscara-curinga 1 significa "no verificar (ignorar) esse valor do bit correspondente". Embora tenha 32 bits, as mscaras-curinga nada tem a haver com as mscaras de sub-rede IP que operam de forma distinta. Os zeros e uns em uma mscara de sub-rede determinam a rede, subrede e partes do host do endereo IP correspondente. A filtragem de endereo ocorre com a utilizao de mscaras curinga para identificar o que permitido ou bloqueado nos bits do IP. As mscaras curinga para os bits de endereo IP utilizam o nmero 1 e o nmero 0 para a identificao do que deve ser filtrado nos bits do IP. Uma mscara com valor 0 significa que o bit deve ser checado.

Para os usos mais comuns da mscara-curinga pode-se usar abreviaes que reduzem a quantidade de digitao. Por exemplo, digamos que se deseje especificar que qualquer endereo de destino seja permitido em um teste de ACL. Para indicar qualquer endereo IP, seria digitado 0.0.0.0; depois, para indicar que a ACL deveria ignorar (ou seja, permitir sem verificar) qualquer valor, os bits da mscara-curinga correspondentes para esse endereo seriam todos iguais (ou seja, 255.255.255.255). Pode-se usar a abreviao any para comunicar essa mesma condio de teste para o software Cisco IOS ACL. Ao invs de digitar 0.0.0.0 255.255.255.255, pode-se usar a palavra any sozinha como palavra-chave. Por exemplo: Ao invs de usar: Router(config) # access-list 1 permit 0.0.0.0 255.255.255.255

cesarm@cdigital.com.br

Prof. Csar S. Machado

Pode-se usar: Router(config) # access-list 1 permit any Uma segunda condio comum onde o Cisco IOS permitir uma abreviao na mscara-curinga da ACL ser quando for desejado coincidir todos os bits de um endereo de host IP inteiro. Por exemplo, digamos que se deseje especificar que um endereo IP de host seja negado em um teste de ACL. Para indicar o endereo IP de host, deve-se inserir o endereo completo (por exemplo, 172.30.16.29); depois, para indicar que a ACL deve verificar todos os bits no endereo, os bits da mscara-curinga correspondente para esse endereo devem ser todos zeros (ou seja, 0.0.0.0). Pode-se usar a abreviao host para comunicar essa mesma condio de teste para o software Cisco IOS ACL. No exemplo, ao invs de digitar 172.30.16.29 0.0.0.0, voc pode usar a palavra host na frente do endereo. Por exemplo: Ao invs de usar: Router(config)# access-list 1 permit 172.30.16.29 0.0.0.0 Pode-se usar: Router(config)# access-list 1 permit host 172.30.16.29 10. ACLs e NAT ACLs so empregadas para permitir a realizao do NAT (Network Address Translation) ou seja, a transformao de endereos IP internos em endereos IP externos e vice versa, conforme descrito na RFC 1631. Os objetivos de se realizar o NAT so converter os endereos IP privativos da rede interna em endereos pblicos da rede externa, proporcionando segurana e, se for o caso, compartilhar um pequeno nmero de endereos IP externos com um grande nmero de usurios internos. Exemplo: Conf t ip nat pool net-20 171.69.233.208 171.69.233.223 netmask 255.255.255.240 ip nat inside source list 1 pool net-20 ! interface Ethernet0 ip address 171.69.232.182 255.255.255.240 ip nat outside ! interface Ethernet1 ip address 192.168.1.94 255.255.255.0 ip nat inside ! access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 permit 192.168.2.0 0.0.0.255 11. Desempenho

cesarm@cdigital.com.br

Prof. Csar S. Machado

importante ter em mente que certos aspectos do roteador, tais como memria, processador, criptografia e volume de trfego podem impactar o equipamento na medida que ACLs venham a ser empregadas. Nesse sentido recomendvel: (a) Sempre que possvel aplicar as listas de controle de acesso no sentido de entrada (in), pois desta forma os pacotes sero descartados antes de serem roteados para uma das interfaces de sada, consequentemente minimizando o processamento de roteamento de pacotes; (b) Implementar inicialmente as regras que contemplam o maior volume de transaes da sua rede, agrupada por servidor/servios; (c) Como a pilha IP inclui ICMP, TCP e UDP, deve-se inserir primeiro as regras mais especficas, para depois colocar as mais genricas e (d) Aps a implementao da lista por grupo de servidor/servio deve-se inserir uma regra que bloqueia todos os demais pacotes do grupo, evitando que o pacote passe pelo crivo de outros grupos ao qual no pertence; 12. Gerenciando ACLs em uma grande Rede Para grandes redes que exigem um sistema de gerenciamento integrado, a Cisco disponibiliza o Access Control List Manager como parte do CiscoWorks2000 Routed WAN Management Solution. O ACL Manager possibilita o gerenciamento remoto de ACLs de dispositivos Cisco por meio de uma interface Web com diversas facilidades tais como um editor de ACLs, Templates para gerenciamento, ferramentas de navegao, impresso, backup, troubleshooting e distribuio de ACLs. Com o ACL Manager possvel reduzir substancialmente o tempo necessrio para se criar novos filtros e gerenciar os j existentes, possibilitando a eliminao de entradas redundantes e o incremento da velocidade de roteamento de pacotes atravs das ACLs. Os templates facilitam o gerenciamento de grupos de usurios, servidores e vpns em grandes redes. 13. ACLs e outros Dispositivos Cisco Switches Cisco de ltima gerao, tal como o Catalyst 6000/6500, incorporam novas definies, facilidades e comandos com relao ao emprego de ACLs: ? Router Access-Control Lists (RACLs): ACLs aplicadas a VLANs ou outras interfaces ? usando os comandos ip access-group ou ipx access-group. ? Virtual LAN ACLs (VACLs): ACLs que possibilitam o controle de trfego integrado em ? VLANS e ? QoS ACLs: ACLs que auxiliam no processo de assegurar QoS no switch. ? O Cisco CCS 11000, um switche de camada 7 empregado no balanceamento de carga entre segmentos de rede, tambm incorpora outros comandos para controle das ACLs, alm dos descritos nesse texto, com objetivo de facilitar o controle de circuitos e protocolos.

cesarm@cdigital.com.br

Prof. Csar S. Machado

14. ACLs na Prtica Para selecionar o nmero da ACL, verifique com o comando sh run quais ACLs j esto em uso e selecione um nmero livre, procurando manter uma sequncia, sem espaos entre os nmeros em uso. ACLs standart, que empregam apenas as instrues permit e deny, no aceitam as instrues para controle de protocolos empregadas nas ACLs estendidas e vice versa. Ao empregar o comando sh access-list, todas as linhas de todas as ACLs so exibidas. A manuteno de cpias de segurana dos arquivos de configuracao e do IOS de fundamental importncia, pois eventualmente devido a falhas de corrente eltrica estes arquivos pode ser danificados ou apagados da memria flash. A ordem de criao das regras na lista de acesso muito importante. Um dos erros mais comuns durante a criao de listas de acesso a configurao das regras em ordem incorreta. No final da lista de acesso existe uma regra implcita que bloqueia tudo. Um pacote que no explicitamente permitido ser bloqueado por essa regra. Outro erro comum durante a criao de uma lista de controle de acesso o esquecimento deste fato. Comandos: show ip interface: exibe as informaes da interface IP e indica se h alguma ACL estabelecida. show access-lists: exibe o contedo de todas as ACLs. show access-list nmero/nome da ACL: exibe uma lista especfica. Router(config)# no access-list nmero/nome da ACL: elimina a access-list Router(config)# ip access-group [nmero da ACL] [in/out]: aplica uma ACL a uma interface do roteador. Router(config)#ip access-group nmero/nome da ACL {in | out}:agrupa uma ACL existente a uma interface. Somente uma ACL por porta por protocolo por direo permitida. 15. Protegendo o Roteador com ACLs Restringindo a entrada de pacotes com endereos invlidos Supondo que sua redeepermita a entrada de um range de endereos externos de um cliente, por exemplo 192.168.0.0, a ACL descrita a seguir, aplicada a entrada do reoteador, impede que pacotes com outros Ips de origem entrem em sua rede: access-list 111 permit ip 192.168.0.0 0.0.15.255 any access-list 111 deny ip any any interface serial 0 ip access-list 111 in

cesarm@cdigital.com.br

Prof. Csar S. Machado

A primeira linha permite a entrada dos pacotes originados pelo seu cliente A segunda linha impede a entrada de quaisquer pacotes com outros endereos de origem A terceira linha informa que a ACL deve ser aplicada a interface serial 0 A quarta linha informa que a ACL deve ser aplicada aos pacotes que entram no roteador Para impedir que algum tente se conectar com um site externo, localizado na Internet, a partir de sua rede cujo IP seria 172.17.0.0, empregado um endereo invalido, a sada de sua rede pode ser protegida da seguinte forma: access-list 111 permit ip 172.17.0.0 0.0.255.255 any access-list 111 deny ip any any interface serial 0 ip access-list 111 out A primeira linha permite a sada de pacotes originrios de sua rede com endereos vlidos A segunda linha impede a sada de pacotes originrios de sua rede com endereos invlidos A terceira linha informa que a ACL deve ser aplicada a interface serial 0 A quarta linha informa que a ACL deve ser aplicada aos pacotes saem do roteador A lista descrita a seguir bloqueia a entrada de pacotes cujos endereos de origem so invlidos por serem reservados, conforme definido pela RFC 1918, para endereos privativos. access-list 111 deny ip 10.0.0.0 255.255.255.255 any access-list 111 deny ip 172.16.0.0 0.15.255.255 any access-list 111 deny ip 192.168.0.0 0.0.255.255 any interface serial 0 ip access-list 111 in A primeira linha impede a entrada de pacotes originrios da rede privativa 10.0.0.0 A segunda linha impede a entrada de pacotes originrios da rede privativa 172.16.0.0 A terceira linha impede a entrada de pacotes originrios da rede privativa 192.168.0.0 A quarta linha informa que a ACL deve ser aplicada a interface serial 0 A quinta linha informa que a ACL deve ser aplicada aos pacotes entram no roteador Alm de empregar ACLs, os roteadores Cisco podem ser protegidos contra ataques visando congestionar a CPU do roteador mediante a desativao de portas de diagnstico (veja comando small-servers). No exemplo a seguir, deseja-se que H1 acesse apenas os servios Telnet e Daytime de H3. Todos os demais servios de rede com esses hosts devem ficar disponveis. Intercace Ethernet0 ip address 10.1.0.1 255.255.255.0 ip access-group 100 in ? cria uma ACL para essa interface access-list 100 permit 10.2.0.120 ? Permite o trfego de H3

cesarm@cdigital.com.br

10

Prof. Csar S. Machado

access-list 1 deny 10.2.0.0 0.0.0.255 ? Nega o trfego de qualquer outro host dessa rede access-list 1 permit any ? Permite o trfego de outra rede Exemplo: Com base no esquema abaixo, crie uma ACL que permita H3 se comunicar com H1. H1--------------------Roteador --------------H1------------ H3-----------------------Roteador----10.1.0.15 10.2.0.1 10.2.0.111 10.2.0.120 Outro IP Conf t Intercace Ethernet0 ip adress 10.1.0.1 255.255.255.0 ip access-group 1 out ? cria uma ACL para essa interface access-list 1 permit 10.2.0.120 ? Permite o trfego de H3 access-list 1 deny 10.2.0.0 0.0.0.255 ? Nega o trfego de qualquer outro host dessa rede access-list 1 permit any ? Permite o trfego de outra rede crtl-z conf t access-list 101 permit ip host 172.17.138.1 any ? Permite o acesso irrestrito desse host access-list 101 permit ip host 172.17.138.2 any ? Permite o acesso irrestrito desse host access-list 101 permit ip host 172.17.138.254 any ? Permite o acesso irrestrito desse host access-list 101 permit ip 172.17.138.0 0.0.0.31 any ? Qualquer um acessa esse host access-list 101 permit ip host 192.168.33.30 host 192.168.33.29 ? Essas portas se comunicam access-list 101 deny ip 172.17.138.0 0.0.0.255 172.17.16.0 0.0.0.255 ? Nega o acesso dos demais crtl-z conf t access-list 101 permit tcp any host 10.2.0.120 eq telnet ? Permite telnet de qualquer host a 10.2.0.120 access-list 101 deny ip any host 10.2.0.120 ? Nega qualquer outro tipo de acesso a 10.2.0.120 access-list 101 permit ip any any ? Permite qualquer outros acessos crtl-z Conf t access-list 101 deny tcp any any eq ftp ? Bloqueia FTP access-list 101 deny tcp any any eq telnet ? Bloqueia telnet access-list 101 permit ip any any ? Permite ip crtl-z Referncias NED, F. Segurana em roteadores. 2000. Disponvel em: < http://www.rnp.br/newsgen/0103/filtros.shtml?ACL#first_hit >. Acesso em: 16 abr 2002.

cesarm@cdigital.com.br

11

Prof. Csar S. Machado

CISCO (2002) Cisco certified network academy. 2002. Disponvel em: <http://cisco.netacad.com>. Acesso em: 01 fev 2002. CISCO (2002). ACL configuration mode commands. Disponvel em:
http://www.cisco.com/univercd/cc/td/doc/product/webscale/css/cmdref/cmdaclc.htm. Acesso em: 17 abr

2002. CISCO (2002). Understanding RACL/VACL/QoS ACL Hardware Resources in Catalyst 6000 Family Switches. Disponvel em: http://www.cisco.com/warp/public/473/79.html. Acesso em: 17 abr 2002. CISCO (2002). Time-Based ISDN/Async (Legacy) DDR. 2002. Disponvel em: < http://www.cisco.com/warp/public/793/access_dial/10.html> Acesso em 17 abr 2002. CISCO (2002). Product bulletin no. 1195 - cisco ios network address translation (nat) Disponvel em: <http://www.cisco.com/warp/public/cc/pd/iosw/ioft/ionetn/prodlit/1195_pp.htm> Acesso em: 21 abr 2002.

cesarm@cdigital.com.br

12